NIS2, das unbekannte Wesen

Von |05.04.2024|
NIS2, das unbekannte Wesen - Titelbild

Jeder hat wahrscheinlich schon mal davon gehört, so richtig im Bewusstsein der Unternehmen angekommen ist die NIS2 allerdings immer noch nicht. Dabei wäre eine intensivere Beschäftigung mit dem Thema durchaus angesagt, lange hat man für die Umsetzung nämlich nicht mehr Zeit.

Die NIS2 (Netz- und Informationssicherheit) ist die Cybersicherheits-Richtlinie der EU, die als Nachfolgerin der NIS-Richtlinie von 2016 beschlossen wurde. Selbige wurde anno dazumal in Österreich mit dem NIS-Gesetz umgesetzt und gilt derzeit auch noch – aber nicht mehr lange.

Spätestens bis zum 17. Oktober 2024 muss nämlich die neue Richtlinie in den EU-Staaten umgesetzt werden – womit dann von einem Inkrafttreten per 18. Oktober 2024 ausgegangen werden kann. Seit 3. April 2024 liegt ein offizieller Begutachtungsentwurf für das NISG 2024 vor.

Die NIS2-Richtlinie zielt darauf ab, ein hohes gemeinsames Niveau der Cybersicherheit in der EU zu schaffen und beinhaltet – gegenüber der aktuell gültigen Fassung – auch zahlreiche neue Regelungen und Pflichten.

Etwa sind verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen für Unternehmen bestimmter Sektoren vorgesehen. Zudem definiert die Richtlinie auch neue Mindestanforderungen für die Cybersicherheit kritischer Infrastrukturen in der EU. Hauptziel ist, EU-weit die IT-Sicherheit zu verbessern und potenziellen Cyberangriffen mehr Widerstand entgegenzusetzen.

Nicht nur Unternehmen der kritischen Infrastruktur sind betroffen

Hauptanwendungsbereich der NIS2 sind Unternehmen, die in der so genannten „kritischen Infrastruktur“ tätig sind. Dazu zählen etwa die Sektoren Energie, Verkehr, Banken, Gesundheitswesen, Trinkwasserversorgung und digitale Dienstleistungen. Insgesamt wurden seitens der EU 18 Wirtschaftssektoren definiert, die künftig einen festgelegten Mindeststandard in Sachen Informationssicherheit umsetzen müssen. NIS2 gilt hierbei für Unternehmen ab 50 Mitarbeitern und 10 Mio. Euro Umsatz.

Diese leider etwas willkürliche Definition dürfte auch ein Mitgrund dafür sein, warum viele Unternehmen NIS2 bislang nicht sonderlich ernst nehmen. Oder anders gesagt: Auch wenn ich vielleicht nur 49 Mitarbeiter habe, heißt das nicht automatisch, dass man aus dem Anwendungsbereich rausfällt. Denn auch kleinere Unternehmen, die als wichtig für die Gesellschaft eingestuft werden, müssen die Sicherheitsanforderungen erfüllen. Ebenso jene, die essenzielle Dienste für die kritische Infrastrukturen bereitstellen, wie beispielsweise IT-Dienstleister, Cloud-Anbieter und Logistikunternehmen.

Achtung: Auch Unternehmen in der Lieferkette müssen NIS2 erfüllen

Das heißt: Neben den direkt betroffenen Betreibern kritischer Infrastrukturen sind auch Unternehmen in der Lieferkette bzw. Dienstleister, die wesentliche Dienste für ebendiese Infrastrukturen bereitstellen, indirekt betroffen. Diese Unternehmen müssen dann ebenfalls strenge Sicherheitsanforderungen erfüllen.

Sie müssen dadurch sicherstellen, dass ihre eigenen Systeme und Netzwerke ausreichend geschützt sind, um nicht die Sicherheit der gesamten Lieferkette zu gefährden.

Diese so genannten Zulieferer sind also verpflichtet, angemessene Maßnahmen zum Risikomanagement zu ergreifen. Dazu gehört etwa die Zusammenarbeit mit den betroffenen Betreibern kritischer Infrastrukturen, um Sicherheitsrisiken zu identifizieren und zu minimieren. Dies kann regelmäßige Sicherheitsbewertungen, gemeinsame Sicherheitsprotokolle und eine koordinierte Reaktion auf Sicherheitsvorfälle umfassen.

