In Österreich werden geschätzt bis zu 5.000 Unternehmen unter die Richtlinie fallen. Eine viel größere noch nicht abschätzbare Zahl, wird im Zuge von Lieferketten auch die Richtline einhalten müssen. In diesem Blogbeitrag erfahren Sie, was die NIS-2-Richtlinie genau ist, welche Unternehmen davon betroffen sind und wie Sie schließlich an das Thema herangehen.
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie steht für die zweite Fassung der EU-Richtlinie 2022/2555 zur Netzwerk- und Informationssicherheit (Network and Information Security Directive, NIS). Sie ist am 16. Jänner 2023 in Kraft getreten und muss von der Bundesregierung bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Da keine Übergangsfrist vorgesehen ist, sind betroffene Betriebe somit ab dem 18. Oktober 2024 verpflichtet, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten – andernfalls drohen signifikante Strafen.
Am 3. April 2024 hat die österreichische Bundesregierung einen Gesetzesentwurf für die Umsetzung von NIS-2 in Begutachtung geschickt. Noch ist allerdings nicht klar, ob das Gesetz in Österreich auch zeitgerecht umgesetzt wird. Als Unternehmer sollten Sie sich trotzdem so früh wie möglich mit der Richtlinie befassen.
NIS-2 baut auf der NIS-Richtlinie der Europäischen Union von 2016 auf. Sie zielt darauf ab, das Cybersicherheitsniveau in der EU zu harmonisieren, die Sicherheits- und Informationssysteme von Unternehmen und Institutionen weiter zu stärken und die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberbedrohungen zu erhöhen.
Jedes 5 Unternehmen stand nach einem Cyberangriff bereits am Rande der Insolvenz. Im Jahr Dezember 2022 musste zum Beispiel ein renommierter E-Bike Hersteller, infolge einer Cyberattacke Insolvenz anmelden.
Wie groß ist der Geltungsbereich von NIS-2?
In der ersten Fassung wurden die Betreiber „kritischer Dienste“ (KRITIS-Betreiber) ermittelt. Der Anwendungsbereich der neuen NIS-2-Richtlinie wird deutlich über die bisher bekannten KRITIS-Bereiche hinaus ausgeweitet, um eine flächendeckende Abdeckung sicherzustellen. Wurden in der ersten Fassung lediglich die betroffenen KRITIS-Unternehmen berücksichtigt, werden nun auch die Unternehmen aus der Lieferkette (Lieferanten und Dienstleister) indirekt mit einbezogen.
Die Richtlinie unterscheidet neben den KRITIS-Betreibern zwischen „besonders wichtigen Einrichtungen“ (Sektoren mit hoher Kritikalität) und „wichtigen Einrichtungen“ (sonstige kritische Sektoren). Der größte Unterschied liegt in der Höhe der möglichen Geldstrafen und der Art der Aufsicht durch die Behörden (proaktiv vs. reaktiv).
Zu den besonders wichtigen Einrichtungen gehören Unternehmen, die in folgenden Bereichen aktiv sind:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- öffentliche Verwaltung
- Weltraum
Zu den wichtigen Einrichtungen gehören Unternehmen, die in folgenden Bereichen tätig sind:
- Abfallwirtschaft
- Anbieter von Post- und Kurierdiensten
- Herstellung, Produktion und Vertrieb chemischer Erzeugnisse
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Hersteller von medizinischen Geräten, Computern, Elektronik, optischen Erzeugnissen, Maschinen und Ausrüstungen, Kraftfahrzeugen und Teile sowie Transportmitteln
- Digitale Anbieter wie Suchmaschinen, soziale Netzwerke oder Online-Marktplätze
- Forschungseinrichtungen (fakultativ)
Wenn Ihr Unternehmen zu diesen 18 Sektoren gehört und somit von der neuen Richtlinie betroffen sein könnte, kommt es primär auf Ihre Unternehmensgröße, Ihren jährlichen Umsatz und Ihre Bilanzsumme an.
Welche Unternehmen müssen die Vorgaben der Richtlinie erfüllen?
