NIS-2: Neue EU-Richtlinie für Cybersicherheit betrifft tausende Unternehmen
In genau einem Jahr ist es so weit, dann gilt in Österreich die neue Cybersicherheits-Richtlinie mit der Bezeichnung “NIS 2” . Um kritische Infrastruktur besser vor Cyberangriffen zu schützen, gibt es in der EU sei Jänner 2023 neue gesetzliche Vorgaben. Sie führen in 18 Sektoren weitergehende Pflichten für die Betreiber wesentlicher und wichtiger Einrichtungen ein. Betroffen sind bereits Unternehmen in diesen Sektoren ab 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Mio. Euro.
Blackout. Verkehrschaos. Versorgungsengpässe. All das kann passieren, wenn Cyberattacken Energienetze, Verkehrsinfrastrukturen und Krankenhäuser lahmlegen oder die Trinkwasserversorgung beeinträchtigen. Solche Szenarien sind längst nicht mehr nur der Stoff von dystopischer Science Fiction. Je stärker die Digitalisierung alle Bereiche durchdringt und je professioneller organisierte Banden und staatliche Cyber Warfare-Einheiten agieren, desto realer werden solche Gefahren.
Genau vor diesem Hintergrund ist die EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (kurz: NIS-2-Richtlinie) zu sehen. Sie zielt darauf ab, solchen nationalen Notständen und Gefahren für die öffentliche Sicherheit vorzubeugen. Die Richtlinie ist Anfang 2023 in Kraft getreten und muss bis Oktober 2024 von den Mitgliedsstaaten in nationales Recht überführt werden.
Wie bei anderen EU-Richtlinien gilt: Jedes Land ist für die Umsetzung verantwortlich und erlässt ein entsprechendes Gesetz. In Deutschland ist zum Beispiel das NIS-2 Umsetzungsgesetz in Planung (NIS2UmsuCG). Du kannst dir die EU-Richtlinie wie eine Vorlage mit Mindestanforderungen vorstellen. Die einzelnen landesspezifischen Regelungen müssen diese Mindestvorgaben einhalten. Sie können aber auch darüber hinausgehen.
Erweiterung der Sektoren führt zu tausenden betroffenen Unternehmen
Erste EU-Vorschriften zur Cybersicherheit (NIS-1) wurden bereits 2016 eingeführt. Mit der jetzigen Modernisierung des Rechtsrahmens gehen aber völlig neue Anforderungen einher – sowohl für die Staaten der EU als auch für Unternehmen. Jeder Mitgliedsstaat muss u.a. eine nationale Cybersicherheitsstrategie verabschieden und eine Behörde für das Cyberkrisenmanagement einrichten.
Im Gegensatz zur alten Regelung sind jetzt viel mehr Unternehmen betroffen. In Österreich fielen unter NIS-1 zum Beispiel etwa 100 Betreiber kritischer Infrastrukturen. Mit NIS-2 erhöht sich die Zahl geschätzt auf bis zu 5.000 Unternehmen. In Deutschland müssen etwa 29.000 Unternehmen die neuen Vorgaben erfüllen. Viele von ihnen wissen noch nicht, was auf sie zukommt.
Der Grund dafür, dass jetzt deutlich mehr Unternehmen betroffen sind, liegt in der Ausweitung des Rechtsrahmens auf mehr Sektoren als zuvor. Die Richtlinie listet 11 wesentliche und 7 wichtige Einrichtungen (siehe Tabelle 1). Die wesentlichen Einrichtungen sind kritischer eingestuft als die wichtigen. Sie werden strikter kontrolliert und Verstöße härter sanktioniert.
Die Strafzahlungen bei Gesetzesverstößen liegen für wesentliche Einrichtungen bei maximal 10 Mio. Euro oder 2 % des weltweiten Umsatzes. Bei wichtigen Einrichtungen sind es maximal 7 Mio. Euro oder 1,4 % des Umsatzes.
Wesentliche Einrichtungen | Wichtige Einrichtungen |
---|---|
Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) | Post- und Kurierdienste |
Verkehr (Luft-, Schienen-, Straßenverkehr, Schifffahrt) | Abfallbewirtschaftung |
Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
Finanzmarktinfrastrukturen | Produktion, Verarbeitung und Betrieb von Lebensmitteln |
Gesundheitswesen | Verarbeitendes Gewerbe / Herstellung von Waren (z.B. Medizinprodukte, elektrische Ausrüstung, Maschinenbau) |
Trinkwasser | Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, Plattformen sozialer Netzwerke) |
Abwasser | Forschung |
Digitale Infrastruktur | |
Verwaltung von IKT-Diensten (Anbieter verwalteter Dienste / Sicherheitsdienste) | |
Öffentliche Verwaltung | |
Weltraum |
Tabelle 1: Übersicht der betroffenen Sektoren
Verpflichtende Meldungen und Cyber Security-Maßnahmen
Alle von NIS-2 betroffenen Unternehmen unterliegen gewissen Meldepflichten. Sie müssen ihre nationale Cybersicherheitsbehörde über Störungen, Vorfälle und Bedrohungen informieren. Darüber hinaus müssen sie eine Reihe von Cyber Security-Maßnahmen nach dem Stand der Technik umsetzen. Folgende zehn Maßnahmen sind in Art. 21, Abs. 2 der Richtlinie gelistet:
Diese Liste entspricht also den Minimalanforderungen, die in allen EU-Ländern gefordert sind. Betroffene Unternehmen sollten unbedingt die nationale Umsetzung von NIS-2 berücksichtigen, aus der sich ein konkreter Anforderungskatalog ergibt.
Auch für Unternehmen, die nicht direkt von NIS-2 betroffen sind, empfehlen wir, die nationale Umsetzung im Blick zu behalten. Die darin verankerten Maßnahmen für eine bessere Cybersicherheit sind eine gute Referenz, um die eigene Sicherheitsausstattung – und eventuelle Lücken – besser einzuschätzen.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Wir benötigen deine Zustimmung, um das Formular laden zu können.
Mehr InformationenEvelyn Heinrich
Head of Account Management
oder ein Account Manager aus dem Team meldet sich umgehend.