NIS 2 Gesetz in Österreich : NIS-2-Richtlinie: Ist Ihr Unternehmen cyberfit?

Cybersicherheit, nis Gesetz Österreich, nis2, nis1, nis Verordnung.

Die österreichische NIS-2-Verordnung, sogenannte The Network and Information Security Directive: Was bedeutet das für österreichische Unternehmen?

- © Song_about_summer - stock.adobe.com

Smarte und verknüpfte Maschinen, Echtzeit-Monitoring der Produktion, Arbeiten aus dem Homeoffice – die fortschreitende Digitalisierung hat die industrielle Produktion vielfach transformiert und neue Chancen geschaffen. IT-Lösungen sind heute in jedem Unternehmen allgegenwärtig und bringen gleichzeitig viele Risiken mit sich. Unternehmenskontinuität und die Sicherheit der sogenannten „kritischen Infrastruktur“, also all jene Prozesse und Anlagen, die für die Produktion unabdingbar sind, all das ist heute in einem hohen Maß von Cybersecurity abhängig.

Nie mehr die wichtigsten News aus Österreichs Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in Ihrer Inbox. Hier geht’s zur Anmeldung!

Angesichts der zunehmenden Bedrohungen durch Cyberangriffe hat die Europäische Union reagiert, indem sie die geltende NIS-Gesetzgebung durch eine Novelle umfassend überarbeitet hat. Diese zielt darauf ab, die Informationssicherheit für den EU-Binnenmarkt und die mit diesem verbundenen Unternehmen weiter zu stärken.

Lohnt sich eine Cyberversicherung?

Entwicklung des österreichischen NIS-Gesetzes: Von NIS-1 zu NIS-2

Das aktuelle österreichische NIS-Gesetz (NISG) von 2018 beruht auf der EU NIS(1)-Richtlinie aus 2016. Viele Mitgliedsstaaten, so auch Österreich, wurden durch diese Richtlinie erstmalig zum Erlass einer nationalen Strategie und eines Gesetzes zur umfassenden Betrachtung der Informationssicherheit veranlasst. Nach den ersten fünf Jahren Erfahrung lässt sich eine Liste der „häufigsten Mängel“ ableiten. Auf dieser stehen beispielsweise das Fehlen einer laufenden Information Security Management System (ISMS) Wirksamkeitsprüfung, eines vollständigen Asset Managements, einer Dokumentation gelebter Prozesse oder eines wirksamen Lieferanten-Managements.

Erfahren Sie mehr über die Security-Dienste für Unternehmen.

Die aktuelle NIS-Verordnung hat einen wesentlichen Beitrag zu mehr Informationssicherheit und zu einer höheren Aufmerksamkeit für dieses Thema geleistet. Betroffene Unternehmen haben zwar durchgängig ihre Schutzmaßnahmen verbessert, jedoch bleiben aus der NIS(1)-Periode noch viele Maßnahmen unerledigt und müssen im Sinne einer kontinuierlichen Verbesserung rasch umgesetzt werden. Es gibt noch viel zu tun – speziell deshalb, weil NIS-2 weitere Änderungen mit sich bringen wird.

NIS-2-Richtlinie: Neue Anforderungen an Informationssicherheit

Was ist die neue NIS-2-Richtlinie?

Die NIS-2-Richtlinie verstärkt die Harmonisierung auf EU-Ebene, um ein gleichmäßig hohes Sicherheitsniveau zu erreichen. Sie ist bis Oktober 2024 in nationales Recht umzusetzen und fördert speziell die Zusammenarbeit zwischen den Mitgliedsstaaten, weil Cyberangriffe als überstaatliches Problem betrachtet werden.

Lesen Sie mehr über Industrielle Cyber Security: das müssen Sie für Ihr Unternehmen wissen.

Der Anwendungsbereich wird aus österreichischer Sicht durch hinzukommende Sektoren, wie „Abwasserwirtschaft“, „Rechenzentrumsbetreiber“, oder „Produktion von bestimmten wichtigen Produkten“ erweitert.

Welche Unternehmen sind von dem NIS-2-Gesetz betroffen?

Künftig sind grundsätzlich alle Unternehmen in den genannten Sektoren ab 50 Mio. Euro Jahresumsatz und mehr als 50 Mitarbeitenden davon betroffen. Ausnahmen bestehen für digitale Infrastruktur und für einzelne für einen Mitgliedsstaat besonders wichtige Einrichtungen.

cyber security lock technology internet secure business computer protection digital network information attack web crime concept protect safety online safe virus privacy hacker antivirus connection networking tech icons circle line man businessman hand tablet pc top view overhead room person chair gray grey cyber security lock technology internet secure business computer protection digital network information attack web crime concept protect safety online safe virus privacy hacker antivirus connection networking tech icons circle line man businessman hand tablet pc top view overhead room person chair gray grey
Neues NIS-2-Gesetz in Österreich: Was ist die NIS-1 und NIS-2 Richtlinie? - © Tierney - stock.adobe.com

