NIS2-Richtlinie (Cybersicherheits-Richtlinie)

Mit der neuen Cybersicherheitsgesetzgebung NIS2 werden für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen gelten. Die NIS2-Richtlinie soll bis 17. Oktober 2024 in den EU-Mitgliedstaaten umgesetzt werden.

Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern.

Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.

Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:

Sektoren mit hoher Kritikalität:

  • Energie
  • Verkehr
  • Bankwesen*)
  • Finanzmarktinfrastrukturen*)
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten B2B
  • öffentliche Verwaltung
  • Weltraum 

Sonstige kritische Sektoren:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie
  • Lebensmittel
  • verarbeitendes/herstellendes Gewerbe**)
  • Anbieter digitaler Dienste
  • Forschung (fakultativ)

 

Die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder als „großes Unternehmen“ richtet sich nach der Anzahl der Mitarbeiter, dem Jahresumsatz und der Jahresbilanzsumme.

Großes UnternehmenEine Einrichtung gilt als „großes Unternehmen“, wenn sie zumindest 250 Mitarbeiter beschäftigt oder wenn sie einen Jahresumsatz von über 50 Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über 43 Millionen Euro beläuft. 
Mittleres UnternehmenEine Einrichtung gilt als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeiter beschäftigt, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über zehn Millionen Euro beläuft, sofern sie nicht bereits als großes Unternehmen gilt.
 

Welche Risikomanagementmaßnahmen sind zu treffen?

10 Risikomanagementmaßnahmen (Mindestmaßnahmen):

  • Konzept Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Kryptografie und ggf. Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung
 
© Blue Planet Studio | stock.adobe.com

Dabei zu berücksichtigen sind:

  • der Stand der Technik
  • europäische und internationalen Normen
  • Kosten der Umsetzung
  • bestehendes Risiko

 

Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

Der Begutachtungsentwurf zum NISG 2024 beschreibt die Bereiche, in denen wesentliche und wichtige Einrichtungen Risikomanagementmaßnehmen zu ergreifen haben, in der Anlage 3 (vorbehaltlich Gesetz).

Die Risikomanagementmaßnahmen werden noch in Verordnungen festgelegt werden.   

Was bedeutet „Sicherheit der Lieferkette“?

Von NIS2 betroffene Einrichtungen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern beachten.

Sie müssen die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-)Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen

» Weitere Informationen

Welche Berichtspflichten sind zu beachten?

Bei erheblichen Cybersicherheitsvorfällen gibt es ein dreistufiges Meldeverfahren an das zuständige CSIRT (Cybersecurity Incident Response Team).

Fristen

  • Unverzüglich, innerhalb von 24 Stunden: Frühwarnung (ggf. Verdacht auf rechtswidrige und schuldhafte Handlung oder grenzüberschreitende Auswirkungen)
  • Unverzüglich, jedenfalls innerhalb von 72 Stunden: Meldung (Schweregrad, Auswirkungen, ggf. Komprimittierungsindikatoren)
  • Spätestens einen Monat nach Frühwarnung: Abschlussbericht (Beschreibung Vorfall, einschließlich Schweregrad und Auswirkungen, Art der Bedrohung, Ursachen, Abhilfemaßnahmen)

Auf Ersuchen des CSIRT oder der Behörde Zwischenberichte über Statusaktualisierungen

Data Breach

Sollte es im Zuge des Cybersicherheitsvorfalls auch zu einer Verletzung des Schutzes personenbezogener Daten (data breach) gekommen sein, sind zusätzlich die Melde- und Berichtspflichten nach DSGVO zu beachten.

Freiwillige Meldungen nach NIS

Weiters gibt es die Möglichkeit der freiwilligen Meldung von (Beinahe-)Cybersicherheitsvorfällen, und -bedrohungen an das CSIRT, das die Meldungen zusammenfasst und an die Cybersicherheitsbehörde weiterleitet.

Watchlist Internet

Melden Sie betrügerischen Nachrichten und Internetfallen auch an die Watchlist Internet. So können andere Unternehmen rechtzeitig gewarnt werden.

Was passiert, wenn Unternehmen die Regelungen nicht einhalten?

Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Wer ist verantwortlich?

Die Leitungsorgane (Geschäftsführung bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaften) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen, haften der Einrichtung für den schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.