Die NIS-2-Richtlinie der Europäischen Union, offiziell als Richtlinie (EU) 2022/2555 bezeichnet, wurde am 16. Januar 2023 in Kraft gesetzt. Sie zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau innerhalb der Mitgliedstaaten zu gewährleisten. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert sowohl den Anwendungsbereich als auch die Anforderungen erheblich. Die Mitgliedstaaten waren verpflichtet, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Österreich wurde dieser Prozess durch Anpassungen des Netz- und Informationssystemsicherheitsgesetzes (NISG) realisiert.
Erweiterter Anwendungsbereich und betroffene Sektoren
Die NIS-2-Richtlinie definiert klare Kriterien für die betroffenen Einrichtungen und unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Diese Kategorisierung basiert auf der Kritikalität der Sektoren und der Größe der Unternehmen. Die Richtlinie gilt für öffentliche oder private Einrichtungen der in den Anhängen I (Sektoren mit hoher Kritikalität) und II (sonstige kritische Sektoren) genannten Art, die bestimmte Größenkriterien erfüllen. (nis.gv.at)
Wesentliche Einrichtungen
- Energiesektor: Elektrizität, Erdgas, Öl
- Verkehr: Luft-, Schienen-, Wasser- und Straßenverkehr
- Bankwesen: Kreditinstitute
- Finanzmarktinfrastrukturen: Handelsplätze, zentrale Gegenparteien
- Gesundheitswesen: Krankenhäuser, private Kliniken
- Trinkwasserversorgung und -verteilung
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Herstellung von chemischen Erzeugnissen
- Lebensmittelproduktion und -vertrieb
- Anbieter digitaler Dienste: Online-Marktplätze, Online-Suchmaschinen, Cloud-Computing-Dienste
- Forschungseinrichtungen
Diese Ausweitung bedeutet, dass nun deutlich mehr Unternehmen und Organisationen den Anforderungen der NIS-2-Richtlinie unterliegen. Insbesondere mittlere und große Unternehmen in den genannten Sektoren sind betroffen. Klein- und Kleinstunternehmen sind grundsätzlich ausgenommen, es sei denn, sie erbringen besonders sicherheitskritische Dienstleistungen.
Zentrale Verpflichtungen für betroffene Unternehmen
Die NIS-2-Richtlinie legt für betroffene Unternehmen und Organisationen eine Reihe von Verpflichtungen fest, die darauf abzielen, die Cybersicherheit zu erhöhen und die Reaktionsfähigkeit auf Sicherheitsvorfälle zu verbessern.
Wichtige Maßnahmen
- Risikomanagementmaßnahmen: Unternehmen müssen geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu bewältigen. Dies umfasst unter anderem regelmäßige Risikoanalysen, die Implementierung von Sicherheitsrichtlinien und die Sicherstellung der physischen und logischen Sicherheit von Informationssystemen.
- Meldepflichten: Bei erheblichen Sicherheitsvorfällen sind betroffene Unternehmen verpflichtet, die zuständigen Behörden unverzüglich zu informieren. Die Meldung muss innerhalb von 24 Stunden nach Feststellung des Vorfalls erfolgen und eine erste Einschätzung der Auswirkungen sowie Informationen zu bereits ergriffenen oder geplanten Gegenmaßnahmen enthalten. Eine ausführliche Berichterstattung ist innerhalb von drei Tagen nach der ersten Meldung erforderlich.
- Sicherheitsanforderungen in der Lieferkette: Unternehmen müssen die Sicherheit ihrer Lieferkette berücksichtigen und sicherstellen, dass auch Dienstleister und Lieferanten angemessene Sicherheitsstandards einhalten. Dies beinhaltet die Bewertung von Risiken durch Drittanbieter sowie die Integration von Sicherheitsanforderungen in Verträge und Beschaffungsprozesse.
- Haftung der Leitungsorgane: Geschäftsführer und Vorstände sind dafür verantwortlich, die Umsetzung der Cybersicherheitsmaßnahmen zu überwachen. Sie können für Verstöße haftbar gemacht werden, was die persönliche Verantwortung für die Cybersicherheit im Unternehmen unterstreicht.
Umsetzung der NIS-2-Richtlinie in Österreich
Österreich war verpflichtet, die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Die Umsetzung erfolgte durch eine Novelle des Netz- und Informationssystemsicherheitsgesetzes (NISG). Seit Inkrafttreten der nationalen Regelungen gelten die neuen Anforderungen für betroffene Unternehmen und Organisationen.
Die Wirtschaftskammer Österreich (WKO) bietet umfassende Informationen und Unterstützung für Unternehmen, die von der NIS-2-Richtlinie betroffen sind. Dazu gehören Online-Ratgeber zur Feststellung der Betroffenheit, Leitfäden zur Umsetzung der erforderlichen Maßnahmen sowie Schulungsangebote zur Sensibilisierung für Cybersicherheitsthemen.
Praktische Schritte zur Umsetzung der NIS-2-Anforderungen
Für Unternehmen, die den Anforderungen der NIS-2-Richtlinie unterliegen, ist es entscheidend, proaktiv zu handeln und die notwendigen Maßnahmen zur Erhöhung der Cybersicherheit umzusetzen. Folgende Schritte sind dabei besonders wichtig:
- Durchführung einer umfassenden Risikoanalyse: Identifizieren Sie potenzielle Bedrohungen und Schwachstellen in Ihren Netz- und Informationssystemen.
- Implementierung von Sicherheitsrichtlinien und -verfahren: Erarbeiten Sie klare Richtlinien für den sicheren Betrieb Ihrer IT-Systeme und schulen Sie Ihre Mitarbeiter entsprechend.
- Etablierung eines Vorfallmanagementprozesses: Stellen Sie sicher, dass Sicherheitsvorfälle schnell erkannt, gemeldet und effektiv behandelt werden.
- Überprüfung der Lieferkette: Bewerten Sie die Cybersicherheitspraktiken Ihrer Dienstleister und Lieferanten und integrieren Sie Sicherheitsanforderungen in Ihre Verträge.
- Schaffung eines Notfallplans: Entwickeln Sie einen detaillierten Notfallplan für Cyberangriffe, um schnell und effizient auf Bedrohungen reagieren zu können.
- Regelmäßige Audits und Tests: Führen Sie regelmäßige Sicherheitsüberprüfungen und Penetrationstests durch, um Schwachstellen zu identifizieren und Sicherheitsmaßnahmen kontinuierlich zu verbessern.