- Managed Services
- Lösungen
- Managed Services
Wir übernehmen Datensicherung und IT-Infrastruktur für Sie
- Disaster Recovery
Sensible Geschäftsdaten für den Fall der Fälle geschützt
- Managed Services
- Produkte
- Container-Plattform
Container-Plattform von APA-Tech mit NetApp, F5 & Red Hat
- Object Storage
Die Datenspeicherlösung von APA-Tech
- NetApp Container-Storage
Mit NetApp Trident behalten Sie die Kontrolle über Container-Daten
- Container-Plattform
- Produkte
- Housing und Hosting
Hochverfügbare und ausfallsichere IT-Infrastruktur mit 24/7-Support
- Outsourcing
Wir planen und übernehmen Ihre Unternehmens-IT
- Housing und Hosting
- Blogbeiträge
- Tech-Blog
Neuigkeiten aus der IT-Welt
- 24/7-Kinoerlebnis mit erstklassigem APA-Tech-Support
Interview mit Cineplexx-CIO Sabine Ringhofer
- Got hacked? Interview mit APA-IT Geschäftsführer Clemens Prerovsky
Mehr über Hintergründe und Learnings des Cyberangriffs auf die APA
- Red Hat Advanced Business Partner
APA-Tech ist ab sofort offiziell Red Hat Advanced Business Partner
- Tech-Blog
- Lösungen
- Content publizieren
- Lösungen
- Services für Marketingverantwortliche
vereinfacht Ihre Contentproduktion
- Services für Marketingverantwortliche
- Produkte
- VideoService
Vom Standard-Streaming bis zum individuellen Produktions-Workflow
- Mobile Publishing Suite
Ihre Publikationen als App über Tablets und Smartphones
- ePaperGo-App
Der schnelle Weg zum digitalen Magazin
- VideoService
- Lösungen
- Customizing & Consulting
- Produkte
- Austria Videoplattform
Hochqualitativer und aktueller News-Content im Videoformat
- PR-Desk
Verbreiten, Beobachten und Recherchieren in einem Tool
- Austria-Kiosk
Digitaler Zeitungsstand mit über 400 Zeitungen und Magazinen
- APA-OnlineManager (AOM)
Die zentrale Informations- und Rechercheplattform
- Austria Videoplattform
- Produkte
- Karriere
NIS-2-Richtlinie: Wen trifft sie?
Kritische Unternehmen wie Energieversorger oder Banken sind besonders anfällig, gehackt zu werden. Um sie zu schützen, ist als Weiterentwicklung der Cybersicherheits-Richtlinie (NIS) die NIS-2-Richtlinie am 16. Jänner 2023 in Kraft getreten. Sie gilt ab Oktober 2024 und verpflichtet deutlich mehr Sektoren zu Sicherheitsmaßnahmen.
Die fortschreitende Digitalisierung macht Unternehmen anfälliger für Cyberangriffe. Die EU hat daher mit der Cybersicherheits-Richtlinie NIS-2 den Geltungsbereich der ersten Network-and-Information-Security-Richtlinie (NIS) auf deutlich mehr Unternehmen ausgeweitet. Bisher waren nur Betriebe der kritischen Infrastruktur und digitale Anbieter (bspw. Online-Marktplätze und Cloud Computing Dienste) betroffen. Durch NIS-2 verpflichten sich zukünftig beispielsweise auch Unternehmen aus dem Energie- oder Finanzsektor oder dem Gesundheitswesen. Sie sind angehalten, bestimmte Sicherheitsmaßnahmen zu ergreifen und „Sicherheitsvorfälle“ zu melden.
NIS-Richtlinien in a nutshell
Die NIS-2-Richtlinie der EU ist am 16. Jänner 2023 in Kraft getreten. Die EU-Mitgliedstaaten müssen diese bis Oktober 2024 in nationales Recht umsetzen.
Die derzeit geltende NIS-Richtlinie wurde 2016 von der Europäischen Union verabschiedet und stellt den ersten rechtlichen Rahmen für die Cybersicherheit von Netzwerken und Informationssystemen dar. Sie wurde in Österreich mit dem NIS-Gesetz umgesetzt. Die Richtlinie legt Mindestanforderungen fest, die von Betreibern kritischer Infrastruktur und digitalen Dienstleistern erfüllt werden müssen. Dazu gehören unter anderem die Meldung von Sicherheitsvorfällen, die Durchführung von Risikobewertungen und die Umsetzung geeigneter Sicherheitsmaßnahmen.
