Das Kürzel NIS steht für „Network and Information Security“ und bezeichnet die erste EU-weite Richtlinie zur Cybersicherheit, die bereits 2016 in Kraft trat. Ziel der Richtlinie war es, einen gemeinsamen Mindeststandard für die Sicherheit von Netz- und Informationssystemen zu schaffen – insbesondere in so genannten „kritischen Sektoren“ wie beispielsweise Energie, Transport, Gesundheit oder Trinkwasserversorgung. Die Richtlinie verpflichtete betroffene Unternehmen unter anderem dazu, geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen und schwerwiegende Sicherheitsvorfälle zu melden.
Mit der zunehmenden Vernetzung von Prozessen, Produkten und Lieferketten reichte der ursprüngliche Rahmen allerdings bald nicht mehr aus. Außerdem rückten neue Branchen in den Fokus, Bedrohungen wurden komplexer, und viele Unternehmen blieben außerhalb der regulatorischen Reichweite. Die Europäische Kommission reagierte darauf mit einer überarbeiteten Version der Richtlinie – der sogenannten NIS2 (Richtlinie (EU) 2022/2555). Diese neue Fassung, die seit Jänner 2023 in Kraft ist und von den Mitgliedstaaten bis Oktober 2024 in nationales Recht überführt werden musste, verfolgt einen deutlich umfassenderen und verbindlicheren Ansatz. NIS2 erweitert nicht nur den Kreis der betroffenen Unternehmen erheblich, sondern verschärft auch die Anforderungen an Cybersicherheitsmaßnahmen, Risikomanagement, Meldepflichten und Aufsicht.
Die wesentlichen Neuerungen und Verschärfungen der NIS2-Richtlinie lassen sich wie folgt zusammenfassen:
- Erweiterung des Geltungsbereichs: NIS2 erfasst wesentlich mehr Sektoren und Unternehmen. Neben den bereits von NIS abgedeckten Sektoren kommen nun beispielsweise die Abfallwirtschaft, Lebensmittelproduktion und -verarbeitung, Post- und Kurierdienste, die öffentliche Verwaltung sowie bestimmte digitale Dienstleister (z.B. Rechenzentrumsdienste) hinzu. Auch die Definition der betroffenen Unternehmen wurde erweitert: Es wird nun zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden, basierend auf ihrer Größe (Mitarbeiterzahl, Umsatz) und ihrer Bedeutung für die Gesellschaft. Dies führt dazu, dass eine deutlich größere Anzahl von Unternehmen von der Regulierung betroffen ist.
- Verschärfung der Sicherheitsanforderungen: Die Richtlinie schreibt strengere und detailliertere Risikomanagementmaßnahmen vor, die Unternehmen ergreifen müssen. Dazu gehören unter anderem Konzepte für die Handhabung von Sicherheitsvorfällen, Business Continuity und Krisenmanagement, Sicherheit in der Lieferkette, Maßnahmen für den Erwerb und die Wartung von IKT-Systemen, Cyberhygiene und Cybersicherheitsschulungen, der Einsatz von Kryptografie und Multi-Faktor-Authentifizierung sowie Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen.
- Detailliertere Meldepflichten: Die Meldepflichten für Sicherheitsvorfälle wurden präzisiert und beschleunigt. Unternehmen müssen Vorfälle nun in mehreren Stufen melden, beginnend mit einer Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls, gefolgt von weiteren Updates.
- Stärkere Aufsicht und Durchsetzung: Die nationalen Behörden erhalten umfassendere Überwachungs- und Durchsetzungsbefugnisse, einschließlich regelmäßiger Audits und Vor-Ort-Kontrollen. Die Sanktionen bei Nichteinhaltung werden deutlich verschärft und können hohe Bußgelder nach sich ziehen, die für wesentliche Einrichtungen bis zu zehn Mio. Euro oder 2 % des weltweiten Jahresumsatzes und für wichtige Einrichtungen bis zu sieben Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes betragen können.
- Haftung der Geschäftsleitung: Eine besonders relevante Neuerung für Manager und Geschäftsführer ist die Einführung einer direkten Haftung der Leitungsorgane für die Einhaltung der Cybersicherheitsmaßnahmen. Dies bedeutet, dass die Geschäftsführung persönlich zur Verantwortung gezogen werden kann, wenn die erforderlichen Sicherheitsvorkehrungen nicht getroffen werden.
Entscheidend ist zunächst, ob das eigene Unternehmen unter die neue Regulierung fällt. Dabei geht es nicht mehr nur um klassische Betreiber kritischer Infrastrukturen, sondern auch um „wichtige“ und „wesentliche“ Einrichtungen in Bereichen wie Telekommunikation, Lebensmittelproduktion, digitale Dienste, Abfallwirtschaft oder Maschinenbau. Auch die Unternehmensgröße spielt eine Rolle: In vielen Fällen sind Firmen ab 50 Mitarbeitenden und einem Jahresumsatz von mehr als 10 Millionen Euro betroffen – mit Ausnahmen für besonders sicherheitsrelevante Branchen, in denen auch kleinere Akteure reguliert werden.
NIS2 gilt übrigens ausdrücklich auch für Dienstleister und Zulieferer – und das ist eine der zentralen Neuerungen im Vergleich zur ursprünglichen NIS-Richtlinie. Das bedeutet: Wer etwa Software, IT-Infrastruktur, Wartung, Hosting, Datenverarbeitung oder andere digitale Dienste für ein NIS2-reguliertes Unternehmen bereitstellt, kann selbst in den Geltungsbereich von NIS2 fallen – auch wenn er nicht direkt als kritische Infrastruktur klassifiziert ist.
