- Günther Klee
- 04.09.2023
- Digitalisierung
Checkliste anfordern: Ist mein Unternehmen betroffen?
Inhaltsverzeichnis
- NIS 2.0 Cybersicherheit-Richtlinie im Überblick
- Ab wann gilt die neue EU-Richtlinie?
- Wen betrifft NIS2: wesentliche und wichtige Einrichtungen
- Wen betrifft NIS2: große und mittlere Unternehmen
- Wen betrifft NIS2: Kleinunternehmen in Einzelfällen
- Geforderte Risikomanagement-Maßnahmen
- Meldepflichten für betroffene Unternehmen
- Sanktionen und Haftung bei Verstößen
- NIS 2 vs. DORA: was ist der Unterschied?
- Haben Sie noch Fragen?
NIS 2.0 Cybersicherheit-Richtlinie im Überblick
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in der Europäischen Union zu stärken. Im Wesentlichen erweitert NIS2 den Anwendungsbereich im Vergleich zur vorherigen NIS-Richtlinie und betrifft nicht nur kritische Infrastrukturen (wie beispielsweise Energie- und Verkehrssysteme), sondern auch wichtige digitale Dienstleister. Betroffene Organisationen müssen strenge Sicherheitsmaßnahmen implementieren und werden zur Durchführung von Risikobewertungen verpflichtet. Um die Umsetzung der Richtlinie zu gewährleisten, müssen die EU-Mitgliedsstaaten eine nationale Cybersicherheitsbehörde einrichten.
Ab wann gilt die NIS2-Richtlinie?
Die NIS2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und ersetzt die derzeit geltende Richtlinie. Bevor NIS2 Auswirkungen auf Unternehmen haben kann, muss sie von den Mitgliedstaaten in nationalen Gesetzten und Vorschriften umgesetzt werden. Die Mitgliedstaaten haben dafür bis zum 17. Oktober 2024 Zeit.
Wen betrifft NIS2: wesentliche und wichtige Einrichtungen
Betroffen sind große und mittlere Unternehmen (siehe Definition unten) aus Sektoren mit hoher Kritikalität sowie aus sonstigen kritischen Sektoren. Innerhalb dieser Sektoren ist von wesentlichen Einrichtungen und wichtigen Einrichtungen die Rede:
| Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|
|
Große Unternehmen:
|
Mittlere Unternehmen:
Große & mittlere Unternehmen:
|
Mittelgroße Unternehmen aus Sektoren mit hoher Kritikalität gelten somit als wichtige Einrichtungen. Sowohl wesentliche als auch wichtige Einrichtungen müssen die Auflagen umsetzen. Unterschiede bestehen bei der Überprüfung durch Behörden und bei den Sanktionen. Währende bei wesentlichen Einrichtungen “ex-ante” regelmäßige Sicherheitsprüfungen durchgeführt werden, erfolgt die Überprüfung bei wichtigen Einrichtungen nur bei begründetem Verdacht.
Wen betrifft NIS2: große und mittlere Unternehmen
NIS2 kategorisiert Unternehmen in Größenklassen:
| Größenklasse laut NIS2 | Mitarbeiter | Jahresumsatz | |
|---|---|---|---|
| Kleines Unternehmen | < 50 | UND | < 10 Mio. Euro |
| Mittleres Unternehmen | < 250 | UND | < 50 Mio. Euro |
| Großes Unternehmen | > 250 | ODER | > 50 Mio. Euro |
Anm.: Anstelle des Jahresumsatzes kann auch die Jahresbilanzsumme herangezogen werden, wobei die Grenze zwischen mittleren und großen Unternehmen bereits bei 43 Mio. (statt 50 Mio.) liegt.
Beispiel: Ein Unternehmen mit 40 Mitarbeitern und 12 Mio. Euro Umsatz gilt somit bereits als mittleres Unternehmen. Bietet dieses Unternehmen z.B. “Digitale Dienste” an (vgl. oben), so handelt es sich laut NIS2 um eine wichtige Einrichtung und es muss eine Reihe an Risiko-Management-Maßnahmen umsetzen.
