Anstehende Änderungen im Bereich der Cybersicherheitsgesetzgebung

Ein Überblick über die neuen Anforderungen der NIS-2-Richtlinie

Am 16.01.2023 trat die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) in Kraft, mit der die bestehende europäische Cybersicherheitsgesetzgebung reformiert und erweitert wird. Europa soll gegen aktuelle und neue Herausforderungen im Bereich der Cybersicherheit gestärkt und der störungsfreie Betrieb von Netz- und Informationssystemen geschützt werden. Für den Finanzsektor bestehen darüber hinaus mit dem Digital Operational Resilience Act (KWR berichtet: Neue Anforderungen an die IT-Sicherheit für Outsourcing im Finanzbereich)noch strengere Regelungen als lex specialis gegenüber der NIS-2-Richtlinie.

Anstoß für die NIS-2-Richtlinie war eine Überprüfung der bereits 2016 in Kraft getretenen (und in Österreich im NISG umgesetzten) NIS-1-Richtlinie durch die Europäische Kommission. Die Überprüfung ergab, dass die jeweiligen nationalen Umsetzungsgesetze gravierende Unterschiede enthielten, angefangen bei den festgelegten Verpflichtungen in Bezug auf die Sicherheit oder die Meldung von Sicherheitsvorfällen, bis hin zum Anwendungsbereich selbst. Diese Divergenzen führten zu einer unzureichenden Koordinations- und Reaktionsfähigkeit der Mitgliedsstaaten.

Wen treffen die neuen Vorgaben nach der NIS-2-Richtlinie?

Der Anwendungsbereich der NIS-2-Richtlinie (Art 2 Abs 1) umfasst

•   öffentliche oder private Einrichtungen der in Anhang I (Sektoren mit hoher Kritikalität) oder Anhang II (sonstige kritische Sektoren) genannten Art,

•   die gemäß der EU Kommissions-Empfehlung 2003/361 als mittleres Unternehmen gelten, und

•   ihre Dienste in der Europäischen Union erbringen.

Bestimmte Einrichtungen können von den Mitgliedstaaten auch unabhängig von ihrer Einstufung als mittleres Unternehmen dem Anwendungsbereich der NIS-2-Richtlinie unterstellt werden.

Anhang I erfasst 11 besonders kritische Sektoren, Anhang II 7 kritische Sektoren*:

Anhang I

Sektoren mit hoher Kritikalität

Anhang II

Sonstige kritische Sektoren

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser (neu)
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (Business-to-Business) (neu)
  • Öffentliche Verwaltung (neu)
  • Weltraum (neu)
  • Post- und Kurierdienste
  • Abfallbewirtschaftung (neu)
  • Produktion, Herstellung und Handel mit chemischen Stoffen (neu)
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln (neu)
  • Verarbeitendes Gewerbe/Herstellung von Waren (neu)
  • Anbieter digitaler Dienste
  • Forschung (neu, fakultativ)

 

*) Die gegenüber der NIS-1-Richtlinie ursprünglich 8 erfassten Sektoren werden auf 16 Sektoren ausgeweitet (in der Tabelle mit „neu“ gekennzeichnet). Neu ist vorallem, dass auch produzierende Gewerbe (Chemie und Lebensmittel) vom Anwendungsbereich erfasst sein werden.

  • Wesentliche und Wichtige Einrichtungen: neue Compliance-Vorgaben

Die NIS-2-Richtlinie unterscheidet außerdem zwischen wesentlichen und wichtigen Einrichtungen: Als wesentliche Einrichtungen gelten unter anderem all jene in den Sektoren mit hoher Kritikalität, die mittlere Unternehmen sind oder etwa qualifizierte Vertrauensdiensteanbieter, Domänenregister der Domäne oberster Stufe sowie DNS- Dienstanbieter. Als wichtige Einrichtungen sind hingegen all jene Einrichtungen zu qualifizieren, die nicht wesentlich, aber einem der (Teil-)Sektoren der Anhänge I und II zuzuordnen sind und als mittleres Unternehmen gelten.

