NIS2-Richtlinie: Cybersicherheitsanforderungen für Unternehmen in Österreich (Stand 2022)

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine umfassende Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016, die Unternehmen verpflichtet, ihre Netz- und Informationssicherheitsmaßnahmen zu verbessern. Sie wurde ins Leben gerufen, um auf die wachsenden Bedrohungen durch Cyberangriffe zu reagieren, insbesondere auf kritische Infrastrukturen wie die Energieversorgung, das Gesundheitswesen und Finanzdienstleistungen.

Warum wurde NIS2 eingeführt?

Mit der zunehmenden Vernetzung und Digitalisierung steigen auch die Risiken von Cyberangriffen. Besonders in Bereichen, die für das Funktionieren der Gesellschaft und der Wirtschaft unerlässlich sind, können solche Angriffe katastrophale Folgen haben.

Wann tritt die NIS2 in Österreich in Kraft?

Die EU-Mitgliedstaaten, darunter auch Österreich, müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Österreich wird die Umsetzung mit der Überarbeitung des Netz- und Informationssystemsicherheitsgesetzes (NISG 2024) erfolgen.

Welche Unternehmen sind von NIS2 betroffen?

1. Wesentliche Sektoren (Essential Entities):

Unternehmen in diesen Sektoren gelten als besonders kritisch für die Gesellschaft und unterliegen strengeren Anforderungen:

• Energie: Elektrizität, Gas, Fernwärme, Öl, Wasserstoff
• Transport: Luft, Schiene, Wasser, Straße
• Finanzwesen: Banken und Finanzmarktinfrastrukturen
• Gesundheitswesen: Krankenhäuser, Hersteller von Medizinprodukten
• Wasserversorgung und Abwasserentsorgung
• Digitale Infrastruktur: Rechenzentren, Cloud-Dienste, Internet-Exchange-Points
• Öffentliche Verwaltung
• Raumfahrt

2. Wichtige Sektoren (Important Entities):

Diese Unternehmen unterliegen geringeren Aufsichtsanforderungen, haben jedoch dennoch eine hohe Relevanz:

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittelproduktion und -verarbeitung
• Hersteller von medizinischen Geräten, Fahrzeugen und Elektronik
• Digitale Dienstleister: Softwareanbieter, Managed Security Services
• Forschung

Wichtige Anforderungen der NIS2

1. Risikomanagement

Unternehmen müssen geeignete Maßnahmen zur Risikominderung implementieren, darunter technische Schutzmechanismen wie Firewalls, Verschlüsselung und Intrusion-Detection-Systeme.

2. Meldepflichten

Cyberangriffe oder Sicherheitsvorfälle müssen innerhalb von 24 Stunden nach Entdeckung an die zuständigen Behörden gemeldet werden. Eine detaillierte Meldung ist spätestens nach 72 Stunden erforderlich.

3. Schulung und Sensibilisierung

Unternehmen sind verpflichtet, ihre Mitarbeiter regelmäßig in IT-Sicherheitsthemen zu schulen, um das Bewusstsein für potenzielle Bedrohungen zu erhöhen.

4. Lieferkettensicherheit

Unternehmen müssen die Sicherheit ihrer Partner und Zulieferer bewerten, da Schwachstellen in der Lieferkette das gesamte Unternehmen gefährden können.

Strafen bei Nichteinhaltung

Die Nichteinhaltung der NIS2-Vorgaben kann für Unternehmen erhebliche finanzielle Konsequenzen haben:

• Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Wer ist betroffen?

Primär betroffen sind Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro. Kleinere Unternehmen sind in der Regel nicht betroffen, es sei denn, sie bieten besonders kritische Dienstleistungen an.

Umsetzung der NIS2 in Österreich

In Österreich befindet sich der Entwurf für das Netz- und Informationssystemsicherheitsgesetz (NISG 2024) seit April 2024 in der Begutachtungsphase. Der endgültige Inkrafttretungstermin wird aufgrund der Verzögerungen im Gesetzgebungsverfahren voraussichtlich erst im Juni 2025 liegen.

Umsetzung der NIS2-Richtlinie in Österreich: Was ist das NISG 2024?

Die NIS2-Richtlinie ist eine EU-weite Vorgabe, die die Cybersicherheitsstandards für Unternehmen in der gesamten Europäischen Union harmonisieren soll. Jedes EU-Mitgliedsland, einschließlich Österreich, ist verpflichtet, diese Richtlinie in nationales Recht umzusetzen. In Österreich erfolgt dies durch das Netz- und Informationssystemsicherheitsgesetz (NISG 2024). Das NISG 2024 stellt sicher, dass die Anforderungen der NIS2-Richtlinie verbindlich für österreichische Unternehmen gelten.

Das bedeutet: Während die NIS2-Richtlinie den europäischen Rahmen vorgibt, setzt das NISG 2024 diese Vorgaben auf nationaler Ebene um und schafft so die rechtliche Grundlage für österreichische Unternehmen, um die Cybersicherheitsanforderungen zu erfüllen. Das NISG 2024 befindet sich derzeit in der Begutachtungsphase und wird voraussichtlich ab Juni 2025 in Kraft treten.

Zusammengefasst:

• NIS2 = EU-weite Richtlinie.
• NISG 2024 = Nationales Gesetz in Österreich, das die Anforderungen der NIS2-Richtlinie umsetzt.

Was Unternehmen jetzt tun sollten

Unternehmen, die unter die NIS2-Richtlinie fallen, sollten sich so schnell wie möglich auf die neuen Vorgaben vorbereiten:

• Frühzeitige Überprüfung der Cybersicherheitsstrategie: Unternehmen sollten jetzt damit beginnen, ihre Cybersicherheitsmaßnahmen zu bewerten und zu verbessern.
• Schulung von Mitarbeitern und Führungskräften: Regelmäßige Trainings sind notwendig, um alle auf die neuen Anforderungen vorzubereiten.
• Durchführung von Risikoanalysen: Unternehmen müssen potenzielle Schwachstellen identifizieren und Maßnahmen priorisiert umsetzen.

Nutzen Sie den NIS2-Check von Tom’s IT, um herauszufinden, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist und wie Sie die Anforderungen effizient umsetzen können.

Fazit: Handeln Sie jetzt und bereiten Sie sich auf NIS2 vor

Die NIS2-Richtlinie bringt umfassende Änderungen im Bereich der Cybersicherheit in Österreich mit sich. Unternehmen sollten bereits jetzt die notwendigen Schritte einleiten, um die neuen Anforderungen rechtzeitig umzusetzen.

Quellenangaben

• https://www.nis.gv.at/
• https://www.bmi.gv.at/
• https://www.wko.at/it-sicherheit/nis2-uebersicht