Verband
Jobs
Presse
Shop
EN

Netz- und Informationssystemsicherheit

Cybersicherheits-Richtlinie NIS2 – NISG 2024

1. Cyber-Sicherheit in Europa und Österreich

Cyber Incidents, Cyber-Vorfälle, wie beispielsweise Cyber Crime, Unterbrechungen von IT-Netzwerken und IT-Diensten, Malware, Ransomware und Datenschutzverletzungen führen mit 36 % die Liste der wichtigsten Geschäftsrisiken global für 20241 an. In Österreich2 zählen Cyber-Vorfälle wie Datenpannen, Angriffe auf Kritische Infrastruktur oder Vermögenswerte und vermehrte Ransomware-Attacken mit 40 % zu den größten Risiken.

IT-Systemen wird eine zentrale Rolle in der Gesellschaft zugeschrieben, und sowohl Verlässlichkeit als auch Sicherheit sind für wirtschaftliche und gesellschaftliche Tätigkeiten sowie das Funktionieren des Binnenmarkts entscheidend.

Die Europäischen Union (EU) fordert ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen und veröffentlichte im EU-Amtsblatt als ersten Rechtsakt über Cyber-Sicherheit in der EU mit 19.07.2016 die EU-Richtlinie 2016/1148, bekannt als NIS-Richtline.

Diese wurde mit 28.12.2018 mit dem NIS-Gesetz in Österreich umgesetzt und betrifft vorwiegend Unternehmen der Kritischen Infrastruktur und Anbieter digitaler Dienste, wie Online-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste. Mit 17.07.2019 wurde die NIS-Verordnung (NISV) im Bundesgesetzblatt veröffentlicht.

Die Forderung nach mehr Cyber-Sicherheit wächst stetig: Einerseits sind Maßnahmen notwendig und zu setzen, um der Entwicklung der Bedrohungslandschaft und steigenden Cyber-Kriminalität entgegenzuwirken.

Die zunehmende Digitalisierung fordert andererseits ebenfalls die Umsetzung von Maßnahmen für mehr Sicherheit. Dies führte dazu, dass die EU-Richtlinie 2016/1148 durch die EU-Richtline 2022/2555 vom 14.12.2022 (Cybersicherheits-Richtlinie NIS2, NIS-2-Richtline), veröffentlicht im EU-Amtsblatt am 27.12.2022, aufgehoben wurde.

Die Cybersicherheits-Richtlinie NIS2 muss spätestens bis 17.10.2024 in nationales Recht umgesetzt sein. Weitere Übergangsfristen sind nicht vorgesehen. Nun liegt seit 03.04.2024 der erste Begutachtungsentwurf, das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024), für vier Wochen zur Begutachtung vor.

Die Regelungen gelten für die betroffenen Einrichtungen mit Inkrafttreten des Gesetzes. Da es sich beim NISG 2024 um einen offiziellen Begutachtungsentwurf handelt, der im parlamentarischen Gesetzgebungsprozess noch abgeändert werden kann, sind die genannten Anforderungen noch nicht fix definiert. Ebenso ist der Zeitpunkt des Inkrafttretens noch offen.

2. Cybersicherheits-Richtlinie NIS2

2.1. Zielsetzung der NIS-2-Richtline

Die Ziele und Forderungen der EU sind einerseits der Schutz kritischer Einrichtungen und Infrastrukturen in der EU vor Cyber-Bedrohungen und andererseits das Erreichen eines einheitlichen hohen Sicherheitsniveaus in der EU und damit eine Steigerung der Cyber-Resilienz.

Die NIS-2-Richtline kann als regulatorische Antwort auf die Forderung nach mehr Cyber-Sicherheit in der EU sowie als Reaktion auf die eskalierenden Cyber-Bedrohungen und Cyber-Kriminalität gesehen werden und stützt sich dabei auch auf die Erfahrungen der NIS-Richtline (NIS1).

2.2. Änderungen im Rahmen der NIS-2-Richtline

Zur Harmonisierung und Verbesserung des Sicherheitsniveaus in den Mitgliedsstaaten verschärft die NIS-2-Richtlinie einerseits die Anforderungen an die Cyber-Sicherheit sowie Sanktionen, und andererseits legt sie für verschiedene Sektoren strengere Anforderungen fest. Darüber hinaus werden Themen wie Cyber-Risikomanagement, Geschäftskontinuität, Kontrolle sowie Überwachung und Reaktion auf Vorfälle behandelt.

