Die Bezeichnung NIS steht für „Directive on Security of Network and Information Systems“ oder „Richtlinie über die Sicherheit von Netz- und Informationssystemen“, welche 2016 von der EU verabschiedet wurde. Mittlerweile wurde die NIS-Richtlinie überarbeitet und die Fassung NIS2 vom Europäischen Parlament verabschiedet.
Welches Ziel verfolgt die NIS2 Richtlinie?
Die Richtlinie wurde entwickelt, um den Schutz kritischer Infrastrukturen innerhalb der EU-Mitgliedstaaten zu verbessern und Cybersecurity Vorfälle zu verhindern oder zu erkennen und angemessen zu reagieren. Das übergeordnete Ziel der Richtlinie ist, die Cybersicherheit in der gesamten EU auf ein neues Niveau anzuheben.
Sie harmonisiert Standards, stärkt das Risikomanagement, führt Meldepflichten ein und verschärft Bußgelder, um einen umfangreicheren und wirksameren Schutz für kritische Infrastrukturen und digitale Dienste zu bieten.
NIS2 hat das Ziel, die Cybersicherheit für essenzielle Infrastrukturen in der gesamten EU zu verstärken und sie gegen Cyberbedrohungen aller Art zu schützen. Damit adressiert die Richtlinie aktuelle Herausforderungen der Cybersicherheit, insbesondere im Hinblick auf die zunehmende Digitalisierung von Dienstleistungen und den wachsenden Einsatz von IoT-Geräten. Ziel ist es, die Widerstandsfähigkeit und Reaktionsfähigkeit im Bereich der Cybersicherheit zu verbessern, um sowohl öffentliche als auch private Sektoren in der EU zu schützen. Dies soll gewährleisten, dass lebenswichtige Infrastrukturen auch in Krisenzeiten funktionieren.
Die Richtlinie legt grundsätzliche Mindestanforderungen an die Sicherheit von Netz- und Informationssystemen fest und verpflichtet alle EU-Mitgliedstaaten, Strategien und Maßnahmen zur Gewährleistung der Cybersicherheit zu normieren.
Von der Richtlinie betroffene Einrichtungen müssen unter anderem angemessene Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und entsprechenden Meldepflichten nachkommen.
Da es sich um eine Richtlinie und nicht um eine Verordnung handelt, gilt sie nicht automatisch in allen EU-Ländern, sondern musste erst von allen EU-Mitgliedstaaten in nationales Recht umgewandelt werden.
Neuerungen der NIS2 Richtlinie
Die NIS2-Richtlinie stellt eine aktualisierte Version der ursprünglichen Cybersicherheit-Richtlinie NIS1 dar. Sie löst die vorherige Richtlinie ab und legt neue Mindestanforderungen für die Sicherheit kritischer Infrastrukturen innerhalb der EU fest.
In Österreich wurde 2018 die NIS1 Richtlinie als Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) umgesetzt. Diese Regelung galt hauptsächlich für Unternehmen, die zur kritischen Infrastruktur gehören oder digitale Dienste wie Online-Marktplätze, Suchmaschinen und Cloud Computing-Dienste betreiben.
Mit der Einführung von NIS2 wird das Fundament der ursprünglichen Richtlinie erweitert. Die erweiterte Richtlinie NIS2 wurde 2023 veröffentlicht und verpflichtet alle EU-Staaten, die Vorgaben bis zum 17. Oktober 2024 in nationales Recht umzusetzen.
Warum wird NIS1 von NIS2 abgelöst?
Die bereits im Jahr 2016 von der EU-Kommission vorgelegte NIS1 Richtlinie war in vielen Punkten zu vage formuliert und wurde aus diesem Grund in den verschiedenen Mitgliedsstaaten sehr uneinheitlich umgesetzt. Es gab so etwa Unterschiede bei der Klassifizierung von kritischen Infrastrukturen. Überdies variierte auch die Aufzählung der von der Richtlinie betroffenen Anbieter von Land zu Land.
Zusätzlich fehlten Regeln zur Überwachung der Umsetzung sowie spezifische Vorgaben zur Offenlegung von Cyber-Risiken. Eine weitere Schwachstelle der NIS1 Richtlinie betraf die unzureichende Cyber-Resilienz und das Fehlen koordinierter Krisenreaktionen. Vor diesem Hintergrund und angesichts der wachsenden Bedrohung sowie der steigenden Anforderungen an die Cybersicherheit, hat die Europäische Kommission beschlossen, die NIS Richtlinie zu überarbeiten, worauf am 16. Jänner 2023 die NIS2 Richtlinie vom Europäisches Parlament in Kraft gesetzt wurde.
