Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) ist die neue EU-Verordnung zur Cybersicherheit, die am 16. Jänner 2023 in Kraft getreten ist. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und zielt darauf ab, die Cybersicherheitsvorschriften in der EU zu verschärfen und auf den neuesten Stand zu bringen, um die digitale Infrastruktur der EU besser vor Cyberangriffen zu schützen.

Die NIS2-Richtlinie muss von den EU-Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

Wen betrifft die NIS2-Richtlinie?

Ob ein Unternehmen betroffen ist, hängt von folgenden Faktoren ab:

• Sektor: Die Richtlinie gilt für Unternehmen in kritischen Sektoren, wie z. B. Energie, Verkehr, Wasserversorgung, Abfallwirtschaft, Gesundheit und digitale Infrastruktur. Eine vollständige Liste der Sektoren finden Sie im NIS2-Gesetz.
• Größe: Unternehmen mit weniger als 50 Mitarbeitern, einem Jahresumsatz von höchstens 10 Mio. € oder einer Jahresbilanzsumme von höchstens 10 Mio. € fallen im Regelfall nicht unter NIS2.
• Ausnahmen: Es gibt jedoch Ausnahmen. So können auch kleine Unternehmen betroffen sein, wenn sie z. B. sensible Daten verarbeiten oder für die öffentliche Sicherheit besonders wichtig sind.
• Lieferkette: Dienstleister und Lieferanten von Unternehmen, die unter NIS2 fallen, müssen ebenfalls angemessene Sicherheitsvorkehrungen treffen, um die Lieferkette zu schützen.

Was sind die wichtigsten Anforderungen der NIS2-Richtlinie?

Die NIS2-Richtlinie enthält eine Reihe neuer Anforderungen für betroffene Unternehmen und Organisationen, darunter:

• Risikobewertungen und Risikomanagement: Unternehmen müssen ihre IKT-Systeme und -Netzwerke regelmäßig auf Sicherheitsrisiken bewerten und geeignete Maßnahmen zur Risikominimierung ergreifen.
• Sicherheitsmaßnahmen: Unternehmen müssen eine Reihe von technischen und organisatorischen Sicherheitsmaßnahmen implementieren, um ihre Systeme vor Cyberangriffen zu schützen.
• Incident-Reporting: Unternehmen müssen schwerwiegende Cybersicherheitsvorfälle an die zuständigen Behörden melden.
• Lieferantenmanagement: Unternehmen müssen die Cybersicherheitsrisiken ihrer Lieferanten bewerten und geeignete Maßnahmen zur Risikominimierung ergreifen.
• Zertifizierung und Audits: Bestimmte Unternehmen müssen sich von unabhängigen Stellen zertifizieren lassen und ihre Cybersicherheitsmaßnahmen regelmäßig auditieren lassen.

Was müssen Unternehmen tun, um die NIS2-Richtlinie einzuhalten?

Unternehmen, die von der NIS2-Richtlinie betroffen sind, sollten sich mit den neuen Anforderungen vertraut machen und einen Plan zur Umsetzung entwickeln. Dieser sollte die folgenden Schritte umfassen:

1. Informieren Sie sich über die NIS2-Richtlinie: Lesen Sie die Richtlinie und verstehen Sie die Anforderungen, die für Ihr Unternehmen gelten.
2. Führen Sie eine Risikobewertung durch: Bewerten Sie Ihre IT-Systeme und -Netzwerke auf Sicherheitsrisiken.
3. Implementieren Sie Sicherheitsmaßnahmen: Ergreifen Sie geeignete Maßnahmen, um die in der NIS2-Richtlinie geforderten Sicherheitsmaßnahmen zu implementieren.
4. Erstellen Sie einen Incident-Response-Plan: Entwickeln Sie einen Plan für die Reaktion auf Cybersicherheitsvorfälle.
5. Schulung der Mitarbeiter:innen: Schulen Sie Ihre Mitarbeiter:innen in Cybersicherheitsfragen.
6. Benennen Sie eine/n Sicherheitsbeauftragte/n: Benennen Sie eine/n Sicherheitsbeauftragte/n, der für die Einhaltung der NIS2-Richtlinie verantwortlich ist.

Zusammenfassend lässt sich sagen, dass die NIS2-Richtlinie für viele Unternehmen in Österreich relevant ist. Es ist wichtig, dass sich Unternehmen frühzeitig über die Anforderungen informieren und die notwendigen Maßnahmen umsetzen, um die Cybersicherheit ihrer Unternehmen zu gewährleisten.

Im Begutachtungsentwurf vom 3.4.2024 ist kein Datum für das Inkrafttreten fixiert. Rechtsexpert:innen gehen daher davon aus, dass die Regelungen mit 18. Oktober 2024 in Kraft treten sollen.

Da im o.g. Entwurf keine Übergangsfristen vorgesehen sind, könnten die Regelungen daher für betroffenen Einrichtungen bereits mit Inkrafttreten des Gesetzes gelten.