Hier erfahren Sie mehr über die NIS-2-Richtlinie und das
Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024)

Wofür steht NIS?

Das Akronym „NIS“ steht für „Network and Information Security“ oder „Netzwerk- und Informationssicherheit“. Aktuell gilt in Österreich das NIS-Gesetz mit welchem die eine EU-Richtlinie aus dem Jahr 2016 umgesetzt wurde. Hiervon waren nur rund 100 Unternehmen in Österreich betroffen.

Warum NIS-2?

Die neue Cybersicherheits-Richtlinie (EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) zielt darauf ab, die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. Erforderliche Maßnahmen und Meldepflichten werden verschärft. Betroffen sind mittlere und große Unternehmen aus den sogenannten „wesentlichen“ und „wichtigen Sektoren“. Über die Lieferkette und als Tochterunternehmen eines großen oder mittleren Unternehmens können auch kleine Unternehmen betroffen sein. Angeblich sind dies ca. 15.000 Unternehmen in Österreich.

Ab wann gelten die Regelungen von NIS-2?

Gemäß Artikel 41 Abs. 1 der o.a. Richtlinie gilt:
„Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis. Sie wenden diese Vorschriften ab dem 18. Oktober 2024 an.“

Demgemäß ist aus heutiger Sicht davon auszugehen, dass wahrscheinlich bis spätestens 17. Oktober 2024 ein einhergehendes Gesetz in Österreich in Kraft tritt.

Was sind die wesentlichen Inhalte der NIS-2 Richtlinie?

Die Richtlinie schreibt für einige öffentliche oder private Einrichtungen eine Reihe an Maßnahmen vor, welche u.a. in Artikel 21 (Risikomanagementmaßnahmen im Bereich der Cybersicherheit) dargestellt sind.

Die wichtigsten umzusetzenden Maßnahmen sind in Art. 21 Abs. 1 der Richtlinie dargestellt. Konkret lauten diese wie folgt:

Die Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
  2. Bewältigung von Sicherheitsvorfällen;
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Was ist zu tun?

  • Klären Sie ab, ob Ihr Unternehmen betroffen ist
  • Planen Sie entsprechende Ressourcen ein
  • Erstellen Sie eine Liste Ihrer Assets (Unternehmenswerte)
  • Bauen Sie ein Risikomanagementsystem auf
  • Schließen Sie die Lücken in Bezug auf NIS-2
  • Bauen Sie ein Internes Kontrollsystem (IKS) auf
  • Ermitteln Sie die erforderlichen Maßnahmen
  • Setzen Sie die erforderlichen Maßnahmen um
  • Prüfen Sie laufend ob die Maßnahmen wirken!

Wir helfen Ihnen bei der Umsetzung!

Durch unsere umfassenden Erfahrungen im Bereich des Datenschutzes und der Informationssicherheit sind wir in der Lage, Sie bei der Umsetzung der wichtigsten Schritte rasch und unkompliziert zu unterstützen. Gerne stellen wir Ihnen unser Angebot im Rahmen unserer NIS-2 Beratung vor.

DI Kurt Berthold
Experte für DSGVO
Zertifizierter Datenschutzbeauftragter
Zertifizierter ISMS-Manager & -Auditor
Tel.: +43 664 61415 23
Email: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Wissenswert

Rechtstexte

Die Rechtstexte der NIS-2-Richtlinie sind in sämtlichen Amtssprachen der EU hier abrufbar.

Sind Sie betroffen?

Betroffen sind große und mittlere Unternehmen aus bestimmten Sektoren.
Diese Sektoren mit "hoher Kritikalität" und "sonstige kritische Sektoren" sind im ANHANG I/II der Richtlinie angeführt.
Falls Ihr/e Unternehmen/Organisation mehr als 50 Personen beschäftigt ODER Ihr Jahresumsatz ODER Jahresbilanz mehr als 10 Mio. EUR beträgt und Ihr/e Unternehmen/Organisation einem der Sektoren gemäß ANHANG I/II der Richtlinie zugeordnet werden kann, könnten Sie betroffen sein.

