Cybersicherheit: Das musst du über NIS2 wissen

NIS2 gibt neue Regeln für Cybersicherheit in der EU vor. Wir haben die wichtigsten Punkte der Richtlinie für dich.

Wer diesen Beitrag lesen sollte:

  • Entrepreneur:innen
  • Wirtschaftsexpert:innen

Lesedauer:

4 Minuten

AutorIn: Stephanie Dirnbacher-Krug

Mann sitzt konzentriert vor einer Reihe von Bildschirmen, auf denen diverse Code-Snippets aufscheinen i
T-REX | stock.adobe.com
Digitalisierung Österreich
31.01.2024

Mit konkreten Pflichten, einem erweiterten Anwendungsbereich und Maßnahmen für Lieferketten soll NIS2 die EU besser gegen Cyberangriffe rüsten. Wie genau? Das erfährst du hier. 

Cyberattacken zählen auch 2024 wieder zu den Top-Risiken für Unternehmen. Die Zunahme solcher Bedrohungen und die damit verbundenen negativen Folgen für Wirtschaft und Gesellschaft waren für die EU Gründe, die NIS2-Richtlinie (NIS steht für die Sicherheit von Netz- und Informationssystemen) auf den Weg zu bringen. Sie aktualisiert die bisherige NIS-Richtlinie aus 2016, auf der auch das österreichische NIS-Gesetz beruht.

"Cyberkriminelle agieren immer professioneller, die Cyberattacken steigen jährlich massiv an. Mit der Cybersicherheits-Richtlinie will die EU gegensteuern und die Resilienz und Reaktion auf Sicherheitsvorfälle in der EU verbessern", führt Verena Becker von der Bundessparte Information und Consulting der Wirtschaftskammer Österreich aus.

Die 5 wichtigsten Punkte von NIS2

Um die EU für aktuelle und zukünftige IT-Sicherheitsrisiken zu rüsten, sieht die NIS2-Richtlinie folgende Maßnahmen für bestimmte private und öffentliche Sektoren vor:

  1. Erweiterung des Anwendungsbereichs auf einen großen Teil der Wirtschaft: Die neuen Regeln gelten für alle mittleren und großen Unternehmen, die in aufgelisteten kritischen Bereichen tätig sind. Dazu zählen beispielsweise Verkehr, Energie, Trinkwasser, Gesundheit, aber auch der Sektor Chemie. Der Lebensmittelbereich oder Betriebe mit herstellendem Gewerbe wie etwa ein Maschinenbauunternehmen sind auch darunter. Unabhängig von ihrer Größe fallen auch Unternehmen, die digitale Infrastruktur bereitstellen – etwa Netzbetreiber – in den Anwendungsbereich der neuen Richtlinie. In Österreich sind schätzungsweise 4.000 Unternehmen direkt und zigtausende weitere Dienstleister und Lieferanten von der neuen Cybersicherheits-Richtlinie betroffen.
  2. Achtung Kleinunternehmen: Auch Kleinunternehmen, die an von NIS2 betroffene Unternehmen liefern, müssen aufgrund der vorgeschriebenen Sicherheit der Lieferkette gewisse Sicherheitsanforderungen erfüllen.
  3. Vorsicht vor Dominoeffekt: Um einem solchen vorzubeugen, müssen sich von NIS2 betroffene Einrichtungen auch um die Cybersicherheit ihrer Lieferant:innen kümmern und mit ihnen Risikomanagementmaßnahmen im Bereich Cybersicherheit vertraglich festlegen.
  4. Maßnahmen für Risikomanagement und Reaktion: Ein Ziel von NIS2 ist, durch EU-weite konkrete Risikomanagementmaßnahmen und Vorgaben, was im Falle einer Cyberattacke zu tun ist, unionsweit ein einheitliches Cybersicherheitsniveau zu schaffen und so für mehr Cyberresilienz in der EU zu sorgen.
  5. Strenge Haftung für Geschäftsführung: Für die Umsetzung der Regelungen sind die Leitungsorgane der betroffenen Organisationen (Geschäftsführer:in bei GmbH, Vorstände und Aufsichtsräte bei Aktiengesellschaft) verantwortlich. Sie müssen sich Schulungen unterziehen und sind für die Einhaltung der Vorgaben verantwortlich.


Teaser für Anmeldung zum MARIE MAIL i
WKÖ/DMC

Spannende Updates für dich 

Mit der MARI€ MAIL erhältst du unsere wichtigsten Infos direkt in deine Mailbox.

Jetzt zum Newsletter anmelden


Risikomanagement und Meldepflichten

Die NIS2-Richtlinie schreibt 10 konkrete Mindestmaßnahmen für das Risikomanagement vor – darunter etwa Datensicherungskonzepte, Mitarbeiterschulungen, Konzepte und Verfahren für den Einsatz von Kryptographie oder Multi-Faktor-Authentifizierung. Die Unternehmen müssen die Maßnahmen laufend evaluieren und aktualisieren. Erhebliche Sicherheitsvorfälle müssen unverzüglich, jedenfalls binnen 24 Stunden an die Cybersicherheitsbehörde gemeldet werden.

"Die neuen Vorgaben sind eine Herausforderung, aber enorm wichtig für jedes Unternehmen. Letztendlich zahlt sich der Einsatz aus, wenn man bedenkt, dass Unternehmen nach Cyberattacken mitunter monatelang damit beschäftigt sind, wieder auf die Beine zu kommen", so Becker.

Wenn die Unternehmen gegen die Regelungen verstoßen, drohen Sanktionen bis zu 10 Millionen Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Millionen Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns 

Mehr Informationen zur NIS2-Richtlinie...

...sowie Erfahrungsberichte von Unternehmen findest du hier.

Basismaßnahmen für Informationssicherheit im Unternehmen

Viele kleine und mittlere Unternehmen stehen vor besonderen Herausforderungen im Bereich der Cybersicherheit. Die meisten Angriffe können jedoch mit grundlegenden Maßnahmen erfolgreich abgewehrt werden. Eine Auflistung zu Basismaßnahmen für Cybersicherheit in Unternehmen gibt es hier

Ab wann gilt die NIS2-Richtlinie?

Als Richtlinie muss die NIS2 erst in nationales Recht umgesetzt werden. Für die Umsetzung haben die Mitgliedstaaten bis 17. Oktober 2024 Zeit.

Das Wichtigste in Kürze:

  • Die NIS2 Richtlinie aktualisiert die NIS Richtlinie aus 2016 und zielt darauf ab, die Cybersicherheit in der EU zu verbessern.
  • Die Richtlinie schreibt konkrete Risikomanagementmaßnahmen und eine strenge Vorgehensweise bei Cyberattacken vor.
  • Rund 4.000 heimische Betriebe sind direkt von NIS2 betroffen.
  • Zusätzlich müssen deren Dienstleister:innen und Lieferant:innen Sicherheitsanforderungen erfüllen.
  • Für Verstöße haftet die Geschäftsführung.
  • Das Gesetz muss bis 17. Oktober 2024 umgesetzt werden.