Das Ziel von NIS-2
Vor allem die Reaktion auf Sicherheitsvorfälle und die Resilienz sollen hiermit im öffentlichen und privaten Sektor verbessert werden. Die NIS-Richtlinien werden somit auf einen weiteren Teil der Wirtschaft ausgeweitet. Die betroffenen Unternehmen müssen geeignete Risikomanagementmaßnahmen für ihr Netz und Informationssystem treffen und unterliegen der Meldepflicht bei Sicherheitsvorfällen.
Betroffene Unternehmen
Welche Unternehmen zukünftig betroffen sind, hat die Wirtschaftskammer Österreich (WKO) im Detail aufgelistet. Die Abgrenzung erfolgt einerseits nach Sektoren (Energie, Verkehr, Bankwesen usw.), andererseits nach der Unternehmensgröße. Die neuen Regeln gelten ab Oktober 2024 vor allem für große und mittlere Unternehmen. In Ausnahmefällen gelten sie auch für kleine Betriebe, Sonderregelungen gibt es z.B. für den Sektor „Digitale Infrastruktur“. Die Unternehmensgröße entscheidet auch darüber, ob ein Unternehmen als wesentlich (große Unternehmen ab 250 Beschäftigen) oder wichtig (mittlere Unternehmen ab 50 Beschäftigten) eingestuft wird.
Sanktionen bei Nichteinhaltung
Die Unterscheidung in „wesentlich“ oder „wichtig“ ist bei der Aufsicht und bei der Verhängung von Sanktionen relevant. So werden wesentliche Einrichtungen gezielten Sicherheitsprüfungen unterzogen, wichtige Einrichtungen nur bei begründetem Verdacht. Auch die Strafen fallen bei größeren Unternehmen höher aus. Es können Bußgeldmaßnahmen von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes (je nachdem welcher Betrag höher ist) über „wesentliche“ Unternehmen verhängt werden. Bei „wichtigen“ Einrichtungen liegt der Bußgeldrahmen bei bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes.
Welche Maßnahmen sind zu treffen?
Für betroffene Unternehmen ist es wichtig, Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Unter die Mindestmaßnahmen fallen unter anderem:
- Risikoanalyse Konzept
- Sicherheitsvorfälle und Bewältigung solcher
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette inklusive Sicherheitsaspekten der Beziehungen zwischen den Einrichtungen und ihren Anbietern und Drittanbietern
- Bewertung und Wirksamkeit von Risikomanagementmaßnahmen: Konzept und Verfahren
- Cyberhygiene und Schulungen zur Cybersicherheit
- Verschlüsselungen und Sicherheit des Personals, Konzepte für die Zugriffskontrolle
- Multi-Faktor-Authentifizierung etc.
Fazit:
Die NIS- und NIS-2-Richtlinien spielen eine entscheidende Rolle bei der Stärkung der Cybersicherheit in der Europäischen Union und insbesondere für kritische Infrastruktur. Sie setzen Mindeststandards für den Schutz von Netzwerken und Informationssystemen und fördern die Zusammenarbeit zwischen den Mitgliedstaaten. Durch die Umsetzung dieser Richtlinien wird die Resilienz gegenüber Cyberangriffen erhöht und die Sicherheit kritischer Infrastruktur gestärkt, um einen zuverlässigen Betrieb und das Vertrauen der Bürger in digitale Dienste sicherzustellen.
Das könnte Sie auch interessieren
Produkt
ePaperGo-App
ePaper Go ist eine ePaper-App, die es Ihnen durch vollautomatisierte Produktionsprozesse ermöglicht, Printpublikationen zu digitalisieren und als ePaper auf Smartphones oder Tablets auszuspielen.
Produkt
Geballte PR-Power in einem Tool
Um den Alltag von PR-Expert:innen optimal zu unterstützen, haben wir den PR-Desk entwickelt. Dieser begleitet Sie bei allen wichtigen Aufgaben.
Kampagne
PictureDesk-Coverbilder
Sie sind auf der Suche nach einem Bild für Ihr nächstes Cover? Bei APA-PictureDesk finden Sie Porträts prominenter Persönlichkeiten und exklusives und qualitativ hochwertiges Creative-Material.