Denn auch Zulieferer müssen schwere Sicherheitsvorfälle den Behörden melden. Dies soll sicherstellen, dass Vorfälle schnell erkannt und entsprechende Gegenmaßnahmen ergriffen werden können. Und wie den Betreibern kritischer Infrastrukturen drohen auch den Zulieferern bei Nichteinhaltung der NIS2-Vorgaben empfindlichen Geldstrafen bzw. Sanktionen. Die Höhe der Strafen richtet sich dabei nach der Schwere des Verstoßes und der Rolle des Unternehmens in der Lieferkette. Damit erweitert sich der Anwendungsbereich der Richtlinie erheblich.

Wo gibt’s weitere Infos?

Für eine erste Einschätzung, ob dein Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, stehen Online-Ratgeber wie jene der Österreichischen Wirtschaftskammer („NIS 2 – ist mein Unternehmen betroffen?“) zur Verfügung.

Unter nis.gv.at finden findest du außerdem verständliche Erklärvideos und einen FAQ-Bereich.

Was ist jetzt zu tun?

Fällt ein Unternehmen in den Anwendungsbereich von NIS2 muss sich dieses bei der zuständigen Behörde registrieren lassen. Darüber hinaus sind die Vorschriften, die sich aus der Richtlinie ergeben, einzuhalten. Dazu gehört einerseits die Umsetzung von Risikomanagementmaßnahmen.

Dazu zählen unter anderem:

  • die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  • Maßnahmen, die zur Erkennung und Minimierung von Sicherheitsvorfällen beitragen
  • die Sicherstellung der Geschäftskontinuität durch Backup- und Krisenmanagementmaßnahmen
  • Maßnahmen zur Gewährleistung der Sicherheit der Lieferketten
  • Schulungen, Fort- und Weiterbildungen im Bereich der Cybersicherheit
  • der Einsatz von Kryptografie und Verschlüsselungstechnologie
  • Personalsicherheit, Zugriffskontrollen und Management von Anlagen
  • Lösungen für Multi-Faktor-Authentifizierungen oder kontinuierliche Authentifizierungen
  • die Verwendung von sicherer Sprach-, Video- und Textkommunikation

Kommt es dann doch zu einem Sicherheitsvorfall, müssen diese Unternehmen bestimmte Meldepflichten beachten. Nach der Problemerkennung besteht ein 24-Stunden-Zeitfenster, in dem gemeldet werden muss, ob der Vorfall auf einer rechtswidrigen oder böswilligen Handlung beruht bzw. grenzübergreifende Auswirkungen haben kann (= Frühwarnung). Binnen 72 Stunden ist eine erste Einschätzung des Cybersicherheitsvorfalls abzugeben. Ein Monat nach der Meldung ist ein Zwischen- bzw. Abschlussbericht mit einer ausführlichen Beschreibung des Cybersicherheitsvorfalls zu übermitteln.

techbold begleitet dich bei der Umsetzung der NIS-2-Richtlinie

Wir stehen dir mit unserer Erfahrung zur aktuellen NIS-2-Richtlinie zur Verfügung, um sicherzustellen, dass dein Unternehmen schnellstmöglich einen technisch konformen NIS2-Sicherheitsstandard erreicht. Wir begleiten dich durch den Prozess und gewährleisten, dass du optimal vor Cybersecurity-Gefahren geschützt bist und die Anforderungen des neuen Gesetzes erfüllt werden.

Für ein Beratungsgespräch und Rückfragen steht unser Kundenservice unter +43 59 555-333 und office@techbold.at jederzeit gerne zur Verfügung

NIS2 – Das Wichtigste nochmals kurz zusammengefasst

Was heißt NIS?

NIS steht für Netz- und Informationssicherheit. Aktuell gilt noch die NIS-Richtlinie aus dem Jahr 2016, die hierzulande im NIS-Gesetz umgesetzt wurde. Die Nachfolgerichtlinie NIS2 ist allerdings bereits im Jänner 2023 in Kraft getreten. Die EU-Mitgliedsstaaten haben noch bis 16. Oktober 2024 Zeit, die Richtlinie in ein nationales Gesetz zu gießen.

Und wofür NIS2?