Wer ist von der NIS2 Richtlinie betroffen?
Die NIS2 Richtlinie erweitert den Anwendungsbereich gegenüber der bisherigen Rechtslage. Dies bedeutet, dass einige Unternehmen oder Behörden, die bisher nicht von IT-Sicherheitsvorschriften betroffen waren, möglicherweise nun doch reguliert werden. Deshalb empfiehlt sich für alle Unternehmen oder Behörden eine frühzeitige Auseinandersetzung mit den NIS2 Vorschriften, um zeitgerecht auf mögliche Auswirkungen oder Änderungen reagieren zu können.
Große und mittelständische Unternehmen aus folgenden Sektoren sind von der NIS2 Richtlinie betroffen:
NIS2 Klassifizierung nach Unternehmensgröße
Die NIS2 Regelung gilt nur für mittlere und große Unternehmen, ohne Schwellenwerte für Anlagen oder ähnliche Kriterien zu berücksichtigen. Ebenso werden bestimmte Unternehmen unabhängig von ihrer Größe ebenfalls reguliert, wie Teile der digitalen Infrastruktur oder der öffentlichen Verwaltung.
Die Klassifizierung eines Unternehmens als groß, mittelgroß oder klein hängt von folgenden Faktoren ab:
- Ein großes Unternehmen beschäftigt mindestens 250 Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 50 Millionen Euro bzw. eine Bilanzsumme von mehr als 43 Millionen Euro.
- Ein mittelgroßes Unternehmen hat zwischen 50 und 249 Mitarbeiter oder generiert einen Jahresumsatz von bis zu 50 Millionen Euro bzw. eine Bilanzsumme zwischen 10 und 43 Millionen Euro.
- Ein kleines Unternehmen hingegen beschäftigt weniger als 50 Mitarbeiter oder hat einen Jahresumsatz bzw. eine Bilanzsumme von bis zu 10 Millionen Euro und fällt somit nicht in die NIS2 Regulierung.
Für Unternehmen mit komplexeren Strukturen, wie Tochtergesellschaften eines Konzerns, ist jeweils eine individuelle Einstufung notwendig. Bei dieser Bewertung wird neben der Unternehmensgröße – also der Anzahl der Mitarbeiter und der Höhe des Umsatzes oder der Bilanzsumme – auch berücksichtigt, ob es sich entweder um ein eigenständiges Unternehmen handelt oder um ein Partnerunternehmen oder um ein verbundenes Unternehmen.
Betroffene Unternehmen unabhängig von der Unternehmensgröße
Unabhängig von der Einstufung nach Unternehmensgröße gilt die NIS2 Richtlinie auch für Anbieter von folgenden Diensten:
- Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
- Anbieter von Vertrauensdiensten
- Top-Level-Domain Registrare und DNS-Dienstanbieter
- Anbieter, der in einem Mitgliedstaat als einziger Anbieter eines Dienstes handelt und dessen Dienst für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist oder eine Störung des Dienstes sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte.
Wer ist für Cybersicherheit laut NIS2 verantwortlich?
Die NIS2-Richtlinie macht deutlich, dass die Verantwortung für die Cybersicherheit und die Verhinderung von IT-Sicherheitsvorfällen in jedem Unternehmen auf der obersten Führungsebene liegen muss. Dies bedeutet, dass die Unternehmensleitung sicherstellen muss, dass alle Maßnahmen zum Risikomanagement eingehalten werden. Ebenso kann das Management persönlich haftbar gemacht werden, falls diese Anforderungen nicht erfüllt werden. Zu diesem Zweck werden die Aufsichtsbehörden mit Befugnissen zur Durchführung von Vor-Ort-Kontrollen und Sicherheitsüberprüfungen sowie zur Ergreifung wirksamer, verhältnismäßiger und abschreckender Maßnahmen ausgestattet.
Dies gilt insbesondere auch für die öffentliche Verwaltung, unabhängig davon, ob die nationalen Vorschriften über die Haftung von Beamten oder sonstigen Bediensteten eine andere Regelung vorsehen.
Wann treten die neuen Regelungen für Unternehmen in Kraft?
Bis spätestens 18. Oktober 2024 muss die NIS2 Richtlinie in allen EU-Mitgliedstaaten in nationales Recht umgewandelt werden.
