Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (EU) 2022/2555 ist am 16. Januar 2023 in Kraft getreten und stellt die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016 dar. Sie verpflichtet Unternehmen, ihre Netz- und Informationssicherheitsmaßnahmen zu verbessern, insbesondere in kritischen Infrastrukturen wie Energieversorgung, Gesundheitswesen und Finanzdienstleistungen.
Warum wurde NIS2 eingeführt?
Mit der zunehmenden Vernetzung und Digitalisierung steigen auch die Risiken von Cyberangriffen. Besonders in Bereichen, die für das Funktionieren der Gesellschaft und der Wirtschaft unerlässlich sind, können solche Angriffe katastrophale Folgen haben.
Wann tritt die NIS2 in Österreich in Kraft?
Die EU-Mitgliedstaaten mussten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Österreich hat diese Frist bislang nicht eingehalten. Die Umsetzung soll durch eine Novelle des Netz- und Informationssystemsicherheitsgesetzes (NISG 2024) erfolgen, deren Inkrafttreten nach aktuellem Stand im Juni 2025 erwartet wird.
Welche Unternehmen sind von NIS2 betroffen?
1. Wesentliche Sektoren (Essential Entities):
Unternehmen in diesen Sektoren gelten als besonders kritisch für die Gesellschaft und unterliegen strengeren Anforderungen:
- Energie: Elektrizität, Gas, Fernwärme, Öl, Wasserstoff
- Transport: Luft, Schiene, Wasser, Straße
- Finanzwesen: Banken und Finanzmarktinfrastrukturen
- Gesundheitswesen: Krankenhäuser, Hersteller von Medizinprodukten
- Wasserversorgung und Abwasserentsorgung
- Digitale Infrastruktur: Rechenzentren, Cloud-Dienste, Internet-Exchange-Points
- Öffentliche Verwaltung
- Raumfahrt
2. Wichtige Sektoren (Important Entities):
Diese Unternehmen unterliegen geringeren Aufsichtsanforderungen, haben jedoch dennoch eine hohe Relevanz:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Industrie
- Lebensmittelproduktion und -verarbeitung
- Hersteller von medizinischen Geräten, Fahrzeugen und Elektronik
- Digitale Dienstleister: Softwareanbieter, Managed Security Services
- Forschung
Wichtige Anforderungen der NIS2
1. Risikomanagement
Unternehmen müssen geeignete Maßnahmen zur Risikominderung implementieren, darunter technische Schutzmechanismen wie Firewalls, Verschlüsselung und Intrusion-Detection-Systeme.
2. Meldepflichten
Cyberangriffe oder Sicherheitsvorfälle müssen innerhalb von 24 Stunden nach Entdeckung gemeldet werden. Innerhalb von 72 Stunden ist eine Ersteinschätzung vorzulegen, und spätestens nach einem Monat ein Abschlussbericht.
3. Schulung und Sensibilisierung
Unternehmen sind verpflichtet, ihre Mitarbeiter regelmäßig in IT-Sicherheitsthemen zu schulen, um das Bewusstsein für potenzielle Bedrohungen zu erhöhen.
4. Lieferkettensicherheit
Unternehmen müssen die Sicherheit ihrer Partner und Zulieferer bewerten, da Schwachstellen in der Lieferkette das gesamte Unternehmen gefährden können.
Strafen bei Nichteinhaltung
Die Nichteinhaltung der NIS2-Vorgaben kann für Unternehmen erhebliche finanzielle Konsequenzen haben:
- Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Wer ist betroffen?
Primär betroffen sind Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro. Kleinere Unternehmen sind in der Regel nicht betroffen, es sei denn, sie bieten besonders kritische Dienstleistungen an.
Umsetzung der NIS2 in Österreich
In Österreich befindet sich der Entwurf für das Netz- und Informationssystemsicherheitsgesetz (NISG 2024) seit April 2024 in der Begutachtung. Die endgültige Verabschiedung verzögert sich, das Inkrafttreten wird frühestens im Juni 2025 erwartet.
Das NISG 2024 wird die Anforderungen der NIS2-Richtlinie auf nationaler Ebene umsetzen und die rechtliche Grundlage für Unternehmen schaffen. Bis dahin gilt: Unternehmen sollten sich proaktiv vorbereiten, auch wenn das Gesetz noch nicht verabschiedet ist.
