Photovoltaikanlage

Neue EU-Regelung für mehr Cybersicherheit (NIS 2) – der Countdown zur Umsetzung läuft

Newsletter 3-2023

Mit der aktuellen Cybersicherheits-Richtlinie mit der Bezeichnung „NIS 2“ gelten ab Oktober 2024 für viele Unternehmen in definierten Sektoren neue Sicherheitsmaßnahmen und Meldepflichten.

Was ist NIS 2?

Die „Network and Information Security Directive 2“ (NIS 2) ist eine europäische Rechtsvorschrift, die sich auf die Cybersicherheit und den Schutz kritischer Infrastrukturen in der EU konzentriert. Aufbauend auf der ursprünglichen NIS-Richtlinie aus 2016 zielt sie darauf ab, die Resilienz der Mitgliedstaaten zur Bewältigung von Cybersicherheitsbedrohungen zu erhöhen.

Welche Mindeststandards an Cybersicherheit verlangt NIS 2?

Art. 21 der Richtlinie legt u.a. folgende Mindeststandards fest:
 

  • Richtlinien für Risiken und Informationssicherheit
  • Business Continuity Management inkl. Notfallplan
  • Achtung auf Cybersicherheit – auch in der Supply Chain
  • Grundlegende Cyberhygiene
  • Schulungen in Cybersicherheit für Mitarbeiter/innen und Leitungsorgane
  • Zugang- und Zugriffskontrollen
  • Einsatz von MFA (Multi-Faktor-Authentifizierung)
  • Asset Management

Zudem sollen Auswahl und Umsetzung aller Maßnahmen gefahrenübergreifend ansetzen.

Welche Unternehmen sind DIREKT betroffen?

In den Anwendungsbereich von NIS 2 fallen – mit Ausnahmen – Betriebe aus bestimmten Sektoren mit einer Unternehmensgröße von mehr als 50 Mitarbeiter/innen und mehr als 10 Mio. Umsatz.

Die betroffenen Branchen werden weiters unterschieden in wesentliche und wichtige Einrichtungen.
 

  • Wesentliche Einrichtungen (z.B. Energie, Verkehr, Gesundheit, Trinkwasser, Verwaltung von Informations- und Kommunikationstechnologie-Diensten) werden regelmäßigen und gezielten Sicherheitsprüfungen („ex-ante“) sowie Stichprobenkontrollen unterzogen.
  • Bei wichtigen Einrichtungen (z.B. Post, Lebensmittel, Produktion) erfolgen Überprüfungen nur bei begründetem Verdacht („ex-post“).


Sicherheit in der Lieferkette: Andere und kleine Unternehmen können INDIREKT von NIS 2 betroffen sein.

Anbieter von digitaler Infrastruktur können unabhängig von Mitarbeiterzahl und Umsatz in den Anwendungsbereich der Richtlinie fallen. Darüber hinaus ist zu erwarten, dass nicht direkt betroffene Unternehmen unter Zugzwang kommen, die Anforderungen von NIS 2 zu erfüllen, wenn sie Teil der Lieferkette von betroffenen Unternehmen sind.

Meldepflichten – Konsequenzen – Haftung


Für Betroffene bringt NIS 2 vorgegebene Meldeprozesse und -fristen von Cybersicherheitsvorfällen. Bei Nichteinhaltung drohen empfindliche Strafen. Leitungsorgane wesentlicher und wichtiger Einrichtungen haben die Einhaltung der nach Artikel 21 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu überwachen und haften für Verstöße. 

Versicherungen ziehen nach

Auch im Bereich der Cyberversicherung erkennen wir Tendenzen zur Anhebung des Sicherheitsniveaus. Unternehmen sind u.a. zur Einführung von Cyber-Notfall-Plänen verpflichtet, um überhaupt versicherbar zu werden oder zu bleiben.

Haben Sie Fragen zur Cyber- bzw. D&O-Versicherung? Wir beraten Sie gerne.

Produktvideo Cyber-Versicherung

Um die nachfolgenden Inhalte anzeigen zu können, benötigen wir, gemeinsam mit dem Dienstanbieter, Ihre Zustimmung. Sie können unter "Individuelle Einstellungen" Ihre Zustimmung widerrufen und detaillierte Informationen erhalten.