Wesentliche und wichtige Einrichtungen müssen geeignete, verhältnismäßige, sowie wirksame technische, operative und organisatorische Maßnahmen ergreifen, um die Netz- und Informationssicherheit ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Die Maßnahmen müssen mindestens die folgenden Bereiche umfassen:

    • Risikoanalyse und Sicherheit für Informationssysteme;
    • Bewältigung von Sicherheitsvorfällen;
    • Backup- und Krisenmanagement;
    • Sicherheit der Lieferkette (sicherheitsbezogene Aspekte zwischen den einzelnen Einrichtungen und ihren unmittelbaren Diensteanbietern);
    • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (inkl Schwachstellenmanagement);
    • Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
    • Schulungen im Bereich der Cybersicherheit;
    • Kryptographie und Verschlüsselung,
    • Personalsicherheit, Zugriffskontrolle und Anlagen-Management, sowie
    • Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
  • Welche Meldepflichten müssen eingehalten werden?

Wesentliche und wichtige Einrichtungen müssen Sicherheitsvorfälle außerdem nach einem dreistufigen Meldesystem an die zuständige Behörde (die Strategische NIS-Behörde nach der NIS-1-Richtlinie ist im BKA angesiedelt) melden:

- unverzügliche Erstmeldung, spätestens jedoch innerhalb von 24 Stunden;

- Aktualisierung und erste Bewertung des Sicherheitsvorfallsnach spätestens 72 Stunden;

- Abschlussmeldung nach spätestens einem Monat;

- Bei andauernden Sicherheitsvorfällen ist eine Fortschrittsmeldung nach jedem weiteren Monat notwendig.

  • Verschärfte Strafen und Verantwortlichkeit von Leitungsorganen

Bei Verstößen gegen die NIS-2-Richtlinie sind Bußgeldrahmen für wesentliche Einrichtungen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vorgesehen, wichtige Einrichtungen müssen mit Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes rechnen.

Die NIS-2-Richtlinie sieht darüber hinaus vor, dass die Leitungsorgane des Unternehmens die Umsetzung und Einhaltung der Risikomanagementmaßnahmen zu gewährleisten und zu überwachen haben, sowie bei Verstößen gegen die Vorgaben der Richtlinie verantwortlich gemacht werden können. Spätestens ab jetzt muss die Cybersicherheit im Unternehmen daher „oberste Chefsache“ sein.

Ausblick

Die neuen Vorgaben der NIS-2-Richtlinie müssen von den Mitgliedstaaten bis 17.10.2024 in nationales Recht umgesetzt werden, das gleich gilt für die Richtlinie über die Resilienz kritischer Einrichtung (CER-Richtlinie). Ein Entwurf des österreichischen Umsetzungsgesetz wird bereits mit Spannung erwartet, insbesondere wie der Österreichische Gesetzgeber den Begriff „Leitungsorgan“ verstehen wird, wie er das Sanktionsregime umsetzt und welche Einrichtungen er unabhängig von ihrer Einstufung als mittleres Unternehmen jedenfalls dem Anwendungsbereich der NIS-2-Richtlinie unterstellen möchte. Unser New Technologies- und IP-Team hält Sie in diesem Zusammenhang auf dem Laufenden und berät Sie gerne bei der Umsetzung der Anforderungen im Zusammenhang mit der NIS-2-Richtlinie.

 

Ihr Kontakt


Diese Website verwendet Cookies

Damit wir Ihnen während des Aufenthaltes auf unserer Website das bestmögliche Erlebnis bieten können, verwenden wir verschiedene Arten von Cookies. Bitte wählen Sie aus, welche Arten von Cookies Sie zulassen möchten und klicken Sie dann auf "Zustimmen". Mit dem Klick auf "Allen zustimmen" erklären Sie sich mit der Verwendung sämtlicher Cookies einverstanden. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Einstellungen ändern. Mehr zum Thema Cookies finden Sie unter: Cookie-Policy. Weitere Informationen zum Thema Datenschutz finden Sie unter: Datenschutz.

Impressum

Betriebsnotwendige und
funktionale Cookies
Statistik-Cookies


Weitere Informationen