apa.at
blog / Montag 28.08.23

NIS-2-Richtlinie: Wen trifft sie?

Kritische Unternehmen wie Energieversorger oder Banken sind besonders anfällig, gehackt zu werden. Um sie zu schützen, ist als Weiterentwicklung der Cybersicherheits-Richtlinie (NIS) die NIS-2-Richtlinie am 16. Jänner 2023 in Kraft getreten. Sie gilt ab Oktober 2024 und verpflichtet deutlich mehr Sektoren zu Sicherheitsmaßnahmen.
Science Photo Library / picturedesk.com

Die fortschreitende Digitalisierung macht Unternehmen anfälliger für Cyberangriffe. Die EU hat daher mit der Cybersicherheits-Richtlinie NIS-2 den Geltungsbereich der ersten Network-and-Information-Security-Richtlinie (NIS) auf deutlich mehr Unternehmen ausgeweitet. Bisher waren nur Betriebe der kritischen Infrastruktur und digitale Anbieter (bspw. Online-Marktplätze und Cloud Computing Dienste) betroffen. Durch NIS-2 verpflichten sich zukünftig beispielsweise auch Unternehmen aus dem Energie- oder Finanzsektor oder dem Gesundheitswesen. Sie sind angehalten, bestimmte Sicherheitsmaßnahmen zu ergreifen und „Sicherheitsvorfälle“ zu melden.

NIS-Richtlinien in a nutshell

Die NIS-2-Richtlinie der EU ist am 16. Jänner 2023 in Kraft getreten. Die EU-Mitgliedstaaten müssen diese bis Oktober 2024 in nationales Recht umsetzen.

Die derzeit geltende NIS-Richtlinie wurde 2016 von der Europäischen Union verabschiedet und stellt den ersten rechtlichen Rahmen für die Cybersicherheit von Netzwerken und Informationssystemen dar. Sie wurde in Österreich mit dem NIS-Gesetz umgesetzt. Die Richtlinie legt Mindestanforderungen fest, die von Betreibern kritischer Infrastruktur und digitalen Dienstleistern erfüllt werden müssen. Dazu gehören unter anderem die Meldung von Sicherheitsvorfällen, die Durchführung von Risikobewertungen und die Umsetzung geeigneter Sicherheitsmaßnahmen.

Das Ziel von NIS-2

Vor allem die Reaktion auf Sicherheitsvorfälle und die Resilienz sollen hiermit im öffentlichen und privaten Sektor verbessert werden. Die NIS-Richtlinien werden somit auf einen weiteren Teil der Wirtschaft ausgeweitet. Die betroffenen Unternehmen müssen geeignete Risikomanagementmaßnahmen für ihr Netz und Informationssystem treffen und unterliegen der Meldepflicht bei Sicherheitsvorfällen.

Betroffene Unternehmen

Welche Unternehmen zukünftig betroffen sind, hat die Wirtschaftskammer Österreich (WKO) im Detail aufgelistet. Die Abgrenzung erfolgt einerseits nach Sektoren (Energie, Verkehr, Bankwesen usw.), andererseits nach der Unternehmensgröße. Die neuen Regeln gelten ab Oktober 2024 vor allem für große und mittlere Unternehmen. In Ausnahmefällen gelten sie auch für kleine Betriebe, Sonderregelungen gibt es z.B. für den Sektor „Digitale Infrastruktur“. Die Unternehmensgröße entscheidet auch darüber, ob ein Unternehmen als wesentlich (große Unternehmen ab 250 Beschäftigen) oder wichtig (mittlere Unternehmen ab 50 Beschäftigten) eingestuft wird.

Sanktionen bei Nichteinhaltung

Die Unterscheidung in „wesentlich“ oder „wichtig“ ist bei der Aufsicht und bei der Verhängung von Sanktionen relevant. So werden wesentliche Einrichtungen gezielten Sicherheitsprüfungen unterzogen, wichtige Einrichtungen nur bei begründetem Verdacht. Auch die Strafen fallen bei größeren Unternehmen höher aus. Es können Bußgeldmaßnahmen von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes (je nachdem welcher Betrag höher ist) über „wesentliche“ Unternehmen verhängt werden. Bei „wichtigen“ Einrichtungen liegt der Bußgeldrahmen bei bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes.

Welche Maßnahmen sind zu treffen?

Für betroffene Unternehmen ist es wichtig, Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Unter die Mindestmaßnahmen fallen unter anderem:

  • Risikoanalyse Konzept
  • Sicherheitsvorfälle und Bewältigung solcher
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette inklusive Sicherheitsaspekten der Beziehungen zwischen den Einrichtungen und ihren Anbietern und Drittanbietern
  • Bewertung und Wirksamkeit von Risikomanagementmaßnahmen: Konzept und Verfahren
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Verschlüsselungen und Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung etc.

Fazit:

Die NIS- und NIS-2-Richtlinien spielen eine entscheidende Rolle bei der Stärkung der Cybersicherheit in der Europäischen Union und insbesondere für kritische Infrastruktur. Sie setzen Mindeststandards für den Schutz von Netzwerken und Informationssystemen und fördern die Zusammenarbeit zwischen den Mitgliedstaaten. Durch die Umsetzung dieser Richtlinien wird die Resilienz gegenüber Cyberangriffen erhöht und die Sicherheit kritischer Infrastruktur gestärkt, um einen zuverlässigen Betrieb und das Vertrauen der Bürger in digitale Dienste sicherzustellen.