Blog.Digital

Cyber: NIS-2-Richtlinie mit ISO 27001-Expertise entschlüsseln

Von:
Mario Polaschegg
insight featured image
Mit dem Inkrafttreten der NIS-2-Richtlinie am 16. Jänner 2023 wurde ein neues Kapitel in Bezug auf die Sicherheit von Netz- und Informationssystemen in der EU aufgeschlagen. Diese EU-Richtlinie, die die bisherige NIS-Richtlinie aus dem Jahr 2016 abgelöst hat, ist von entscheidender Bedeutung für Unternehmen in kritischen Sektoren sowie für Anbieter digitaler Dienste. Lassen Sie uns einen genaueren Blick auf die Struktur, Ziele und Implikationen der NIS-2-Richtlinie werfen.
In diesem Beitrag

Was ist NIS?

NIS steht für die Sicherheit der Netz- und Informationssysteme. Die bisherige NIS-Richtlinie aus 2016, durch das NIS-Gesetz in Österreich umgesetzt, war hauptsächlich auf Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste ausgerichtet. Die NIS-2-Richtlinie, seit 16. Jänner 2023 in Kraft, erweitert diesen Anwendungsbereich erheblich und wird bis zum 17. Oktober 2024 von den Mitgliedstaaten umgesetzt werden müssen.

Ziel der NIS-2-Richtlinie

Die NIS-2-Richtlinie verfolgt das Ziel, die Resilienz und Reaktion auf Sicherheitsvorfälle sowohl im öffentlichen als auch im privaten Sektor der EU zu verbessern. Durch eine umfassendere Abdeckung von Sektoren und Diensten im Binnenmarkt sollen geeignete Risikomanagementmaßnahmen ergriffen und Meldepflichten eingeführt werden.

Betrifft es Ihr Unternehmen?

Große und mittlere Unternehmen mit bestimmten Größenkriterien fallen unter den direkten Anwendungsbereich der NIS-2-Richtlinie. Dabei wird zwischen "Sektoren mit hoher Kritikalität" und "sonstigen kritischen Sektoren" unterschieden. Selbst kleine Unternehmen könnten über Sonderbestimmungen oder die Lieferkette betroffen sein, insbesondere wenn ihre Tätigkeit eine Schlüsselrolle für Gesellschaft, Wirtschaft oder bestimmte Sektoren spielt.

Inhalt der NIS-2-Richtlinie

Die NIS-2-Richtlinie legt verschiedene rechtliche Maßnahmen fest, um die Sicherheit von Netzwerk- und Informationssystemen zu stärken. Dazu gehören verpflichtende Sicherheitsmaßnahmen, Meldepflicht für Sicherheitsvorfälle, Risikobewertung und -management sowie die Förderung einer internen Sicherheitskultur. Unternehmen in kritischen Sektoren müssen angemessene Sicherheitsmaßnahmen implementieren und Sicherheitsvorfälle melden, um eine schnellere Reaktion zu ermöglichen. Im Gegensatz zu Industriestandards sanktioniert die NIS-2-Richtlinie, bzw. das noch umzusetzende nationale Recht, die Nichterfüllung der Richtlinie.

Weitere Informationen zum Thema
Cyber: NIS2-Richtlinie – Was muss ich tun?
Read this article

ISO 27001 als Industriestandard: der Schlüssel zur NIS-2-Compliance

Besonders relevant ist die Verbindung zwischen der NIS-2-Richtlinie und der ISO 27001. Diese international anerkannte Norm für Informationssicherheitsmanagement bietet, wenn richtig implementiert, einen klaren Weg zur Erfüllung der NIS-2-Anforderungen. Die ISO 27001 legt detaillierte Standards für die Einrichtung, Umsetzung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) fest, welches die Aufrechterhaltung und ständige Verbesserung der Informationssicherheit zum Ziel hat.

Durch die ISO 27001 können Unternehmen Risiken für die Informationssicherheit identifizieren, geeignete Maßnahmen zur Risikominderung ergreifen und gleichzeitig eine klare Sicherheitskultur entwickeln. Die Norm fördert die Schulung und Sensibilisierung der Mitarbeiter:innen für sicherheitsrelevante Angelegenheiten, was direkt den Anforderungen der NIS2-Richtlinie entspricht.