Zusammenfassung der NIS-2-Richtlinie

Inhaltlich beschreibt die neue NIS-2-RL die zu treffenden Sicherheitsvorkehrungen nun wesentlich konkreter in 11 Kernpunkten. Zentral ist dabei ein Risikomanagement, das auf einem Allgefahrenansatz basiert. Ein weiter Schwerpunkt ist ein umfassendes Lieferantenmanagement. Aus EU-Sicht stellen in einer Lieferkette verbundene Unternehmen ein besonders wahrscheinliches Angriffsziel dar. Betroffene Unternehmen sind nun auch für die Wirksamkeit der Sicherheitsmaßnahmen der Lieferanten verantwortlich.

Zudem werden die bestehenden Meldepflichten verschärft. Künftig werden signifikante Sicherheitsvorfälle oder Bedrohungen mittels Frühwarnung bereits binnen 24 Stunden zu melden sein. Eine Detailmeldung ist nach 72 Stunden und ein Abschlussbericht ist zusätzlich binnen Monatsfrist zu erstellen.

Bei einem Rechtsverstoß ist eine persönliche Haftung der Leitungsorgane vorgesehen. Sanktionsformen sind finanzielle Strafzahlungen, oder auch eine temporäre Untersagung der Leitungsfunktion. Die Obergrenze des Strafrahmens für eine betroffene Organisation wurde auf bis zu 10 Mio. Euro oder 2 Prozent des Jahresumsatzes angehoben.

Was österreichische Unternehmen jetzt tun müssen

Die meist komplexe Umsetzung der vorgegebenen Mindestanforderungen bedingt beträchtliches Fachwissen und entsprechendes Personal. Allein die Etablierung einer Sicherheitskultur als Ausgangsbasis ist ein langfristiger Prozess und bedeutet eine kontinuierliche Anstrengung. Die richtigen Mitarbeitenden dafür bereitzustellen, stellt für Unternehmen oftmals eine Herausforderung dar – gerade in Zeiten des Fachkräftemangels. Für die neuen Meldevorschriften und die darin enthaltenen kurzen Fristen ist eine entsprechende Informationssicherheits-Organisation vorzusehen. Auch dafür ist mit einem erhöhten Fachkräfteeinsatz zu rechnen.

Lesen Sie auch dazu: Cybersecurity 2023: Mittlerweile jedes Unternehmen von Cyberkriminalität betroffen.

Mit den NIS-2-Regelungen werden nun nicht nur Großunternehmen, sondern auch mittlere Unternehmen oder kleine Dritt-Lieferanten zu Normadressaten. Diese in Österreich dominierenden Unternehmensgruppen müssen jedoch auf ihren Anteil an administrativen Ressourcen besonders achten, um wirtschaftlich wettbewerbsfähig zu bleiben.

Schon durch die NIS(1)-Gesetzgebung wurde ein großer Schritt in Richtung mehr Cyber-Resilienz gemacht. Allerdings müssen Unternehmen im Moment noch offene Punkte aus NIS1 abarbeiten und gleichzeitig stehen die neuen NIS-2-Anforderungen an.

Unternehmen müssen dafür Informationssicherheit stets „mitdenken“ – so wie das bei Datenschutz bereits üblich ist. Die Kosten für aufzubringende Ressourcen werden durch eine positivere Unternehmensreputation und andere Wettbewerbsvorteile langfristig aufgewogen werden.

Eine Externalisierung, die eine Ressourcenteilung ermöglicht, ist gerade bei knapper Expertenverfügbarkeit sinnvoll. Analysten, Forensiker, ISMS-Aufbaubegleitung, Prüfer, etc. werden in Unternehmen nicht ständig benötigt und können auch als externe Beratungsleistung zugekauft werden. So lassen sich die gesetzlichen Anforderungen zeitgerecht und effizient erreichen.

Unser Apell:
Lenken Sie Ihren unternehmerischen Fokus auf Informationssicherheit und machen Sie das Thema zu einem Teil Ihres Unternehmenserfolgs! Act now!


Autoren

Roman Tobler (Foto) ist Senior Manager bei EY Österreich und beratet österreichische Unternehmen in Cybersicherheits-Fragen.

Tarik Camci und Benjamin Derler sind beide Senior Consultants bei EY Österreich und Teil des Cybersecurity-Teams.

Roman Tobler (Foto) ist Senior Manager bei EY Österreich und beratet österreichische Unternehmen in Cybersicherheits-Fragen
"Viele Maßnahmen aus der NIS(1)-Periode blieben trotz verbesserter Schutzmaßnahmen unerledigt": Roman Tobler, Senior Manager bei EY Österreich - © www.christinahaeusler.at