Wen betrifft NIS2: Kleinunternehmen in Einzelfällen
Kleine Unternehmen (siehe Definition oben) fallen grundsätzlich nicht unter NIS2, es gibt jedoch Ausnahmen. Folgende Unternehmen fallen ungeachtet Ihrer Größe in den Anwendungsbereich der Richtlinie:
- Vertrauensdiensteanbieter
- Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
- TLD-Namenregister und DNS-Dienstanbieter
- Alleinige Anbieter eines Service, der essenziell für die Aufrechterhaltung kritischer gesellschaftliche/wirtschaftlicher Aktivitäten ist
Checkliste anfordern: Ist mein Unternehmen betroffen?
Geforderte Risikomanagement-Maßnahmen für betroffene Unternehmen
- Durchführung einer Risikoanalyse hinsichtlich Sicherheit der Informationssysteme
- Ausarbeitung eines Planes zu Prävention, Detektion und Bewältigung von Sicherheitsvorfällen (Incident Management)
- Sicherstellung der Geschäftskontinuität durch Backup Management, Notfall-Wiederherstellung und Krisenmanagement
- Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei der Beschaffung und Wartung von IT und Netzwerk-Systemen
- Maßnahmen zur Messung von Cyber- und Risikomaßnahmen
- Schulung von Mitarbeiter*innen in den Bereichen Cyber Security und Cyber Hygiene
- Ausarbeitung von Vorgaben bzgl. Kryptografie und Verschlüsselung für alle wesentlichen Bereichen
- Überwachung aller Zugänge und Protokollierung
- Implementierung eines Information-Security-Management-Systems mit Verfahren, Methoden und Tools, um die Informationssicherheit erhöhen (z.B. ISO 27001).
- Einsatz von Multi-Faktor-Authentifizierung und Single-Sign-On
- Einsatz gesicherter Notfall-Kommunikations-Systeme
Meldepflichten für betroffene Unternehmen
Bei signifikanten Vorfällen und Bedrohungen müssen unverzüglich, d.h. innerhalb von 24 Stunden nach Kenntnisnahme, eine Frühwarnung abgegeben werden. Innerhalb von 72 Stunden hat eine offizielle Meldung des Sicherheitsvorfalls zu erfolgen. Ein Monat wiederum nach Übermittlung dieser Meldung ist ein Abschlussbericht an die Behörde zu übermitteln.
Sanktionen bei Verstößen
Der Bußgeldrahmen liegt für wesentliche Einrichtungen bei 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes.
Bei wichtigen Einrichtungen sind die Sanktionen ein klein wenig milder und liegen bei 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes.
NIS2 vs. DORA: was ist der Unterschied?
Die NIS2-Richtlinie und die DORA-Verordnung (Digital Operational Resilience Act) sind beide rechtliche Instrumente der Europäischen Union, die sich mit verschiedenen Aspekten der Cybersicherheit befassen.
NIS2 ist eine Richtlinie, was bedeutet, dass sie von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden muss. Die Mitgliedstaaten haben einen gewissen Spielraum bei der Umsetzung, um die spezifischen Bedürfnisse und Gegebenheiten ihres Landes zu berücksichtigen. DORA ist eine Verordnung, also ein unmittelbar geltender Rechtsakt in allen EU-Mitgliedstaaten, sobald sie in Kraft tritt. Es ist keine nationale Umsetzung erforderlich.
NIS2 betrifft die Betreiber wesentlicher Dienste (siehe Definition oben) und im Unterschied zur NIS1 gelten nun auch die Betreiber digitaler Dienstleister als solche. Die Richtlinie zielt darauf ab, ein hohes Maß an Cybersicherheit in der gesamten EU zu gewährleisten. DORA konzentriert sich auf die Widerstandsfähigkeit des Finanzsystems in der EU. Sie betrifft in erster Linie Finanzinstitute und Organisationen im Finanzsektor. NIS2 und DORA sind somit unterschiedliche Rechtsinstrumente zur Sicherstellung der Cybersicherheit, die auf unterschiedliche Branchen abzielen.
Sie haben noch Fragen?
Wie gehen Sie das Thema NIS2 am besten in Ihrer Organisation an? Wir stehen mit Rat und Tat zur Seite!