Ein wesentlicher Punkt ist sicherlich, dass die Verantwortung beim Management liegt und nicht einfach vom Leitungsorgan an Mitarbeitende wie dem CISO oder „NIS-Verantwortlichen“ abgeschoben werden kann. Durch die Ausweitung des Anwendungsbereichs der NIS-2-Richtlinie auf mehr Organisationen gelten nun auch strengere Haftungsregeln für das Management der betroffenen Organisationen.

Die wesentlichen Ziele der Cybersicherheits-Richtlinie NIS2 umfassen u. a.:

  • Harmonisierung und Verbesserung des Sicherheitsniveaus in den Mitgliedsstaaten
  • Angleichen von Sicherheitsanforderungen und Verschärfung von Anforderungen an die Cyber-Sicherheit
  • Abdecken mehrerer Sektoren und Konzentration auf größere, mittlere und kritische Akteure
  • Verschärfte Sanktionen bei Verstößen
  • Straffen der Berichtspflichten
  • Angleichen von Aufsicht und Durchsetzung
  • Intensivieren und Ausbauen der operativen Zusammenarbeit (inkl. EU-Cyber-Krisenmanagement)
     

2.3. Anwendungsbereich der NIS-2-Richtline

Der Anwendungsbereich ist in Artikel 2 geregelt:

„(1) Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in den Anhang I oder II genannten Art, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben. […]“

2.4. Betroffenheit & Prüfschema

Wer ist nun eigentlich von NIS2 betroffen? Als betroffen gelten mittlere und große Unternehmen bestimmter Sektoren sowie die Digitale Infrastruktur. Darüber hinaus sind Dienstleister (über vertragliche Vereinbarungen) und Lieferanten von NIS2-betroffenen Unternehmen indirekt betroffen (Schlagwort: Lieferkettengesetz).

Zur Evaluierung betroffener Einrichtungen ist eine Zuordnung des Unternehmens einerseits über die Unternehmensgröße und den Jahresumsatz und andererseits über die Sektoren-Zugehörigkeit zu treffen.

Die Klassifizierung der Unternehmensgröße basiert auf Empfehlungen und Definitionen der Kommission für KMU3.

Größenklasse

Beschäftigte (VZÄ)

Jahresumsatz [€]

Jahresbilanz [€]

Kleines Unternehmen | KU

< 50                        und

≤ 10 Mio.     oder

≤ 10 Mio.

Mittleres Unternehmen | MU

≥ 50 bis < 250     und

≤ 50 Mio.     oder

≤ 43 Mio.

Großes Unternehmen | GU

≥ 250                     oder

> 50 Mio.     und

> 43 Mio.

Kritikalität Sektoren
Anmerkung: (1) Ergänzungen im Sektor | (2) neu gegenüber NIS1

Prüfschema

Folgende Prüfschritte dienen zur Feststellung der unmittelbaren Betroffenheit eines Unternehmens:

(1) Liegt die betreffende Einrichtung in der EU?

(2) Ist das Unternehmen eine Einrichtung entsprechend Spalte 3 des Anhangs I oder II?

(3) Handelt es sich um ein mittleres oder großes Unternehmen?
    (Beachte etwaige Sonderregeln für Digitale Infrastruktur oder wenn das Unternehmen als kritisch eingestuft wird.)

(4) Handelt es sich um eine wesentliche oder wichtige Einrichtung

NIS-2 betroffene Unternehmen

2.5. Bußgelder und rechtliche Konsequenzen bei Nichteinhaltung der NIS-2-Richtline

Halten Unternehmen die Anforderungen der NIS-2-Richtline nicht ein bzw. setzen die NIS-2-Richtline nicht korrekt um, können sie, in Abhängigkeit ihrer Einstufung als wesentliches oder wichtiges Unternehmen, mit erheblichen Strafen belegt werden.

  • Wesentliche Unternehmen – belegt mit einer Geldbuße von mindestens 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr
  • Wichtige Unternehmen – belegt mit einer Geldbuße von mindestens 7 Mio. € oder 1,4 % des gesamten weltweiten Jahresumsatzes

Neben den möglichen Bußgeldern können Leitungsorganen (Geschäftsführer:innen, Vorständ:innen, Prokurist:innen, Aufsichtsrät:innen) auch rechtliche Konsequenzen in Form der persönlichen Haftung drohen.

