Cyber: NIS2-Richtlinie – Was muss ich tun?

Stärkung der Cybersicherheit in der EU 

Die NIS2-Richlinie der Europäischen Kommission trat mit 16. Jänner 2023 in Kraft und hat das Ziel, die Cybersicherheit in der EU zu stärken, indem sie einheitliche Standards für die Sicherheit von Netzwerken und Informationssystemen festlegt und die Zusammenarbeit zwischen den Mitgliedstaaten verbessert. Im Speziellen werden Unternehmen definierter Schlüsselsektoren in die Verantwortung genommen, unter anderem auch Lebensmittel-Betriebe oder Maschinebau-Unternehmen. Die Zeit drängt, denn bis 17. Oktober 2024 muss die Richtlinie in nationales Recht umgesetzt werden. Ein entsprechender Gesetzesentwurf ist gerade in der Begutachtungsphase. Für viele Unternehmen stellt sich daher die Frage, was ist umzusetzen und was sind die nächsten Schritte.

Bin ich betroffen?

Die NIS2-Richtlinie definiert unterschiedlichste Schlüsselsektoren und nimmt deren Unternehmen in die Verantwortung, sich gegen Cyberangriffe besser zu schützen und so die Stabilität unserer Gesellschaft zu gewährleisten. Während die kritischen Sektoren der bisherigen NIS-Richtlinie aus dem Jahr 2016 und die betroffenen Unternehmen viel enger definiert wurden, wird bei der NIS2-Richtlinie der Rahmen viel breiter vorgegeben.  So fallen beispielsweise nicht nur Unternehmen aus den Sektoren Energie oder Verkehr, sondern unter anderem auch Lebensmittel-Betriebe oder Maschinebau-Unternehmen unter die Vorgaben dieser neuen Richtlinie. Letztendlich sind nicht nur unternehmenskritische IT-Systeme sondern alle IT-Systeme im Unternehmen entsprechend abzusichern.

Prinzipiell sind mittlere und große Unternehmen aus den Schlüsselsektoren von der NIS2-Richtlinie betroffen. Was jedoch häufig übersehen wird, ist die indirekte Betroffenheit von Unternehmen beliebiger Größen aus unterschiedlichsten Sektoren und Branchen über die Lieferkette. NIS2-betroffene Unternehmen müssen nämlich die Informationssicherheit ihrer Lieferanten und Dienstleister in ihrer Risikoanalyse berücksichtigen, somit betrifft das Thema einen viel breiteren Bereich als fälschlicherweise ursprünglich angenommen. Ob ein Unternehmen direkt oder indirekt über die Lieferkette unter die NIS2-Richtlinie fällt, ist im Einzelfall zu prüfen. Man kann aber davon ausgehen, dass ein Unternehmen eher mit dem Thema Cybersicherheit konfrontiert sein wird als umgekehrt.

Was muss ich umsetzen?

NIS2-betroffene Unternehmen müssen Risikomanagementmaßnahmen, die auf einer höheren Abstraktionsebene auch taxativ in der Richtlinie aufgelistet sind, mindestens umsetzen. Der Fokus bei der Umsetzung liegt hier auf einem risiko-basierten Ansatz und betrifft unter anderem Themen wie die Sicherheit von Netz- und Informationssystemen oder die Bewältigung von Sicherheitsvorfällen.

Speziell bei erheblichen Sicherheitsvorfällen müssen Berichts- und Meldepflichten eingehalten werden. Unverzüglich bzw. spätestens innerhalb von 24h nach Kenntnis eines Sicherheitsvorfalls ist eine Frühwarnung behördlich abzugeben, spätestens innerhalb von 72h ist eine erste Bewertung des Sicherheitsvorfalls zu melden, und spätestens nach einem Monat ist eine ausführliche Beschreibung des Vorfalls zu übermitteln.

Bei der Umsetzung der Risikomanagementmaßnahmen sind die Verhältnismäßigkeit, die Risikoexposition, die gesellschaftlichen und wirtschaftlichen Auswirkungen sowie die Kosten zu berücksichtigen und abzuwägen. Aus wirtschaftlicher Sicht ist es natürlich nachvollziehbar, dem Kostenfaktor eine größere Bedeutung zukommen zu lassen, jedoch sollten Leitungsorgane klar die Kosten der Umsetzung den Kosten eines möglichen Betriebsausfalls oder eingeschränkten Betriebes, und das gewiss für einen längeren Zeitraum, gegenüberstellen. Letztendlich dienen die Umsetzungsmaßnahmen nicht nur dazu, die Anforderungen der Richtlinie zu befriedigen, sondern bilden eine stabile Basis, sich gegen die steigende Anzahl an Cyberbedrohungen zu wappnen, sowie die Betriebskontinuität und die Stabilität der Gesellschaft zu gewährleisten.

Wer ist verantwortlich?

Ganz klar hervorzuheben ist, dass die Leitungsorgane der Unternehmen, d.h. beispielsweise Geschäftsführer oder der Vorstand, in die Pflicht und die Verantwortung genommen werden, sich mit dem Thema Cybersicherheit in ihrem Unternehmen auseinanderzusetzen und die Umsetzung der Anforderungen aus der NIS2-Richtlinie voranzutreiben, sicherzustellen und zu beaufsichtigen. Des weiteren müssen sie an für Leitungsorgane spezifisch gestalteten Cybersicherheitsschulungen teilnehmen und Mitarbeitern regelmäßig entsprechende Schulungen anbieten. Wer sich nicht an die Vorgaben der Richtlinie hält, kann mit Verwaltungsübertretungen von bis zu 10 Mio. EUR oder bis zu 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens bestraft werden. Außerdem greift die Haftung bei Leitungsorganen auch persönlich.

Wie geht es weiter?

Die Zeit drängt, schließlich muss diese EU-Richtlinie sowohl von Österreich als auch allen anderen EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umgesetzt werden. Aktuell ist ein Entwurf eines nationalen NIS2-Gesetzes in Begutachtung. Trotz des knappen Zeitraums ist eine Veröffentlichung des Gesetzes bis Oktober nicht unrealistisch. Betroffene Unternehmen und deren Leitungsorgane sind daher gut beraten, jetzt schon zu reagieren und zu beginnen, die Maßnahmen aus der Richtlinie umzusetzen. Die Registrierung als NIS2-betroffenes Unternehmen hat nämlich innerhalb von drei Monaten ab Inkrafttreten des Gesetzes zu erfolgen.

Ein Schlüssel für eine erfolgreiche NIS2-Umsetzung kann der Einsatz international anerkannter Standards für Informationssicherheit wie der ISO 27001 sein, schließlich muss die Umsetzung der Maßnahmen dokumentiert und nachweisbar sein. Nähere Infos dazu können auch aus dem Beitrag „Cyber: NIS-2-Richtlinie mit ISO 27001-Expertise entschlüsseln“ entnommen werden. Letztendlich werden auch indirekt über die Lieferkette betroffene Unternehmen nicht an einem standardisierten Nachweis vorbeikommen.

Beitrag

Cyber: NIS-2-Richtlinie mit ISO 27001-Expertise entschlüsseln

Read this article

Unterstützung benötigt?

Unsere Expert:innen stehen Ihnen gerne zur Verfügung! Informieren Sie sich jetzt über unseren Service.