Die NIS-2-Richtline (Network and Information Systems) sorgt für die Sicherheit von Netzwerken und Computersystemen.
In Österreich wurde das durch das NIS-Gesetz umgesetzt, das vor allem wichtige Infrastruktur-Unternehmen und Online-Dienste wie Marktplätze, Suchmaschinen und Cloud-Dienste betrifft. Eine neue Version, die NIS-2-Richtlinie, ist seit dem 16. Januar 2023 in Kraft. Sie aktualisiert die alten Regeln. Die EU-Länder müssen diese bis zum 17. Oktober 2024 anwenden.
Die NIS-2-Richtlinie betrifft vor allem große Firmen mit mehr als 250 Mitarbeitern oder einem Umsatz über 50 Millionen Euro und mittelgroße Unternehmen mit 50 bis 249 Angestellten und einem Umsatz zwischen 10 und 50 Millionen Euro. Kleine Firmen mit weniger als 50 Mitarbeitern und unter 10 Millionen Euro Umsatz sind meistens nicht betroffen, außer sie spielen eine wichtige Rolle in der Gesellschaft oder Wirtschaft.
Die NIS-2-Richtlinie gilt für 18 verschiedene Bereiche, die in zwei Gruppen eingeteilt sind: sehr wichtige Bereiche und andere wichtige Bereiche. Zu den sehr wichtigen Bereichen gehören zum Beispiel Energieversorgung, Verkehr, Banken, Gesundheitswesen, Wasserversorgung, digitale Infrastruktur, öffentliche Verwaltung und der Weltraum. Die anderen wichtigen Bereiche umfassen Postdienste, Müllentsorgung, Chemie, Lebensmittelproduktion, Herstellung von Waren, Online-Dienste und Forschung.
Unter "wesentlichen Einrichtungen" versteht man große Firmen, die in besonders wichtigen Bereichen wie Energie oder Gesundheitswesen tätig sind. Mittelgroße Firmen in diesen Bereichen sind auch wichtig, genauso wie große und mittelgroße Firmen in anderen wichtigen Bereichen, zum Beispiel in der Lebensmittelproduktion. Kleinere Firmen fallen normalerweise nicht direkt unter diese Regelung, könnten aber in bestimmten Fällen oder durch ihre Rolle in der Lieferkette trotzdem betroffen sein.
Ob man als Unternehmen eine wesentliche oder eine wichtige Einrichtung im Sinne der Richtlinie ist, macht bei der Umsetzung der geforderten Sicherheitsmaßnahmen keinen Unterschied. Es gibt jedoch Unterschiede bei der Aufsicht und den Sanktionen. Bei wesentlichen Einrichtungen erfolgen u. a. regelmäßige und gezielte Sicherheitsprüfungen ("ex-ante"), Stichprobenkontrollen und der Bußgeldrahmen beträgt bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist). Bei wichtigen Einrichtungen finden Überprüfungen vor Ort sowie externe nachträgliche Aufsichtsmaßnahmen nur bei begründetem Verdacht ("ex-post") statt. Der Bußgeldrahmen beträgt bis zu 7 Millionen Euro oder bis zu 1,4 Prozent des weltweiten Umsatzes.
Die NIS-2-Richtlinie sorgt dafür, dass in ganz Europa Netzwerke und Informationssysteme sicherer werden, was die EU widerstandsfähiger gegenüber Cyberangriffen macht. Viele Firmen haben schon verstanden, wie wichtig es ist, sich gut gegen solche Bedrohungen zu schützen und schnell reagieren zu können, wenn doch mal etwas passiert. Firmen, die von der NIS-2-Richtlinie betroffen sind, müssen nun bestimmte Dinge tun, wie zum Beispiel einen Weg einführen, um Cyberangriffe zu melden, und Pläne machen, wie sie Risiken erkennen und ihre Netzwerke schützen können.
Wenn Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist, müssen Sie sich zuerst bei der zuständigen Behörde anmelden. Zusätzlich müssen Sie eine Reihe von Vorschriften befolgen, die dazu dienen, die Sicherheit Ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehört die Entwicklung von Risikomanagementstrategien, die technische, operative und organisatorische Maßnahmen umfassen, um Risiken zu minimieren und auf Cybersicherheitsvorfälle reagieren zu können.
Diese Strategien beinhalten unter anderem:
- Erstellung von Risikoanalysen und Sicherheitskonzepten
- Maßnahmen zur Erkennung und Minimierung von Sicherheitsvorfällen
- Sicherstellung der Geschäftskontinuität
- Sicherung der Lieferketten
- Schulungen in Cybersicherheit
- Einsatz von Verschlüsselung und Zugriffskontrollen
- Verwendung von Multi-Faktor-Authentifizierungen
- Sichere Kommunikationstechnologien
Zudem müssen Unternehmen bei ernsthaften Cybersicherheitsvorfällen schnell handeln. Innerhalb von 24 Stunden nach Entdeckung eines Vorfalls muss eine erste Meldung erfolgen, ob der Vorfall möglicherweise rechtswidrig oder böswillig ist und ob er grenzübergreifende Auswirkungen haben könnte. Innerhalb von 72 Stunden ist eine erste Einschätzung des Vorfalls abzugeben, und nach einem Monat muss ein detaillierter Bericht über den Vorfall vorgelegt werden.
Um die Sicherheit Ihrer Daten gemäß den Vorgaben der NIS-2-Richtlinie zu gewährleisten, ist ein umfassender
Überblick über Ihre Risiken entscheidend
Artikel: Pflichten für Industrie
Artikel: Unterschied Kann/Muss