2.6. Wesentliche Anforderungen der NIS-2-Richtline

Die Anforderungen aus der NIS-2-Richtline lassen sich in folgende vier Hauptbereiche unterteilen:

  • Unternehmerische Verantwortlichkeit
  • Cyber-Sicherheit – Risikomanagement
  • Berichtspflichten
  • Zertifizierungsregelungen

 

Unternehmerische Verantwortlichkeit

Die Aufgaben der unternehmerischen Verantwortlichkeit umfassen neben der Verantwortung zur Einhaltung und Umsetzung der NIS-2-Richtline sowie Vorschriften im Allgemeinen auch die Verantwortung von Konsequenzen bei deren Nichteinhaltung sowie die Beaufsichtigung der Umsetzung des Risikomanagements im Bereich der Cyber-Sicherheit.

Zudem umfasst sie die Teilnahme an Schulungen zur Risikoerkennung und Risikobewertung der Cyber-Sicherheit sowie die Organisation regelmäßiger Cybersicherheitsschulungen für Mitarbeitende.

Cyber-Sicherheit – Risikomanagement

Ziel des Cybersicherheit-Risikomanagements ist die Umsetzung von Strategien zur Risikominderung. Schwerpunktmäßig ist die Reaktion auf Zwischenfälle, die Sicherheit der Lieferkette und die Stärkung des Netzwerks zu legen. Darüber hinaus sind Zugangskontrollen und der Einsatz von Verschlüsselung zu verbessern.

Um den Schutz vor Cyber-Bedrohungen und die betriebliche Ausfallsicherheit zu gewährleisten, ist die Integration von IT- und OT-Sicherheit unerlässlich, da die Konvergenz von IT (Information Technology, Informationstechnologie) und OT (Operation Technology, Betriebstechnologie) eine erweiterte Angriffsfläche schafft.

Die Integration von IT- und OT-Sicherheit zur Einhaltung von NIS-2 ist damit eine der wesentlichen Anforderungen und bedeutet, dass Unternehmen ihre Sicherheitsstrategien für Informationstechnologie und Betriebstechnologie zusammenführen müssen und hier einen gesamtheitlichen Blick auf den Aspekt Sicherheit werfen.

Für die OT-Sicherheit kann der Standard IEC 62443, für IT-Sicherheit der Standard ISO 27001 herangezogen werden.

Berichtspflichten

Im Rahmen der Berichtspflicht kann zwischen drei Stufen unterschieden werden, wobei für jede die Erstellung von strikten Berichtsprotokollen zu beachten ist:

  • 24 h – Frühwarnung: Erster Alarm und Meldung an die Behörde (CERT/CSIRT); Verdacht, ob Sicherheitsvorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend
     
  • 72 h – Meldung bis 72 h nach Kenntnis des Sicherheitsvorfalls; detaillierter Bericht über Bewertung, Schweregrad und Auswirkungen und gegebenenfalls Indikatoren für eine Kompromittierung
     
  • 1 Monat – Abschlussmeldung bis ein Monat nach Meldung; ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen und gewonnene Erkenntnisse

Darüber hinaus tragen freiwillige Meldungen zu mehr Cyber-Sicherheit bei!

  • Freiwillige Meldung von (Beinahe-)Cyber-Sicherheitsvorfällen, und -bedrohungen an das CSIRT
  • Meldung von betrügerischen Nachrichten und Internetfallen an die Watchlist Internet.

Zertifizierungsregelungen

Welche Unternehmen bzw. Einrichtungen sich einer/einem Zertifizierung/Audit in einem definierten Zeitrahmen unterziehen sollen oder müssen, wird durch die EU-Kommission festgelegt.

3. Conclusio und Ausblick

Die Forderung nach mehr Cyber-Sicherheit in der EU in Folge der eskalierenden Cyber-Bedrohungen und steigenden Cyber-Kriminalität ist verständlich. Unternehmen müssen ihre Cyber-Resilienz steigern und demzufolge auf Cyber-Vorfälle bestens vorbereitet sein, um sich und ihre Assets schützen zu können.