Die Richtlinie soll die Widerstandsfähigkeit und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. Dabei konzentriert man sich vor allem auf Unternehmen in jenen Sektoren, die für grundlegende und für die Gesellschaft sehr wesentlichen Aufgaben zuständig sind – die so genannte „kritische Infrastruktur“. Allerdings sind in NIS2 auch Dienstleister und Zulieferer der betroffenen Unternehmen eingeschlossen.

Welche Unternehmen sind von NIS2 betroffen?

NIS2 gilt in erster Linie für große Unternehmen mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Jahresumsatz und über 43 Mio. Euro Jahresbilanzsumme sowie für mittelgroße Unternehmen mit 50 bis 249 Beschäftigten oder zwischen zehn und 50 Mio. Euro Jahresumsatz bzw. zwischen zehn und 43 Mio. Euro Jahresbilanzsumme.

Kleinere Unternehmen fallen grundsätzlich nicht unter NIS2. Übernehmen diese allerdings eine Schlüsselrolle für die Gesellschaft, Wirtschaft oder bestimmte wichtige Sektoren, sieht die Richtlinie hier Sonderregelungen vor. Zulieferer und Dienstleister von NIS2-betroffenen Unternehmen, müssen ebenfalls erhöhte Sicherheitsmaßnahmen ergreifen, da ansonsten die Lieferkette gefährdet wäre.

Für welche Wirtschafssektoren gilt NIS2?

Der Anwendungsbereich umfasst insgesamt 18 Sektoren, wobei zwischen „Sektoren mit hoher Kritikalität“ und „sonstigen kritischen Sektoren“ unterschieden wird. Als sehr kritisch werden etwa Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum betrachtet. In den Titel „sonstige kritische Sektoren“ fallen wiederum Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Wesentlich oder nur wichtig?

Unterteilt wird bei NIS2 auch in „wesentliche“ und „wichtige“ Unternehmen. Als wesentlich gelten hier große Unternehmen, die einem der „Sektoren mit hoher Kritikalität“ zuzurechnen sind. Mittlere Unternehmen im Sektor der hohen Kritikalität gelten hingegen nur als wichtige Einrichtungen. Ebenso gelten große und mittlere Unternehmen aus „sonstigen kritischen Sektoren“ als wichtige Einrichtungen. Kleinunternehmen sind grundsätzlich nicht im direkten Anwendungsbereich, können aber über Sonderbestimmungen im Anwendungsbereich oder über die Lieferkette betroffen sein.

Machts einen Unterschied, ob man nun „wesentlich“ oder „wichtig“ ist?

Bei der Umsetzung der laut Richtlinie geforderten Sicherheitsmaßnahmen ist die Einstufung eigentlich egal. Sehr wohl gibt es aber Unterschiede bei der Aufsicht und den Sanktionen. Bei wesentlichen Einrichtungen erfolgen u. a. regelmäßige und gezielte Sicherheitsprüfungen, Stichprobenkontrollen und der Bußgeldrahmen beträgt bis zu zehn Mio. Euro oder bis zu zwei Prozent des weltweiten Umsatzes. Bei wichtigen Einrichtungen finden Überprüfungen vor Ort sowie externe nachträgliche Aufsichtsmaßnahmen nur bei begründetem Verdacht statt. Der Bußgeldrahmen beträgt bis zu sieben Mio. Euro oder bis zu 1,4 Prozent des weltweiten Umsatzes.

Welche Auswirkung hat NIS2 auf Unternehmen?

Unternehmen müssen Risikomanagementmaßnahmen ergreifen, um ein hohes Cybersicherheitsniveau zu erreichen. Hält man sich nicht an die vorgegebenen Regelungen kann das sehr teuer werden: Je nach Unternehmensform und Tätigkeitsbereich ist mit einer Geldstrafe von bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes zu rechnen. Zusätzlich kann die zuständige Behörde Anweisungen zur Behebung von Sicherheitsmängeln erteilen. Bei Zuwiderhandlung können Zertifizierungen und Genehmigungen für Dienste und Tätigkeiten der betroffenen Unternehmen ausgesetzt werden. Neu ist auch, dass künftig die Einhaltung des Risikomanagements von Leitungsorganen überwacht werden muss und diese bei Verstößen verantwortlich gemacht werden können.


Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Jochen Jasch, Leiter Kundenbetreuung

Jochen Jasch

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.