Das Akronym „NIS“ steht für „Network and Information Security“ oder „Netzwerk- und Informationssicherheit“. Aktuell gilt in Österreich das NIS-Gesetz mit welchem die eine EU-Richtlinie aus dem Jahr 2016 umgesetzt wurde. Hiervon waren nur rund 100 Unternehmen in Österreich betroffen.
Die neue Cybersicherheits-Richtlinie (EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) zielt darauf ab, die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. Erforderliche Maßnahmen und Meldepflichten werden verschärft. Betroffen sind mittlere und große Unternehmen aus den sogenannten „wesentlichen“ und „wichtigen Sektoren“. Über die Lieferkette und als Tochterunternehmen eines großen oder mittleren Unternehmens können auch kleine Unternehmen betroffen sein. Angeblich sind dies ca. 15.000 Unternehmen in Österreich.
Gemäß Artikel 41 Abs. 1 der o.a. Richtlinie gilt:
„Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis. Sie wenden diese Vorschriften ab dem 18. Oktober 2024 an.“
Demgemäß ist aus heutiger Sicht davon auszugehen, dass wahrscheinlich bis spätestens 17. Oktober 2024 ein einhergehendes Gesetz in Österreich in Kraft tritt.
Die Richtlinie schreibt für einige öffentliche oder private Einrichtungen eine Reihe an Maßnahmen vor, welche u.a. in Artikel 21 (Risikomanagementmaßnahmen im Bereich der Cybersicherheit) dargestellt sind.
Die wichtigsten umzusetzenden Maßnahmen sind in Art. 21 Abs. 1 der Richtlinie dargestellt. Konkret lauten diese wie folgt:
Die Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:
Durch unsere umfassenden Erfahrungen im Bereich des Datenschutzes und der Informationssicherheit sind wir in der Lage, Sie bei der Umsetzung der wichtigsten Schritte rasch und unkompliziert zu unterstützen. Gerne stellen wir Ihnen unser Angebot im Rahmen unserer NIS-2 Beratung vor.
DI Kurt Berthold
Experte für DSGVO
Zertifizierter Datenschutzbeauftragter
Zertifizierter ISMS-Manager & -Auditor
Tel.: +43 664 61415 23
Email: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Gelbußen werden im Normalfall verhängt, wenn betroffene Einrichtungen gegen die Artikel 21 (Risikomanagementmaßnahmen im Bereich der Cybersicherheit) oder 23 (Berichtspflichten) der Richtlinie verstoßen.
Für wesentliche Unternehmen beträgt der Bußgeldrahmen 10 Mio. € oder 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört (je nachdem, welcher Betrag höher ist).
Für wichtige Unternehmen beträgt der Bußgeldrahmen 7 Mio. € oder 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört (je nachdem, welcher Betrag höher ist).
Nach Art. 32, Abs. 6 der Richtlinie gilt sinngemäß, dass dass jede natürliche Person, die für eine wesentliche/wichtige Einrichtung verantwortlich ist, befugt ist zu gewährleisten, dass die Einrichtung diese Richtlinie erfüllt.
Zudem ist vorgesehen, dass diese natürlichen Personen für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung dieser Richtlinie haftbar gemacht werden können. Für Einrichtungen der öffentlichen Verwaltung gilt dies unbeschadet der nationalen Rechtsvorschriften über die Haftung von öffentlichen Bediensteten und von gewählten oder ernannten Amtsträgern.
Wesentliche Einrichtungen unterliegen einem umfassenden Ex-ante- und Ex-post Aufsichtssystem. Wichtige Einrichtungen unterliegen einem einfachen, ausschließlich nachträglichen Aufsichtssystem (Ex-post).
Demnach ist davon auszugehen, dass bei wesentlichen Einrichtungen regelmäßige und gezielte Sicherheitsprüfungen stattfinden werden.
Bei wichtigen Einrichtungen sollen Überprüfungen nur bei begründetem Verdacht vorgenommen werden können.
Sie suchen einen externen Datenschutzbeauftragten oder müssen ein Audit vorbereiten?
Sie wollen ein ISO 27001 Zerfifikat erlangen?
Hauptsitz:
Danhausergasse 9/Top 3
1040 Wien
Tel.: +43 664 61415 23
Fax.: +43 664 61415 80
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!