Je nachdem, wie das parlamentarische Gesetzgebungsverfahren ausgeht, wird sich zeigen, wie die Anforderungen der Cybersicherheits-Richtlinie NIS2 in welchem Umfang in nationales Gesetz übergeführt werden und ob bzw. wo es ergänzende nationale Verschärfungen geben wird.

 

1 Quelle: Allianz Risk Barometer 2024, Allianz Commercial | Pressemitteilung

2 Quelle: Allianz Risk Barometer 2024 – Top 10 Geschäftsrisiken in Österreich in 2024

3 Benutzerleitfaden der EU-Kommission zur Definition von KMU, Empfehlung der Kommission Definition von KMU

Barbara Streimelweger
Dipl.-Ing. Dr. Barbara Streimelweger, MBA
Stragere Management Consulting e.U.
Verwandte Themen
Thomas Bleier
#Digitalisierung#Cyber Security & IoT
Neue Regularien für IT-Sicherheit in der Industrie

Der aktuelle OVE Informationstechnik-Newsletter zum Thema Cyber Security fokussiert auf die NIS-2-Richtlinie sowie auf das für Herbst 2024 erwartete Inkrafttreten des EU Cyber Resilience Act.

weitelesen mehr erfahren
NIS2 Richtlinie
#OVE News#Cyber Security & IoT
Cybersicherheit für Unternehmen: Umsetzung der NIS2 Richtlinie steht bevor

Cyberkriminalität kann jedes Unternehmen treffen. Die NIS2 Richtlinie soll ab Oktober 2024 den Schutz gegen Cyberangriffe erhöhen. Ein neues Schulungsangebot der OVE Academy erleichtert die korrekte Umsetzung der erforderlichen Maßnahmen.

 

weitelesen mehr erfahren
Cybersecurity Act
#Digitalisierung#Cyber Security & IoT
Cybersecurity Act

Im Jahr 2019 hat die Europäische Union die Verordnung (EU) 2019/881 („Cybersecurity Act“) verabschiedet. Diese schafft unter anderem einen europäischen Zertifizierungsrahmen für die Cyber-Sicherheit.

weitelesen mehr erfahren
#Presse
OVE-Tagung: Cyber Security für Industrieanlagen

Cyberangriffe auf Unternehmen, Energieversorger und Behörden sind eine reale Bedrohung. Wenn Hacker Schwachstellen im System finden, können sie ganze Industrieanlagen außer Betrieb setzen oder sogar die Energieversorgung gefährden.

weitelesen mehr erfahren

Das Element kann nicht angezeigt werden. Um das Element zu sehen, akzeptieren Sie die Marketing-Cookies.

Cookie-Einstellungen öffnen
Verband
Jobs
Presse
Shop
EN
Datenschutzeinstellungen

Auf unserer Webseite werden Cookies verwendet. Einige davon werden zwingend benötigt, während es uns andere ermöglichen, Ihre Nutzererfahrung auf unserer Webseite zu verbessern.

Essentiell

Essentielle Cookies werden für grundlegende Funktionen der Webseite benötigt. Dadurch ist gewährleistet, dass die Webseite einwandfrei funktioniert.

Name
omCookieConsent
Beschr.

Speichert die vom Benutzer gewählten Cookie-Einstellungen.

Speicherdauer
365 Tage
Provider
Oliver Pfaff - Olli macht's

Marketingcookies umfassen Tracking und Statistikcookies

Name
_ga, _gid, _gat, __utma, __utmb, __utmc, __utmd, __utmz
Beschr.

Diese Cookies werden von Google Analytics verwendet, um verschiedene Arten von Nutzungsinformationen zu sammeln, einschließlich persönlicher und nicht-personenbezogener Informationen. Weitere Informationen finden Sie in den Datenschutzbestimmungen von Google Analytics unter https://policies.google.com/privacy. Gesammelte nicht personenbezogene Daten werden verwendet, um Berichte über die Nutzung der Website zu erstellen, die uns helfen, unsere Websites / Apps zu verbessern. Diese Informationen werden auch an unsere Kunden / Partner weitergegeben.

Speicherdauer
Mehrere - variieren zwischen 2 Jahren und 6 Monaten oder noch kürzer.
Provider
Google LLC
Name
Youtube
Beschr.

Werden zur Anzeige von YouTube Videos und Speicherung von User-Einstellungen genutzt.

Speicherdauer
Aktuelle Browsersitzung
Provider
YouTube
Datenschutz