Wir stehen vor einer neuen Ära der Cybersicherheit in Europa mit der Einführung der NIS2-Richtlinie. Diese Richtlinie stellt eine Reihe von komplexen Anforderungen für Unternehmen dar, die direkt von ihr betroffen sind, sowie für diejenigen Unternehmen, die in enger geschäftlicher Beziehung mit diesen stehen. Angesichts dieser neuen Herausforderungen ist es für uns unerlässlich, einen umfassenden Überblick über die NIS2-Richtlinie, ihren Anwendungsbereich und ihre Bedeutung für Unternehmen zu erhalten.
Was bedeutet NIS?
NIS [Network and Information Security] steht für Netz- und Informationssicherheit. Mit der neuen NIS2 Richtlinie (RL EU 2022/2555), die am 18. Oktober 2024 in Kraft tritt, erleben wir in Europa eine bedeutende Weiterentwicklung in diesem Bereich. Die NIS2-Richtlinie aktualisiert und erweitert die Vorgaben der ursprünglichen NIS-Richtlinie, um die Netz- und Informationssicherheit in der EU zu stärken. Unternehmen und Organisationen müssen sich auf wichtige Änderungen vorbereiten, da die EU-Mitgliedstaaten bis zum Stichtag die Richtlinie in nationales Recht umsetzen müssen. Dieser Prozess der Rechtsangleichung ist entscheidend für die Gewährleistung einer kohärenten Cybersicherheitsstrategie in ganz Europa.
Was ist neu an NIS2?
Die NIS2-Richtlinie der EU regelt Cyber- und Informationssicherheit von Institutionen und Unternehmen. Ein Schlüsselaspekt dieser neuen Richtlinie ist die erhebliche Erweiterung ihres Anwendungsbereichs. Im Vergleich zur vorherigen NIS-Richtlinie betrifft NIS2 nun eine deutlich größere Anzahl von Institutionen und Unternehmen. Diese sind nun verpflichtet, spezifische Sicherheitsmaßnahmen zu implementieren und bei jeglichen Sicherheitsvorfällen entsprechende Meldungen zu machen. Diese Ausweitung sorgt dafür, dass ein breiteres Spektrum von Organisationen aktiv zur Stärkung der Cybersicherheit in der EU beiträgt
Welche Unternehmen fallen in den Anwendungsbereich von NIS2?
Die NIS2-Richtlinie spricht von großen und mittleren Unternehmen und unterscheidet zwischen Sektoren mit hoher Kritikalität (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung und Weltraum) und sonstigen kritischen Sektoren (Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung). Dabei spricht die Richtlinie von mittleren und großen Unternehmen.
Zuerst ist also zu prüfen, ob wir ein kleines, mittleres oder großes Unternehmen im Sinne der Richtlinie sind. Wann ein Unternehmen als klein, mittel oder groß eingestuft wird, legt die Richtlinie wie folgt fest:
Kleine Unternehmen | weniger als 50 Beschäftigte und | weniger als 10 Millionen Euro Jahresumsatz oder weniger als 10 Millionen Euro Jahresbilanzsumme |
Mittlere Unternehmen | weniger als 250 Beschäftigte und | weniger als 50 Millionen Euro Jahresumsatz oder weniger als 43 Millionen Euro Jahresbilanzsumme |
Groß-unternehmen | haben mehr als 250 Beschäftigte oder mehr als 50 Millionen Euro Jahresumsatz | und mehr als 43 Millionen Euro Jahresbilanzsumme |
Sobald klar ist, welche Unternehmensgröße vorliegt, ist zu unterscheiden, ob unser Unternehmen eine sog. wesentliche oder eine wichtige Einrichtung ist.
Wesentliche Einrichtungen sind große Unternehmen aus dem Sektor mit hoher Kritikalität, also Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Verwaltung von IKT-Diensten B2B, Weltraum) sind wesentliche Einrichtungen. Mittlere Unternehmen dieser Sektoren sind wichtige Einrichtungen.
Wichtige Einrichtungen sind die mittleren Unternehmen aus demselben Sektor mit hoher Kritikalität.
Die großen und mittleren Unternehmen aus den sonstigen kritischen Sektoren (Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung) zählen zu den wichtigen Einrichtungen.
Welchen Folgen hat die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen?
Die NIS2-Richtlinie unterscheidet nicht nur zwischen großen, mittleren und kleinen Unternehmen, sondern klassifiziert ihre Anforderungen danach, ob das jeweilige Unternehmen als 'wesentliche' oder 'wichtige' Einrichtungen eingestuft wird. Obwohl beide Kategorien grundlegend die gleichen Cybersicherheitsmaßnahmen umsetzen müssen, wie von der NIS2-Richtlinie gefordert, gibt es bedeutende Unterschiede in der Aufsicht und den Sanktionen.
In Bezug auf die Aufsicht unterliegen wesentliche Einrichtungen unterliegen strengeren Sicherheitsprüfungen, einschließlich regelmäßiger, zielgerichteter Überwachungen und Stichprobenkontrollen. Im Gegensatz dazu werden wichtige Einrichtungen hauptsächlich bei Verdachtsmomenten kontrolliert, wobei sowohl Vor-Ort-Kontrollen als auch externe Aufsichtsmaßnahmen anwendbar sind.
