Cybersicherheits-Richtlinie NIS 2
Cybersicherheit – Was ist die neue Cybersicherheits-Richtlinie NIS 2?
Viel Zeit bleibt nicht mehr, denn bis 17. Oktober müsste die (ohnehin schon seit Anfang 2023 geltende) neue NIS-2-Richtlinie in den EU-Mitgliedsstaaten tatsächlich umgesetzt werden. Aber auch wenn in Österreich durch die Nationalratswahlen höchstwahrscheinlich eine Verzögerung droht: Kommen wird sie – die Umsetzung in nationales Recht. Kritiker klagen schon jetzt über weiteren Bürokratieaufwand für Unternehmen, Befürworter verweisen auf eine notwendige Reaktion auf die wachsende Gefahr durch Cyberkriminalität. Was steckt also in dem Kürzel?
NIS steht für „Netz- und Informationssystemsicherheit“. Schon seit 2016 gilt in Österreich die Erstvariante der NIS-Richtlinie. Mit der überarbeiteten Richtlinie hat die EU Maßnahmen und Meldepflichten bei IT-Sicherheitsvorfällen deutlich verschärft. Damit soll die Resilienz des öffentlichen Sektors und der Privatwirtschaft gegenüber Cybercrime gestärkt werden. Die Bedrohung ist virulent. Allein in Österreich hat laut KPMG-Studie 2023 die Zahl der Cyberangriffe gegenüber dem Jahr davor um 200 Prozent zugenommen. Jede zehnte dieser Cyberattacken war erfolgreich.
Umsetzung der NIS-2-Richtlinie: Herausforderungen und Vorteile für Unternehmen
Die Richtlinie soll daher dazu beitragen, Gefährdungen zu erkennen, zu bewerten und zu verfolgen. Zudem soll sie die Fähigkeit stärken, Störungen zu bewältigen, die damit verbundenen Folgen zu mindern sowie die Handlungs- und Funktionsfähigkeit der davon betroffenen Akteure, Infrastrukturen und Dienste - und damit den Normalbetrieb - möglichst rasch wiederherzustellen. Dafür gelten durch NIS-2 für rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen.
Dabei wird zwischen „Sektoren mit hoher Kritikalität“ und „sonstigen kritischen Sektoren“ unterschieden. Zu Ersteren zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum. „Sonstige kritische Sektoren“ umfassen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes und herstellendes Gewerbe sowie Anbieter digitaler Dienste und Forschung. Verpflichtet werden zudem Dienstleister und Lieferanten betroffener Einrichtungen.
Verpflichtende Sicherheitsmaßnahmen und Meldepflichten für kritische Sektoren
Ob und in welchem Ausmaß man konkret unter die Richtlinie fällt, hängt von Betriebsgröße und Bilanzsumme ab. Betroffen sind große Unternehmen mit mindestens 250 Beschäftigten oder über 50 Millionen Euro Jahresumsatz und über 43 Millionen Euro Jahresbilanzsumme, mittlere Unternehmen mit 50 bis 249 Mitarbeiter:innen oder zwischen zehn und 50 Millionen Euro Jahresumsatz beziehungsweise zwischen 10 und 43 Millionen Euro Jahresbilanzsumme. Kleine Unternehmen fallen nicht unter NIS-2 – sofern ihre Tätigkeit keine Schlüsselrolle für Gesellschaft, Wirtschaft oder bestimmte Sektoren hat.
Unternehmen, die unter NIS-2 fallen, müssen sich bei der zuständigen Behörde registrieren lassen und künftig einen Prozess zur Meldung von Cybersicherheitsvorfällen implementieren. Zu einem möglichst lückenlosen Schutzwall gehört aber nicht nur die Fähigkeit, Sicherheitsvorfälle abzuwehren, sondern auch die Fähigkeit, Sicherheitsvorfälle präventiv vorzubeugen. Dafür gilt es, technische, operative und organisatorische Risikomanagementmaßnahmen zur Sicherheit von Netz- und Informationssystemen zu erarbeiten. Dazu gehören unter anderem die Sicherstellung der Geschäftskontinuität durch Backupmaßnahmen, Maßnahmen zur Gewährleistung der Sicherheit der Lieferketten, Cyberhygieneverfahren sowie Schulungen, Fort- und Weiterbildungen im Bereich der Cybersicherheit, der Einsatz von Kryptografie und Verschlüsselungstechnologie und Lösungen für Multi-Faktor- beziehungsweise kontinuierliche Authentifizierungen.
Kommt es trotzdem zu einem Zwischenfall, besteht ein 24-Stunden-Zeitfenster, in dem gemeldet werden muss, ob der Vorfall auf einer rechtswidrigen oder böswilligen Handlung beruht beziehungsweise grenzübergreifende Auswirkungen haben kann. Neben diesem Frühwarnungsprocederes ist binnen 72 Stunden eine erste Einschätzung des Cybersicherheitsvorfalls abzugeben. Ein Monat nach der Meldung ist ein Zwischen- bzw. Abschlussbericht mit einer ausführlichen Beschreibung des Cybersicherheitsvorfalls zu übermitteln.
Teuer wird es nicht nur im Fall eines erfolgreichen Angriffs, sondern auch wenn man sich nicht an die vorgegebenen Regelungen hält: Je nach Unternehmensform und Tätigkeitsbereich gibt es Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Auch Zertifizierungen und Genehmigungen können entzogen werden. Es lohnt sich also doppelt, die eigenen Geschäftsprozesse präventiv ausreichend vor Angriffen aus dem Netz zu schützen. Nicht zuletzt, um das Vertrauen von Geschäfts- und Kundenbeziehungen abzusichern und sich als zukunftsfitter Player am digitalen Markt zu positionieren.
Haben Sie noch Fragen oder Anliegen zu unseren Produkten?
Unsere Werbeexperten sind für Sie da und beraten Sie gerne! Denn zusammen erschaffen wir kreative Werbemittel, um Ihr Unternehmen und Ihre Botschaft perfekt zu positionieren, ob Print oder Digital.
Wir freuen uns über Ihre Nachricht!