Blog Posts Tags Kategorien

Inhalt

NIS 2 - Was Sie wissen sollten

David Drexler enthalten in Compliance
   890 Wörter   5 Minuten 
/blog/images/nis2_1.jpg

Was ist die NIS 2?

Die NIS 2-Richtlinie ist aktuell in Kreisen der Informationssicherheit in aller Munde. Wie die Zwei im Titel nahelegt, gibt es ja bereits eine NIS (1), die Richtlinie zur Netz- und Informationssicherheit, die 2016 in Kraft getreten ist.

Die Richtlinien gelten EU-weit und müssen in allen Mitgliedsstaaten auf nationaler Basis umgesetzt werden. Im Fall der NIS 1 geschah das in Österreich in Form des NIS-Gesetzes, welches 2016 verabschiedet wurde.

Wo findet sich ein guter Überblick?

Der beste Startpunkt für österreichische Unternehmen ist die Website der WKO.

Wie finde ich heraus, ob mein Unternehmen betroffen ist?

Wenn Ihre Organisation bereits von der NIS-1 betroffen war, dann ist sie jedenfalls auch von der NIS-2 betroffen, da das Feld der “Wesentlichen Einrichtungen” (vorm. “Betreiber wesentlicher Dienste, BwD) und der “Wichtigen Einrichtungen” erweitert wurde.

Die Branche Ihrer Organisation dient dabei als erster Indikator dafür, ob Ihre Organisation betroffen sein könnte. Der Bereich der “Wesentlichen Einrichtungen” wurde um Energieanbieter wie Fernwärme und Wasserstoff erweitert. Der Bereich Verkehr wurde um die Branche Schifffahrt erweitert.

Zugehörig zum Bereich Gesundheit kommen Labore, Forschung und Herstellung von pharmazeutischen und medizinischen Produkten und Geräten dazu.

Die folgenden Tabelle gibt einen gesammelten Überblick:

Wesentliche Einrichtungen:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten B2B
  • öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie
  • Lebensmittel
  • verarbeitendes/herstellendes Gewerbe
  • Anbieter digitaler Dienste
  • Forschung (fakultativ)

Dem Staat Österreich ist (wie auch allen anderen Mitgliedsstaaten) erlaubt, weitere wesentliche und wichtige Einrichtungen zu definieren.

Können auch kleine Unternehmen betroffen sein?

Grundsäztlich fallen Unternehmen mit weniger als 50 Mitarbeitenden unten einem Jahresumsatz unter 10 Millionen Euro nicht unter die Regelung der NIS 2.

Ausnahmen gelten allerdings für

  • Vertrauensdienstanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Unternehmen, die Liferanten oder Dienstleister von betroffenen Unternehmen sind, müssen die Regelungen ebenfalls einhalten.

Was sind die Unterschiede zur NIS 1?

  • Betroffene Unternehmen
  • gestraffte Meldepflichten
  • Anwendungsbereich
  • Maßnahmen

Welche Maßnahmen sind zu treffen?

Erst das novellierte NIS-Gesetz wird die ganz konkreten Maßnahmen für Österreich festlegen. Allerdings kann man anhand der Richtlinie bereits sagen, dass die betroffenen Unternehmen um die Einführung folgender Maßnahmen und Prinzipien nicht herumkommen werden.

  • Informationssicherheits-Risikomanagement
  • Incident Management (Behandlung von Sicherheitsvorfällen)
  • Business Continuity (Aufrechterhaltung und Wiederherstellung des Betriebes)
  • IAM (Identitäts und Zugriffsmanagement) - dies inkludiert auch den Einsatz von Multi-Faktor-Lösungen zur Authentifizierung
  • Maßnahmen zur Steigerung des Informationssicherheitsbewusstseins (= Awareness-Schulungen)
  • Sensibilisierung und Schulungen des Personals
  • Netzwerksegmentierung
  • Update-Management
  • Einführung eines Zero-Trust-Prinzips

Bei all den aufgeführten Maßnahmen gilt, dass diese mit den Grenzen der eigenen Organisation nicht zwingend erfüllt sind. Themen wie etwa das Zero-Trust-Prinzip müssen naturgemäß die gesamte Versorgungskette betrachten.