Ziel der Regelung ist es, die Cybersicherheit von wichtigen Einrichtungen zu stärken. Die EU-Mitgliedsstaaten müssen durch ihre nationale Gesetzgebung sicherstellen, dass die Führungsteams von Schlüsselinstitutionen die Maßnahmen zur Risikosteuerung im Bereich der Cybersicherheit umsetzen und überwachen und bei Verstößen zur Verantwortung gezogen werden können.
Überdies müssen alle EU-Mitgliedstaaten sicherstellen, dass die Führungsteams an regelmäßigen Schulungen teilnehmen und Schlüsselinstitutionen dazu ermutigen, ihre Mitarbeiter:innen regelmäßig im Bereich Cybersicherheit zu schulen, um die Risiken im Bereich der Cybersicherheit zu erkennen, zu bewerten und zu steuern sowie deren Auswirkungen auf die vom Unternehmen angebotenen Dienstleistungen zu verstehen.
Welche Risikomanagementmaßnahmen regelt NIS2?
Die Richtlinie enthält folgende Risikomanagementmaßnahmen, die von den betroffenen Unternehmen und Institutionen erfüllt werden müssen:
- Policies: Einführung von Richtlinien betreffend alle Risiken und Umsetzung der Informationssicherheit
- Incident Management: Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
- Business Continuity: Sicherstellung der Geschäftskontinuität durch Backup Management, Notfall-Wiederherstellung und Krisenmanagement
- Supply Chain: Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei der Beschaffung und Wartung von IT und Netzwerk-Systemen
- Effektivität: Vorgaben zur Messung von Cyber- und Risikomaßnahmen
- Ausbildung: Training und Schulung der Cybersecurity Hygiene
- Kryptografie: Vorgaben für Kryptografie und Verschlüsselung für alle wesentlichen Bereichen
- Personal: Human Resources Security
- Zugangskontrolle: Überwachung und Protokollierung aller Zugänge
- Asset Management (ISMS): Ein Information Security Management System umfasst Regeln, Verfahren, Methoden und Tools, um die Informationssicherheit erhöhen. Als Goldstandard gilt die ISO 27001.
- Authentication: Einsatz von Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO)
- Kommunikation: Einsatz verschlüsselter Sprach-, Video- und Text-Kommunikation
- Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme
Zusätzlich werden die Aufsicht und Zusammenarbeit zwischen Behörden und Unternehmen intensiviert und eine Meldepflicht eingeführt. Innerhalb von 24 Stunden nach Feststellung eines Cyber-Security Vorfalls ist eine unverzügliche Meldung erforderlich. Gegebenenfalls wird innerhalb von 72 Stunden nach der Erstmeldung eine Aktualisierung und vorläufige Bewertung von der Aufsichtsbehörde durchgeführt. Spätestens einen Monat nach der ersten Meldung des Vorfalls ist ein abschließender Bericht einzureichen. Durch die Meldepflicht soll eine verbesserte Transparenz und Koordination zur effektiven Bekämpfung von Cyber-Security Vorfällen erreicht werden.
Zusammenfassung der Neuerungen der NIS2 Richtlinie
Die NIS2 Richtlinie bringt gegenüber NIS1 erhebliche Ausweitungen in Bezug auf Zuständigkeit, Pflichten und Aufsicht innerhalb der EU:
Sektoren: Die Anzahl der als kritisch eingestuften „Essential Entities“ steigt auf elf, die „Important Entities“ wurden auf sieben Sektoren erweitert.
Betroffene Unternehmen: Die Regulierung betrifft große und mittelgroße Unternehmen. Zusätzlich werden einige Betreiber unabhängig von ihrer Größe reguliert, einschließlich Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.
Cyber-Sicherheit: Die Anforderungen an die Betreiber und EU-Mitgliedstaaten werden erhöht, wobei auch die Lieferketten in der Cyber-Sicherheit berücksichtigt werden müssen.
Zusammenarbeit: Die Aufsicht und Kooperation zwischen Behörden und Betreibern wird intensiviert und die europäische Rechtsprechung präzisiert.
Sanktionen: Strafen und Durchsetzungsmaßnahmen werden deutlich angehoben, mit Höchststrafen von bis zu 10 Millionen Euro oder zwei Prozent des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens.
Die NIS2 Richtline im kompletten Wortlaut →
Verwandte Themen
Datensouveränität in der Cloud →