Bisher hatte die NIS-Richtlinie lediglich Auswirkungen auf größere Unternehmen und Institutionen. Mit der neuen Richtlinie, bei der einheitliche Mindestkriterien eingeführt werden, wird das Thema Cybersecurity allerdings auch im österreichischen Mittelstand zum Thema.
Generell wird zwischen großen und mittleren Unternehmen und Institutionen unterschieden:
- Mittlere Unternehmen: 50 bis 249 Beschäftigte, 10 bis 50 Millionen Euro Umsatz, Bilanzsumme kleiner als 43 Millionen Euro
- Große Unternehmen: mind. 250 Mitarbeitende, 50 Millionen Euro Umsatz oder mehr, Bilanzsumme größer als 43 Millionen Euro
Kleinere Unternehmen sind in der Regel von der Richtlinie ausgenommen. Allerdings muss im Einzelfall geprüft werden, ob sie ungeachtet ihrer Größe trotzdem unter die Direktive fallen, weil sie bspw. eine Tochtergesellschaft im Konzernverbund sind oder Beteiligungen an anderen Unternehmen halten.
Kleine Unternehmen fallen zudem ausnahmslos unter NIS-2, wenn sie
- Vertrauensdienstanbieter,
- Anbieter öffentlicher elektronischer Kommunikationsnetze,
- Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste,
- TLD-Namensregistrare und DNS-Dienstanbieter (außer Root-Namensserver) oder
- der einzige Anbieter eines gesellschaftlich oder wirtschaftlich wichtigen Services sind.
Welche Meldepflichten müssen Unternehmer einhalten?
Wenn es zu Unregelmäßigkeiten (z. B. Hacker-Angriffen) oder signifikanten Sicherheitsvorfällen kommt, sind die Meldepflichten bereits heute sehr strikt. Diese werden mit NIS-2 nochmals verschärft. Sämtliche Vorfälle müssen der zuständigen Behörde im Mitgliedsstaat, in Österreich über eine Plattform des Innenministeriums, gemeldet werden. Dabei gilt es, einen dreistufigen Prozess und folgende Fristen einzuhalten:
- innerhalb von 24 Stunden ab Kenntnis: Frühwarnung
- innerhalb von 72 Stunden ab Kenntnis: ausführlicher Bericht
- auf Nachfrage: Zwischenmeldung
- innerhalb eines Monats: Fortschritts- oder Abschlussbericht
Werden während eines Sicherheitsvorfalls zudem personenbezogene Daten, die es zu schützen gilt, offengelegt, müssen die Melde- und Berichtspflichten der DSGVO berücksichtigt werden. Andernfalls müssen Unternehmen bei Verstößen gegen die DSGVO mit Bußgeldern rechnen.
Beachten Sie bitte die strengeren Fristen im Vergleich zu Meldungen gem. DSGVO.
Wie sollten Unternehmer an die Richtlinie herangehen?
Das Wichtigste vorab: Unternehmen werden vonseiten der Behörden nicht mehr wie bei NIS informiert, ob sie die neue NIS-2-Richtlinie betrifft. Sie sollten also zuerst prüfen, ob Ihr Unternehmen unter die Richtlinie fällt. Dies ist gegeben, wenn Sie als mittleres oder großes Unternehmen eingestuft werden und in einem der oben genannten Sektoren tätig sind. Gelten Sie laut der Richtlinie als kleines Unternehmen, müssen Sie dennoch prüfen, ob Ihre Tätigkeit unter die Sonderfälle fällt.
Anschließend sollten Sie sich um die Verantwortlichkeit dieses Themas kümmern. Bestimmen Sie am besten einen Ansprechpartner, der für die Einführung der Regelungen zuständig ist und suchen Sie rechtzeitig – falls nötig – nach externer Unterstützung bei der Umsetzung der Richtlinie. Es empfiehlt sich zudem, eine Risikoanalyse zu betreiben, um Lücken in Bezug auf die NIS-2-Richtlinie zu identifizieren und entsprechende Maßnahmen einzuleiten.
