Was ist NIS2?
NIS2 (Netz- und Informationssicherheits-Richtlinie 2) ist eine EU-Verordnung, die darauf abzielt, das Cybersicherheitsniveau in der gesamten Europäischen Union deutlich zu erhöhen. Sie stellt strengere Anforderungen an Unternehmen und Organisationen, um sie besser vor Cyberangriffen zu schützen.
Wesentliche Neuerungen von NIS2 gegenüber NIS1
Erweiterter Anwendungsbereich: NIS2 betrifft mehr Unternehmen und Sektoren.
Höhere Anforderungen: Die Richtlinie legt strengere Sicherheitsanforderungen fest, wie z.B. Risikobewertungen, Vorfallmanagement, Lieferkettenmanagement und Dritter-Parteien-Risiko-Management.
Stärkere Aufsicht: Die Mitgliedstaaten müssen eine effektive Aufsicht über die Umsetzung von NIS2 gewährleisten.
Warum ist NIS2 so wichtig?
Harmonisierung: NIS2 schafft einen einheitlichen Rechtsrahmen für Cybersicherheit in der EU.
Schutz vor Cyberangriffen: Durch höhere Sicherheitsstandards werden Unternehmen und Organisationen besser vor Cyberangriffen geschützt.
Wirtschaftliche Stabilität: Eine sichere digitale Infrastruktur ist für die Wirtschaft von großer Bedeutung.
Vertrauen in die digitale Welt: NIS2 trägt dazu bei, das Vertrauen der Bürger in die digitale Welt zu stärken
Welche Sektoren sind betroffen?
Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:
Sektoren mit hoher Kritikalität | Sonstige kritische Sektoren |
---|---|
1. Energie 2. Verkehr 3. Bankwesen 4. Finanzmarktinfrastrukturen 5. Gesundheitswesen 6. Trinkwasser 7. Abwasser 8. Digitale Infrastruktur 9. Verwaltung von IKT-Diensten B2 10. öffentliche Verwaltung 11. Weltraum | 1. Post- und Kurierdienste 2. Abfallbewirtschaftung 3. Chemie 4. Lebensmittelverarbeitendes/herstellendes Gewerbe 5. Anbieter digitaler Dienste 6. Forschung (fakultativ) |
Sektoren mit hoher Kritikalität laut NISG2024
Sonstige kritische Sektoren laut NISG2024
Definition großes/mittleres Unternehmen
Die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder als „großes Unternehmen“ richtet sich nach der Anzahl der Mitarbeiter, dem Jahresumsatz und der Jahresbilanzsumme.
Großes Unternehmen: Eine Einrichtung gilt als „großes Unternehmen“, wenn sie zumindest 250 Mitarbeiter:innen beschäftigt ODER wenn sie einen Jahresumsatz von über 50 Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über 43 Millionen Euro beläuft.
Mittleres Unternehmen: Eine Einrichtung gilt als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeiter:innen beschäftigt, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über 10 Millionen Euro beläuft, sofern sie nicht bereits als großes Unternehmen gilt.
Kleine Unternehmen
Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS2.
Vereinzelt können jedoch auch hier Ausnahmen gelten.
Wesentliche und wichtige Einrichtungen
Wesentliche Einrichtungen | Wichtige Einrichtungen |
---|---|
Große Unternehmen aus folgenden Sektoren: Energie Verkehr Bankwesen Finanzmarkt Gesundheit Trinkwasser Abwasser Verwaltung von IKT-Diensten Weltraum Einrichtungen der öffentl. Verwaltung und im Sektor der öffentl. Verwaltung auf Bundesebene Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§26) Kritische Einrichtungen gemäß CER-Richtlinie | Mittlere Unternehmen aus folgenden Sektoren: Energie Verkehr Bankwesen Finanzmarkt Gesundheit Trinkwasser Abwasser Verwaltung von IKT-Diensten Weltraum Große & mittlere Untern. aus den Sektoren: Post und Kurier Abfall Chemie Lebensmittel Produktion Digitale Dienste Forschung Einrichtungen im Sektor der öffentlichen Verwaltung auf Landesebene Einrichtungen, die von der Cybersicherheitsbehörde als wichtige Einrichtung eingestuft wurden (§26 Abs.1) |
Wesentlich vs. Wichtig
Ob man als Unternehmen eine wesentliche oder eine wichtige Einrichtung im Sinne der Richtlinie ist, macht bei der Umsetzung der geforderten Sicherheitsmaßnahmen keinen Unterschied.
Es gibt jedoch Unterschiede bei der Aufsicht und den Sanktionen:
Wesentliche Einrichtungen | Wichtige Einrichtungen |
---|---|
regelmäßige und gezielte Sicherheitsprüfungen („ex-ante“) Stichprobenkontrollen Bußgeldrahmen 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) | Überprüfungen nur bei begründetem Verdacht („ex-post“) Vor-Ort-Kontrollen & externe, nachträgliche Aufsichtsmaßnahme Bußgeldrahmen 7 Mio. Euro oder bei 1,4 Prozent des weltweiten Umsatzes |
Digitale Infrastruktur
Für den Sektor „Digitale Infrastruktur“ (laut Anhang I der Richtlinie) gibt es Ausnahmeregelungen für den Anwendungsbereich und die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen:
Was müssen die Unternehmen tun?
Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkrafttreten des NISG 2024 registrieren.
Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten.
Die Leitungsorgane (Geschäftsführer:in bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaft) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen, haften der Einrichtung für den schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.
Welche Risikomaßnahmen sind einzuhalten?
10 Risikomanagementmaßnahmen (Mindestmaßnahmen) sind zwingend einzuhalten:
- Konzept Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen zur Cybersicherheit
- Kryptografie und ggf. Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Begutachtungsentwurf zum NISG 2024 (Risikomanagementmaßnahmen-Bereiche)
Berichtspflichten gegenüber der Behörde
- Unverzüglich, innerhalb von 24 Stunden: Frühwarnung (ggf. Verdacht auf rechtswidrige und schuldhafte Handlung oder grenzüberschreitende Auswirkungen)
- Unverzüglich, jedenfalls innerhalb von 72 Stunden: Meldung (Schweregrad, Auswirkungen, ggf. Komprimittierungsindikatoren)
- Spätestens einen Monat nach Frühwarnung: Abschlussbericht (Beschreibung Vorfall, einschließlich Schweregrad und Auswirkungen, Art der Bedrohung, Ursachen, Abhilfemaßnahmen)
Sollte es im Zuge des Cybersicherheitsvorfalls auch zu einer Verletzung des Schutzes personenbezogener Daten (data breach) gekommen sein, sind zusätzlich die Melde- und Berichtspflichten nach DSGVO zu beachten.
Weiters gibt es die Möglichkeit der freiwilligen Meldung von (Beinahe-)Cybersicherheitsvorfällen, und -bedrohungen an das CSIRT, das die Meldungen zusammenfasst und an die Cybersicherheitsbehörde weiterleitet.
Melden Sie betrügerischen Nachrichten und Internetfallen auch an die Watchlist Internet. So können andere Unternehmen rechtzeitig gewarnt werden.
Sanktionen
Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.
Wer ist verantwortlich?
Die Leitungsorgane (Geschäftsführung bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaften) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen, haften der Einrichtung für den schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.