Neue Regelungen für mehr Cybersicherheit in der EU

Bis 17. Oktober 2024 muss die neue Cybersicherheitsrichtlinie „NIS2” umgesetzt werden. Alle Infos im Überblick.

NIS steht für die Sicherheit der Netz- und Informationssysteme. Derzeit gilt die NIS-Richtlinie aus 2016, die in Österreich mit dem NIS-Gesetz (Ende 2018) umgesetzt wurde. Die derzeit geltenden Regelungen betreffen vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste). Mit „NIS2” gelten auch für andere Sektoren konkrete Mindeststandards für Cybersicherheit und Meldepflichen bei Sicherheitsvorfällen.

Resilienz verbessern

Ziel der „NIS2” Richtlinie ist es, die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU zu verbessern. Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.

Betroffene Unternehmen

Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:

• Wesentliche Einrichtungen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser (neu), Digitale Infrastruktur, Verwaltung von IKT-Diensten B2B (neu), öffentliche Verwaltung (neu), Weltraum (neu);
• Wichtige Einrichtungen: Post- und Kurierdienste (neu), Abfallbewirtschaftung (neu), Chemie (neu), Lebensmittel (neu), verarbeitendes/herstellendes Gewerbe (neu), Anbieter digitaler Dienste, Forschung (neu; fakultativ);

Kleine Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und die entweder einen xxxxxxxxJahresumsatz von höchstens 10 Millionen Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Millionen Euro beläuft, fallen nicht unter NIS2.

Dabei gibt es jedoch Ausnahmen - folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:

• Vertrauensdiensteanbieter,
• Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste,
• TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern,
• Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten.

Welche Regelungen zu beachten sind

Fällt ein Unternehmen in den Anwendungsbereich der NIS2, müssen folgende Punkte beachtet werden:

• Risikomanagementmaßnahmen (z.B. Konzepte für Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Backupmanagement, Schulung von Mitarbeitern).
• Lieferketten und Abhängigkeiten von Partnerunternehmen müssen inkludiert werden.
• Meldepflichten: Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen drei Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.

Maßnahmen bei Nichterfüllung

Bei Nichterfüllung drohen Sanktionen bis zu zehn Millionen Euro oder zwei Prozent des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. sieben Millionen Euro oder 1,4 Prozent des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Leitungsorgane (Geschäftsführer und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.