Berichtspflichten

Erhebliche Cybersicherheitsvorfälle müssen über ein dreistufiges Meldeverfahren an das zuständige CSIRT (Cybersecurity Incident Response Team) wie folgt gemeldet werden.
  • Frühwarnung bei Verdacht: unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme
  • Erste Bewertung: unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme
  • Abschlussmeldung: bis 1 Monat nach der Meldung (ggf. sind Zwischenmeldungen erforderlich)

SEKTOREN MIT HOHER KRITIKALITÄT

Gemäß Anlage 1 NISG2024 (derzeit Entwurf)
  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (Business-to-Business
  • öffentliche Verwaltung
  • Weltraum

SONSTIGE KRITISCHE SEKTOREN

Gemäß Anlage 2 NISG2024 (derzeit Entwurf)
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Geldbußen

Gelbußen werden im Normalfall verhängt, wenn betroffene Einrichtungen gegen die Artikel 21 (Risikomanagementmaßnahmen im Bereich der Cybersicherheit) oder 23 (Berichtspflichten) der Richtlinie verstoßen.

Für wesentliche Unternehmen beträgt der Bußgeldrahmen 10 Mio. € oder 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört (je nachdem, welcher Betrag höher ist).

Für wichtige Unternehmen beträgt der Bußgeldrahmen 7 Mio. € oder 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört (je nachdem, welcher Betrag höher ist).

Persönliche Haftung

Nach Art. 32, Abs. 6 der Richtlinie gilt sinngemäß, dass dass jede natürliche Person, die für eine wesentliche/wichtige Einrichtung verantwortlich ist, befugt ist zu gewährleisten, dass die Einrichtung diese Richtlinie erfüllt.

Zudem ist vorgesehen, dass diese natürlichen Personen für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung dieser Richtlinie haftbar gemacht werden können. Für Einrichtungen der öffentlichen Verwaltung gilt dies unbeschadet der nationalen Rechtsvorschriften über die Haftung von öffentlichen Bediensteten und von gewählten oder ernannten Amtsträgern.

Behördliche Aufsicht

Wesentliche Einrichtungen unterliegen einem umfassenden Ex-ante- und Ex-post Aufsichtssystem. Wichtige Einrichtungen unterliegen einem einfachen, ausschließlich nachträglichen Aufsichtssystem (Ex-post).

Demnach ist davon auszugehen, dass bei wesentlichen Einrichtungen regelmäßige und gezielte Sicherheitsprüfungen stattfinden werden.

Bei wichtigen Einrichtungen sollen Überprüfungen nur bei begründetem Verdacht vorgenommen werden können.

Risikomanagement

Nehmen Sie sich genügend Zeit, um ein strukturiertes Risikomanagement aufzubauen. Orientieren Sie sich hierbei z.B. an den Vorgaben der ISO-27005. Ein Informationssicherheits-Risiko kann die Informationssicherheits-Ziele Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen. Wählen Sie eine systematische Methode, um Risiken auch bei großer Zahl, Komplexität und damit Unüberschaubarkeit sinnvoll und vernünftig zu managen.

Wesentliche Einrichtungen

Gemäß § 24.(1) NISG2024 (Entwurf)

Als wesentliche Einrichtungen gelten,
1. unabhängig von der Unternehmensgröße,
  1. qualifizierte Vertrauensdiensteanbieter,
  2. Namenregister der Domäne oberster Stufe (TLD Namenregister),
  3. Domänennamensystem-Diensteanbieter,
  4. Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene,
  5. Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26) sowie
  6. Einrichtungen, die als kritische Einrichtungen im Sinne der Richtlinie (EU) 2022/2557) ermittelt wurden;
2. Einrichtungen, die ein mittleres Unternehmen gemäß § 25 Abs. 3 betreiben und Anbieter öffentlicher elektronischer Kommunikationsnetze sowie Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste sind;

3. Einrichtungen der in Anlage 1 dieses Gesetzes genannten Art, die ein großes Unternehmen gemäß § 25 Abs. 2 betreiben.

Wichtige Einrichtungen

Gemäß § 24.(2) NISG2024 (Entwurf)

