In einer zunehmend digitalisierten Welt, in der Cyberangriffe immer häufiger und raffinierter werden, wächst die Bedeutung effektiver Cybersicherheitsmaßnahmen für Unternehmen und öffentliche Institutionen gleichermaßen. Die 2022 verabschiedete NIS-2-Richtlinie der Europäischen Union stellt einen entscheidenden Schritt dar, um die Cybersicherheit in Europa zu stärken. Als Nachfolger der ursprünglichen NIS-Richtlinie erweitert die NIS-2-Richtlinie den Anwendungsbereich deutlich und setzt höhere Standards für die Sicherheit von Netz- und Informationssystemen.
Mit der Richtlinie gehen neue Anforderungen einher, darunter strengere Meldepflichten, umfassendere Risikomanagement-Maßnahmen und härtere Sanktionen bei Nichteinhaltung, um die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberbedrohungen zu erhöhen und potenzielle Sicherheitslücken zu schließen.
Der steigende Druck auf Unternehmen, proaktiv gegen Cyberbedrohungen vorzugehen, spiegelt sich auch in der wachsenden Zahl von Cyberangriffen wider. So stiegen die gemeldeten Cyberangriffe in Österreich in den letzten beiden Jahrzehnten dramatisch an – ein deutlicher Hinweis darauf, dass jedes Unternehmen, unabhängig von Größe oder Branche, gefährdet ist. Prominente Beispiele, wie etwa die Cyberattacken auf die heimischen Unternehmen Rosenbauer und SalzburgMilch, unterstreichen, wie dringend erforderlich ein umfassendes Sicherheitskonzept ist, um finanzielle Verluste und rechtliche Konsequenzen zu verhindern.
Im nachstehenden Blogartikel erfahren Sie, was die NIS-2-Richtlinie konkret beinhaltet. Zudem wird diskutiert, welche Sektoren betroffen sind! In unserem Folgeartikel zur NIS-2-Richtlinie erfahren Sie schließlich ausführlich, welche konkreten Schritte und Maßnahmen Unternehmen ergreifen müssen, um die Anforderungen der NIS-2-Richtlinie erfolgreich umzusetzen und sich bestmöglich gegen Cyberbedrohungen zu schützen.
Die NIS-2-Richtlinie (NIS = Network and Information Security) bzw. die „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ tritt die Nachfolge der „Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union“ (NIS-Richtlinie) an.
Mit der neuen Cybersicherheitsgesetzgebung NIS-2 werden in Österreich künftig für rund 4.000 Unternehmen und Institutionen aus 18 festgelegten Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen gelten.
Aktuell gilt allerdings nach wie vor die NIS-Richtlinie von 2016, die in Österreich durch das NIS-Gesetz geregelt ist. Die derzeit geltende Regelung richtet sich hauptsächlich an Unternehmen, die zur kritischen Infrastruktur zählen (z. B. Energie- und Wasserversorgung, Gesundheit, Transport), sowie an Anbieter und Lieferanten digitaler Dienste, wie etwa Online-Marktplätze, Suchmaschinen und Cloud-Dienstleister.
Die NIS-2-Richtlinie, die seit dem 16. Januar 2023 offiziell in Kraft ist, wird die bestehende NIS-Richtlinie ablösen. Sie sollte grundsätzlich von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden, was jedoch noch nicht überall gelungen ist. So wird die neue Richtlinie etwa in Deutschland frühestens mit Beginn 2025 gesetzlich verankert. Wann es in Österreich so weit ist, ist derzeit noch offen. Betroffene Unternehmen sollten im eigenen Interesse aber bereits jetzt die Umsetzung im Betrieb forcieren.
Die NIS-2-Richtlinie soll prinzipiell die Widerstandsfähigkeit und das Krisenmanagement bei Cybervorfällen innerhalb der EU stärken und sicherstellen, dass in Notfällen essentielle Infrastrukturen weiter funktionstüchtig bleiben. Die Richtline, die künftig in einem nationalen Gesetz (NISG) umgesetzt wird, erweitert die Regelungen der bisherigen NIS-Richtlinie auf mehr Wirtschaftssektoren, um alle für die Gesellschaft und Wirtschaft besonders wichtigen Bereiche abzudecken. Betroffene Unternehmen in diesen Sektoren müssen geeignete Risikomanagementmaßnahmen für ihre IT-Sicherheit umsetzen. Zudem müssen Cybervorfälle gemeldet werden (Meldepflicht), um Bedrohungen schneller identifizieren und bekämpfen zu können.
Unter die NIS-2-Richtlinie fallen große Unternehmen mit mindestens 250 Beschäftigten oder über € 50 Mio. Jahresumsatz und über € 43 Mio. Jahresbilanzsumme sowie mittlere Unternehmen mit 50 bis 249 Beschäftigten oder zwischen € 10 und € 50 Mio. Jahresumsatz bzw. zwischen € 10 und € 43 Mio. Jahresbilanzsumme. Kleine Unternehmen mit weniger als 50 Beschäftigten und unter € 10 Mio. Jahresumsatz sowie unter € 10 Mio. Jahresbilanzsumme fallen grundsätzlich nicht unter die neue Richtlinie, außer sie spielen eine Schlüsselrolle für die Gesellschaft, die Wirtschaft oder bestimmte Sektoren (z.B.: Vertrauensdiensteanbieter; Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste; TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern; Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist). In diesem Fällen kommen Sonderregeln zum Tragen.
Für Unternehmen mit einer komplexeren Struktur (z.B. Tochtergesellschaft eines Konzerns) wird ggf. eine Einzelfallprüfung notwendig. Bei der Beurteilung wird dabei Unternehmensgröße (d.h. Mitarbeiter:innenzahl und Umsatz- bzw. Bilanzzahl) betrachtet bzw. ob es sich um ein eigenständiges Unternehmen, ein Partnerunternehmen (Beteilungen an anderen Unternehmen ab 25 % bis 50 %) oder um ein verbundenes Unternehmen (Beteiligungen an anderen Unternehmen über 50 %) handelt.
Insgesamt sind 18 Sektoren von der NIS-2-Richtlinie betroffen, wobei zwischen „Sektoren mit hoher Kritikalität“ (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum) und „sonstigen kritischen Sektoren“ (Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste und Forschung) unterschieden wird.
Wichtige Praxistipps und wie diese Richtlinie zukünftig auch den Arbeitsalltag beeinflussen könnte, erfahren Sie in unserem nächsten Blogartikel.
Sie möchten gerne mehr über Cybersecurity, Datensicherheit oder Digitalisierung erfahren und keine Neuigkeiten verpassen? Besuchen Sie uns doch ganz einfach regelmäßig auf unserer Website bzw. in unserem opta data Journal. Um immer top informiert zu sein, können Sie sich auch sehr gerne direkt bei unserem Newsletter anmelden.
Hier geht’s zur Newsletter Anmeldung:
Das könnte Sie auch interessieren:
eHealth-Strategie Österreich: Chancen & Herausforderungen der Digitalisierung
Die „eHealth-Strategie Österreich“ wurde im Rahmen der Gesundheitsreform 2023 verankert und soll…
Gesundheit im Wandel: Die digitale Revolution im Gesundheitswesen
Gesundheit wird immer digitaler und eröffnet neue Felder für die Gesundheitsversorgung.
opta data-Reportage auf LT1
LT1 war zu Besuch bei uns und hat hinter die Kulissen geblickt!