Welche Maßnahmen sollten Unternehmen ergreifen?
Ist Ihr Unternehmen von NIS-2 betroffen, müssen Sie sich bei der zuständigen Behörde im Mitgliedsstaat registrieren. Im Anschluss sollten Sie eine Kontaktstelle für Ihre „kritischen Bereiche“ innerhalb des Unternehmens einführen. Diese Kontaktstelle dient dazu, dass das Unternehmen zu jeder Zeit erreichbar ist und darüber seinen Meldepflichten im Falle von IT-Sicherheitsvorfällen nachkommen kann.
Darüber hinaus sind Sie verpflichtet, “geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen” zur Absicherung von Informationssystemen zu treffen (NIS-2 Artikel 21). Doch was genau ist damit gemeint? Der Entwurf für das NIS-2-Umsetzungsgesetz in Deutschland nennt beispielsweise folgende Maßnahmen, denen Unternehmen nachzukommen haben:
- Erstellung von Konzepten für die Risikoanalyse und die Sicherheit von Informationssystemen
- Bewältigung von Sicherheitsvorfällen
- Business Continuity Management (Aufrechterhaltung und Wiederherstellungen, Back-Up-Management) und Krisenmanagement
- Sicherstellung der Sicherheit in der Lieferkette
- Konzepte und Verfahren zur Bewertung der Effektivität der getroffenen Cybersecurity-Maßnahmen und des Risikomanagements
- Sicherheit in der Beschaffung, Entwicklung und Wartung der IT-Systeme
- Einhaltung der Cyberhygiene (bspw. durch Updates) und Cybersicherheit-Schulungen
- Einsatz von Kryptografie und Verschlüsselungstechnologien
- Gewährleistung von Personalsicherheit, Zugriffskontrolle und Anlagen-Management
- Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
- Sichere Kommunikation (Sprache, Video und Text) und Notfallkommunikation
- Nachweisliche Schulungen von Top-Management
Wie sehen die Sanktionen aus?
Die betroffenen Unternehmen sehen sich einem ziemlichen Durchsetzungsdruck durch die neue Direktive ausgesetzt. Das wird insbesondere durch die Verschärfung der Höhe der möglichen Sanktionen und die Haftung der Geschäftsführung bei Missachtung der Vorgaben deutlich.
Für besonders wichtige Unternehmen sehen die Sanktionen wie folgt aus:
- Bis zu 10 Millionen Euro oder
- 2 % des weltweiten Jahresumsatzes
Für wichtige Unternehmen sehen die Sanktionen wie folgt aus:
- Bis zu 7 Millionen Euro oder
- 1,4 % des weltweiten Jahresumsatzes
In beiden Fällen ist jeweils der höhere Betrag für das Bußgeld maßgeblich.
Doch auch die Managementebene (Geschäftsführer, Vorstände und andere leitende Organe) ist von der NIS-2-Richtlinie betroffen. Sie muss die Umsetzung der Maßnahmen überwachen, Schulungen besuchen und ermöglichen und wird bei Verstößen schadenersatzrechtlich in die Haftung genommen. Angedacht ist die Haftung mit dem Privatvermögen und maximal 2 % des weltweiten Jahresumsatzes.
NIS-2: Ausblick
Die NIS-2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Kommt die Bundesregierung diesem Zeitplan nach, werden sich deutlich mehr Unternehmen als bisher mit der Richtlinie und dem Thema Cybersicherheit auseinandersetzen müssen, die davon bisher nicht betroffen waren. Betroffene Unternehmen müssen sich zudem auf schärfere Kontrollen und deutlich höhere Sanktionen einstellen.
Gleichzeitig ist der Zeitrahmen für die Implementierung der Richtlinie äußerst kurz, da nicht nur die Unternehmen selbst, sondern auch der Einkauf sowie die Lieferketten betroffen sind. Weil kurzfristige Veränderungen aufgrund von Verträgen schwer umsetzbar sind, sollten Unternehmen lieber früher statt später klären, ob für sie die EU-Richtlinie gilt und entsprechend handeln.