Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie ersetzt die bisherige NIS-Richtlinie aus dem Jahr 2016 und erweitert den Geltungsbereich erheblich. Ziel ist es, kritische und wichtige Sektoren besser vor Cyberangriffen zu schützen und europaweit ein einheitliches Schutzniveau zu schaffen. Die Richtlinie umfasst nun auch Unternehmen, die nicht als Betreiber kritischer Infrastrukturen gelten, aber dennoch eine wesentliche Bedeutung für die Wirtschaft und Gesellschaft haben.
Wer fällt konkret unter die NIS-2-Richtlinie?
Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen:
-
Wesentliche Einrichtungen: Hierzu gehören Organisationen, die in kritischen Bereichen wie Energieversorgung, Wasserwirtschaft, Gesundheitswesen, digitale Infrastruktur und Finanzen tätig sind. Ihre Dienstleistungen sind für das Funktionieren der Gesellschaft unerlässlich, weshalb besonders strenge Sicherheitsanforderungen gelten.
-
Wichtige Einrichtungen: Darunter fallen Unternehmen, die zwar nicht als kritisch eingestuft sind, aber dennoch eine wesentliche Bedeutung für die Wirtschaft oder Gesellschaft haben. Beispiele sind Hersteller von medizinischen Geräten, Anbieter von Cloud-Diensten oder Forschungszentren.
Die Einstufung erfolgt auf Basis bestimmter Kriterien wie Unternehmensgröße, Marktanteil oder Bedeutung der Dienstleistungen. Kleinere Unternehmen (KMU) sind in der Regel ausgenommen, es sei denn, sie erbringen essenzielle Dienstleistungen oder arbeiten in besonders risikobehafteten Bereichen.
Pflichten für Unternehmen
Die NIS-2-Richtlinie legt eine Reihe von Anforderungen fest, die Unternehmen umsetzen müssen. Die wichtigsten Verpflichtungen umfassen:
-
Risikomanagement: Unternehmen müssen Maßnahmen zur Identifikation, Bewertung und Minderung von Risiken implementieren. Dazu gehören technische und organisatorische Schutzmaßnahmen, wie Firewalls, Intrusion Detection-Systeme oder Mitarbeiterschulungen.
-
Berichtspflichten: Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Dienstleistungserbringung haben, müssen innerhalb von 24 Stunden gemeldet werden. Unternehmen sind verpflichtet, einen detaillierten Bericht über den Vorfall innerhalb von 72 Stunden einzureichen.
-
Verantwortlichkeiten der Geschäftsleitung: Die NIS-2-Richtlinie betont die Rolle der Geschäftsleitung. Diese trägt die Verantwortung dafür, dass die Anforderungen eingehalten werden, und kann bei Verfehlungen persönlich haftbar gemacht werden.
-
Zugangskontrollen und Sicherheit der Lieferkette: Unternehmen müssen sicherstellen, dass alle Partner und Zulieferer ebenfalls Sicherheitsstandards einhalten, um Schwachstellen in der Lieferkette zu vermeiden.
- Notfallpläne und Wiederherstellungsfähigkeit: Die Entwicklung von Notfallplänen und die Fähigkeit zur Wiederherstellung nach einem Vorfall sind essenziell. Dies schließt Tests und Übungen ein, um die Effektivität der Pläne zu gewährleisten.
Umsetzung in Österreich
Österreich – wie auch die anderen Mitgliedstaaten – hätten die Vorgaben aus der NIS 2 Richtlinie bis zum 17. Oktober 2024 umsetzen müssen. Zwar liegt bereits ein entsprechendes nationales NISG 2024 im Entwurf vor, dieses wurde jedoch noch nicht beschlossen. Trotz dieses Versäumnisses ist aber klar, dass das NISG 2024 jedenfalls kommen wird. Unternehmen, die unter den Anwendungsbereich der Richtlinie fallen, sollten daher jetzt schon mit den Vorbereitungen beginnen.
Konsequenzen bei Nichtbeachtung
Die Missachtung der Vorgaben der NIS-2-Richtlinie kann erhebliche rechtliche und finanzielle Konsequenzen haben. Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sind möglich. Zudem droht eine persönliche Haftung der Geschäftsleitung.
Fazit
Die NIS-2-Richtlinie stellt Unternehmen in Österreich vor neue Herausforderungen, bietet jedoch auch die Chance, Cybersicherheitsstandards nachhaltig zu verbessern. Unternehmen sollten frühzeitig mit der Umsetzung beginnen, um rechtliche Risiken und Sicherheitslücken zu vermeiden. Gerne unterstützen wir Sie gerne bei der Analyse und Umsetzung der NIS-2-Anforderungen. Für weitere Informationen und eine individuelle Beratung steht Ihnen Anela Blöch unter der Telefonnummer 01 3912345 oder per E-Mail office@atb.law zur Verfügung.