Bei den Sanktionen sieht die NIS2-Richtlinie ebenfalls unterschiedliche Höchststrafen vor. Wesentliche Einrichtungen könnten mit Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sind die möglichen Geldbußen geringer, mit einer Obergrenze von bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes.
Sind kleine Unternehmen vom Anwendungsbereich ausgenommen?
Kleine Unternehmen mit weniger als 50 Beschäftigten und weniger als 10 Millionen Euro Jahresumsatz oder weniger als 10 Millionen Euro Jahresbilanzsumme fallen grundsätzlich nicht unter die Vorgaben von NIS2.
Ausgenommen sind allerdings folgende Unternehmen, die unabhängig von ihrer Größe in den Anwendungsbereich fallen:
Vertrauensdiensteanbieter
Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
Zudem müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten (sog. Sicherheit in der Lieferkette). Daher wird sich NIS2 auch auf KMU auswirken.
Was ist „Sicherheit der Lieferkette“?
Unternehmen, die unter den Anwendungsbereich der NIS2-Richtlinie fallen, stehen vor der Herausforderung, die Sicherheit ihrer Lieferketten zu gewährleisten. Dies umfasst die gründliche Überprüfung der Cybersicherheitspraktiken ihrer Anbieter und Dienstleister. Besonderes Augenmerk liegt dabei auf der Identifizierung von Schwachstellen sowie der Beurteilung der Gesamtqualität der gelieferten Produkte und Dienstleistungen. Umfassende Sicherheitsmaßnahmen sind erforderlich, um diese Anforderungen zu erfüllen.
Die Bestätigung der Lieferkettensicherheit kann auf verschiedene Arten erbracht werden, beispielsweise durch Audits, Zertifizierungen oder individuelle Nachweise. In Österreich empfiehlt die NIS-Behörde die Anwendung anerkannter Informationssicherheitsstandards, darunter die internationale ISO-Norm 27001. Diese Standards dienen als Richtschnur für Unternehmen, um die Anforderungen der NIS2-Richtlinie effektiv zu erfüllen und gleichzeitig ein hohes Maß an Cybersicherheit in ihrer Lieferkette zu gewährleisten.
Welche Risikomanagementmaßnahmen sieht NIS2 vor?
Die NIS2-Richtlinie definiert zehn essentielle Risikomaßnahmen, die als grundlegende Compliance-Anforderungen für Unternehmen gelten. Diese Maßnahmen sind als Mindeststandards in der Cybersicherheit zu verstehen und umfassen
Konzepte zu Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Sicherheit der Lieferkette
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
Konzepte und Prozesse zur Bewertung von Wirksamkeit der Risikomanagementmaßnahmen zur Cybersicherheit
Prozesse im Bereich der Cyberhygiene und Schulungen zu Cybersicherheit
Konzepte und Prozesse für den Einsatz von Kryptographie und Verschlüsselungen Sicherheit des Personals
Konzepte für Zugriffskontrollen und Management von Anlagen
Verwendung von Lösungen zur Multi-Faktoren-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Kommunikation für Sprach, Video- und Texte und allenfalls gesicherte Notfallskommunikationssysteme innerhalb der Einrichtung.
Bei der Umsetzung dieser Maßnahmen sollten Unternehmen den aktuellen Stand der Technik, europäische und internationale Normen, die Kosten der Implementierung und das bestehende Risiko berücksichtigen.
Welche Berichtspflichten sieht die NIS2 Richtlinie vor?
Unternehmen, die von der NIS2 Richtlinie betroffen sind, müssen im Falle eines Cybersicherheitsvorfalles Meldungen an das von Österreich bezeichnete zuständige „Cybersecurity Incident Response Team“ (CSIRT) oder an die zuständige Behörden folgende Meldungen weitergeben:
Frühwarnung innerhalb von 24 Stunden (z.B. Verdacht auf rechtswidrige Handlung oder grenzüberschreitende Auswirkung)
Meldung innerhalb von 72 Stunden über Schweregrad, Auswirkungen und – falls bekannt – Indikatoren zur Kompromittierung
Abschlussbericht innerhalb eines Monats ab Frühwarnung mit Beschreibung zum Vorfall, Schweregrad und Auswirkungen, Art der Bedrohung, Ursachen und Abhilfemaßnahmen.
Zudem haben das CSIRT oder die zuständigen Behörden die Befugnis, Zwischenberichte über aktuelle Statusänderungen im Falle von Cybersicherheitsvorfällen anzufordern. Dies stellt eine wichtige Maßnahme zur Überwachung und Reaktion auf sicherheitsrelevante Ereignisse dar.
Weiters ist es entscheidend, dass im Falle eines Cybersicherheitsvorfalls, der auch eine Datenschutzverletzung gemäß der Datenschutz-Grundverordnung (DSGVO) darstellt, die entsprechenden Meldepflichten beachtet werden. Unternehmen müssen sowohl die Anforderungen der NIS2-Richtlinie als auch die der DSGVO erfüllen, insbesondere bei Vorfällen, die personenbezogene Daten betreffen. Dies unterstreicht die Notwendigkeit einer integrierten Herangehensweise an Cybersicherheit und Datenschutz.