Als wichtige Einrichtung gelten
1. Einrichtungen der in den Anlagen 1 und 2 des NISG2024 (siehe oben) genannten Art, die ein großes oder mittleres Unternehmen betreiben sowie

2. Einrichtungen im Sektor der öffentlichen Verwaltung auf Landesebene gemäß Abs. 5 und

3. unabhängig von ihrer Größe
  1. Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen Kommunikationsdiensten,
  2. Vertrauensdiensteanbieter, und
  3. Einrichtungen, die von der Cybersicherheitsbehörde als wichtige Einrichtung eingestuft wurden

und diese Einrichtung nicht bereits eine wesentliche Einrichtung nach Abs. 1 ist.

Risikomanagementmaßnahmen

Gemäß NISG2024 (Entwurf)

Wesentliche und wichtige Einrichtungen haben innerhalb von sechs Monaten nach Aufforderung durch die Cybersicherheitsbehörde dieser eine Aufstellung umgesetzter Risikomanagementmaßnahmen gemäß § 32 zu übermitteln (Selbstdeklaration).

Wesentliche Einrichtungen haben innerhalb von drei Jahren nach Aufforderung zur Selbstdeklaration, frühestens jedoch sechs Monate vor Ablauf dieser Frist, die Umsetzung der Risikomanagementmaßnamen gemäß § 32 gegenüber der Cybersicherheitsbehörde mittels einer Prüfung durch eine unabhängige Stelle nachzuweisen.

Unsere Workshops und Leistungen

Datenschutzgrundverordnung

Sie suchen einen externen Datenschutzbeauftragten oder müssen ein Audit vorbereiten?

Informationssicherheits-managementsystem (ISMS)

Sie wollen ein ISO 27001 Zerfifikat erlangen?

NIS-2 Beratung

Sie wollen Unterstützung bei der Umsetzung der NIS-2 Richtlinie?

Kontaktformular

Vorname:**
Nachname:**
Telefon:
E-Mail *
Unternehmen:**
Interesse an (Mehrfachauswahl möglich):Mehrfachauswahl möglich
NIS-2-Beratung
Aufbau eines Internen Kontrollsystems (IKS)
Aufbau eines Risikomanagementsystems
Sonstiges (bitte spezifizieren)
Sonstige Interessen, Nachrichten an clever data

Verantwortlicher ist die clever data gmbh, Danhausergasse 9/Top 3, A-1040 Wien, office@cleverdata.at. Ihre E-Mail-Adresse sowie Ihre weiteren Kontaktdaten, falls Sie diese angebeben haben, werden für eine Kontaktaufnahme zu den von Ihnen angegebenen Themen verwendet. Ihre personenbezogenen Daten werden aufgrund Ihrer Einwilligung verarbeitet, welche Sie jederzeit einfach mit einer E-Mail an office@cleverdata.at mit dem Wort "abmelden" im Betreff widerrufen können. Mit dem Widerruf werden Ihre personenbezogenen Daten gelöscht, sofern kein besonderer Aufbewahrungsgrund im Einzelfall vorliegt, der eine längere Speicherdauer rechtfertigt bzw. erfordert. Sie sind berechtigt, folgende Betroffenenrechte uns gegenüber geltend zu machen: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Beschwerde bei der österreichischen Datenschutzbehörde. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

 

** Für die Kontaktaufnahme ist die Angabe dieser Daten nicht erforderlich; wir würden uns jedoch freuen, wenn Sie uns diese Daten bekanntgeben, damit wir Sie persönlich ansprechen und zielgerichtet informieren können.

Firmensitz

  • Hauptsitz:
    Danhausergasse 9/Top 3
    1040 Wien

  • Vertrieb und Beratung Österreich: Alser Straße 26/7a, 1090 Wien
  • Vertrieb und Beratung Deutschland: Siemensstraße 32, D-71394 Kernen im Remstal

Kontakt

  • Tel.: +43 664 61415 23

  • Fax.: +43 664 61415 80

  • E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Rechtliches

© 2024 clever data gmbh