Die detaillierte Ausgestaltung der Maßnahmen wird sich im novellierten NIS-Gesetz finden.

Was ist konkret zu unternehmen, wenn meine Organisation von der NIS 2 betroffen ist?

Die Vorgaben der Richtlinie müssen bis Oktober 2024 umgesetzt werden. Wenn Ihre Organisation Teil der “Wesentlichen” oder “Wichtigen Einrichtungen” ist, müssen Sie bei Ihrem Security-Konzept vermutlich nicht bei Null anfangen. Zunächst sollten Sie eine Gap-Analyse durchführen lassen, um festzustellen, was Ihnen fehlt um den Anforderungen gerecht zu werden.

Welche Fristen gelten?

Die NIS 2 wurde Ende 2022 im Amtsblatt der EU veröffentlicht und ist somit in Kraft getreten. Die aktuell vorgesehene Umsetzungsfrist auf nationaler Ebene beträgt 21 Monate. Das bedeutet, dass das österreichische NIS-Gesetz voraussichtlich ab 18. Oktober 2024 novelliert wird und fortan geltendes Recht ist.

Wie sind die Meldepflichten geregelt?

Bedrohungen und Vorfälle, welche als signifikant einzustufen sind, müssen den Behörden gemeldet werden. Eine Frühwarnung soll gemäß der Richtlinie “unverzüglich”, jedenfalls aber binnen 24 Stunden nach Erkennung erfolgen. Die tatsächliche Meldung muss dann binnen 72 Stunden erfolgen. Innerhalb eines Monats nach Übermittlung der Meldung ist darüberhinaus ein Abschlussbericht einzubringen.

Wie hoch sind die Strafen bei Übertretungen?

Der festgesetzte Bußgeldrahmen sieht vor, dass wesentliche Einrichtungen bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes an Bußgeldern zahlen müssen (der höhere Betrag gilt). Diese Summen sind gedeckelt, stellen also das Höchstmaß dar. Strafen können natürlich auch geringer ausfallen.

Bei den “Wichtigen Einrichtungen” liegen die Höchststrafen bei 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes.

Kann man bei Übertretungen sowohl nach NIS 2 als auch nach DSGVO (Datenschutzgrundverordnung) gestraft werden?

Wenn eine Verletzung personenbezogener Daten vorliegt und die DSGVO zur Anwendung kommt, so erfolgt die Festlegung des Strafmaßes nach DSGVO und nicht nach NIS 2.

Ab wann können NIS-2 Audits stattfinden?

Ab dem 24. Oktober 2024.

Gibt es neben den möglichen Geldstrafen weitere Risiken?

Ja, denn es liegt auch eine Haftung seitens der Unternehmensführung vor. Werden Verstöße gegen das vorgeschriebene Risikomanagement festgestellt, haftet die Unternehmensführung. So können diese zur persönlichen Haftung der Unternehmensführung führen. Allerdings liegt es bei den Mitgliedstaaten zu entscheiden, ob dies zur Anwendung kommt.

Wie kann ich nachweisen, dass meine Organisation die Vorgaben erfüllt?

Der Nachweis muss durch eine qualifizierte Stelle erfolgen. Eine Liste über die aktuellen qualifizierten Stellen wird vom Bundesministerium für Inneres geführt. Einblick darin ist auf Anfrage unter post@nis.gv.at zu erhalten.

Wer kann mein Unternehmen beratend unterstützen?

Wir hoffen, dass dieser kurze Überblick einige Ihrer offenen Fragen in Bezug auf die NIS 2-Richtlinie bzw. die Novelle des NIS-Gesetzes beantworten konnte! Wenn Sie weitere Fragen und Unterstützung brauchen, dann zögern Sie bitte nicht, die Hilfe unserer Experten bei Eradicate in Anspruch zu nehmen!

Aktualisiert am 2023-05-30
Markdown anzeigen
 NIS2NIS
Zurück | Startseite