Der aktuelle Gesetzesentwurf sieht zusätzliche Pflichten vor, die über die EU-Richtlinie hinaus konkretisiert werden:
- Registrierungspflicht: Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten bei der zuständigen Behörde registrieren.
- Schulungspflicht für Leitungsorgane: Geschäftsführung und Vorstände sind verpflichtet, regelmäßig Cybersicherheitsschulungen zu absolvieren.
- Erhöhte persönliche Verantwortung: Leitungsorgane haften künftig stärker für Verstöße.
- Meldepflichten: Sicherheitsvorfälle müssen in einem mehrstufigen Verfahren (24h/72h/Abschlussbericht) gemeldet werden.
Umsetzung der NIS2-Richtlinie in Österreich: Was ist das NISG 2024?
Die NIS2-Richtlinie ist eine EU-weite Vorgabe, die die Cybersicherheitsstandards für Unternehmen in der gesamten Europäischen Union harmonisieren soll. Jedes EU-Mitgliedsland, einschließlich Österreich, ist verpflichtet, diese Richtlinie in nationales Recht umzusetzen. In Österreich erfolgt dies durch das Netz- und Informationssystemsicherheitsgesetz (NISG 2024). Das NISG 2024 stellt sicher, dass die Anforderungen der NIS2-Richtlinie verbindlich für österreichische Unternehmen gelten.
Das bedeutet: Während die NIS2-Richtlinie den europäischen Rahmen vorgibt, setzt das NISG 2024 diese Vorgaben auf nationaler Ebene um und schafft so die rechtliche Grundlage für österreichische Unternehmen, um die Cybersicherheitsanforderungen zu erfüllen. Das NISG 2024 befindet sich derzeit in der Begutachtungsphase und wird voraussichtlich ab Juni 2025 in Kraft treten.
Zusammengefasst:
- NIS2 = EU-weite Richtlinie.
- NISG 2024 = Nationales Gesetz in Österreich, das die Anforderungen der NIS2-Richtlinie umsetzt.
Was Unternehmen jetzt tun sollten
Unternehmen, die unter die NIS2-Richtlinie fallen, sollten sich so schnell wie möglich auf die neuen Vorgaben vorbereiten:
- Frühzeitige Überprüfung der Cybersicherheitsstrategie: Unternehmen sollten jetzt damit beginnen, ihre Cybersicherheitsmaßnahmen zu bewerten und zu verbessern.
- Schulung von Mitarbeitern und Führungskräften: Regelmäßige Trainings sind notwendig, um alle auf die neuen Anforderungen vorzubereiten.
- Durchführung von Risikoanalysen: Unternehmen müssen potenzielle Schwachstellen identifizieren und Maßnahmen priorisiert umsetzen.
Nutzen Sie den NIS2-Check von TOMORIS GmbH, um herauszufinden, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist und wie Sie die Anforderungen effizient umsetzen können.
Fazit: Handeln Sie jetzt und bereiten Sie sich auf NIS2 vor
Die NIS2-Richtlinie bringt umfassende Änderungen im Bereich der Cybersicherheit in Österreich mit sich. Unternehmen sollten bereits jetzt die notwendigen Schritte einleiten, um die neuen Anforderungen rechtzeitig umzusetzen.
| Wichtige Informationen | Details |
|---|---|
| Warum wird die NIS2 eingeführt? | Die NIS2-Richtlinie reagiert auf wachsende Cyberbedrohungen, insbesondere gegen kritische Infrastrukturen wie Energieversorgung und Gesundheitswesen. Sie soll sicherstellen, dass Unternehmen besser vorbereitet sind und effektiv auf Bedrohungen reagieren können. |
| Inkrafttreten in Österreich | Voraussichtliche Umsetzung in nationales Recht bis Oktober 2024. Aufgrund von Verzögerungen könnte die endgültige Einführung bis Juni 2025 erfolgen. |
| Wesentliche Sektoren |
|
| Wichtige Sektoren |
|
| Wichtige Anforderungen |
|
| Strafen bei Nichteinhaltung |
|
| Betroffene Unternehmen | Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro. Kleinere Unternehmen sind betroffen, wenn sie kritische Dienstleistungen anbieten. |
| Empfohlene Maßnahmen |
|
Quellenangaben
- https://www.nis.gv.at/
- https://www.bmi.gv.at/
- https://www.wko.at/it-sicherheit/nis2-uebersicht
