Die neue Cybersicherheitsrichtlinie der EU verbessert den technischen Schutz von Unternehmen vor unbefugten Zugriffen. Erfahren Sie für wen die Richtlinie gilt und was es bei der Umsetzung zu beachten gilt.
14. März 2025
Bild: Microsoft Designer (KI)
Ergänzend zur Datenschutzgrundverordnung hat die Europäische Union im Jahr 2016 die NIS Richtlinie zur Sicherheit von Netz- und Informationssystemen erlassen. Darauf aufbauend ist die Cybersicheitsrichtlinie NIS 2 im Jahr 2023 in Kraft getreten und muss von den nationalen Regierungen bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Österreich war das bislang noch nicht der Fall.
Während bei der DSGVO der Schutz natürlicher Personen im Mittelpunkt steht, geht es bei NIS 2 vor allem um den technischen Schutz von Unternehmen vor unbefugten Zugriffen Dritter. Bei der tatsächlichen Umsetzung gibt es Überschneidungen innerhalb der Umsetzung der Richtlinien, insbesondere hinsichtlich technischer und organisatorischer Maßnahmen sowie der Risikobewertung. Sowohl die DSGVO- als auch die NIS 2-Vorgaben fordern von Unternehmen die Bewertung von Risiken hinsichtlich der Auswirkungen von Datenverarbeitungstätigkeiten auf die Rechte und Freiheiten der betroffenen Personen sowie der verwendeten Informationssysteme.
Mit NIS 2 wird die Zahl der von der Richtlinie betroffenen Unternehmen deutlich erweitert. Betroffen sind große und mittlere Unternehmen bestimmter Sektoren, indirekt betroffen sind auch Unternehmen in der Lieferkette. Kleinunternehmen mit bis zu 49 Beschäftigten und einem Jahresumsatz bis 10 Mio. EUR können betroffen sein, wenn es sich um verbundene oder Partnerunternehmen, Unternehmen der digitalen Infrastruktur oder Unternehmen in der Lieferkette handelt.
Bei den betroffenen Sektoren wird zwischen Sektoren mit hoher Kritikalität wie z.B. Energie, Verkehr, Bankwesen, Gesundheitswesen oder Digitaler Infrastruktur und Sektoren mit sonstigen kritischen Faktoren wie z.B. Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel oder Forschung unterschieden.
Zu den gesetzliche Pflichten gehören die Umsetzung von Risikomanagementmaßnahmen und Governancebestimmungen. Bei einem erheblichen Cybersicherheitsvorfall gelten strenge Meldepflichten. Darüber hinaus ist eine Registrierung der betroffenen Unternehmen binnen drei Monaten nach Inkrafttreten erforderlich. Falls die Behörde ein betroffenes Unternehmen dazu auffordert, muss eine Selbstdeklaration über die umgesetzten Risikomanagementmaßnahmen binnen sechs Monaten ab Aufforderung erfolgen.
Bei der Umsetzung sind der jeweilige Stand der Technik, europäische und internationale Normen, die Umsetzungskosten und das bestehende Risiko zu berücksichtigen.
Als Sanktionen bei Verstößen sind für wesentliche Einrichtungen Strafen in Höhe von 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes vorgesehen, für wichtige Einrichtungen können Strafen von bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes verhängt werden. Unternehmen der öffentlichen Verwaltung müssen keine Geldstrafen zahlen. Bei einem gleichzeitigen Verstoß gegen die NIS 2-Bestimmungen und die DSGVO-Bestimmungen muss keine doppelte Strafe bezahlt werden.
Für die Einhaltungen der NIS 2-Bestimmungen bietet sich eine strukturierte Vorgangsweise zur Gewährleistung der Informationssicherheit im Unternehmen durch ein Information Security Management System (ISMS) an. Es umfasst die Einrichtung, die Implementierung, den Betrieb, die Überwachung, Reviews sowie die Wartung und Verbesserung der Informationssicherheit.
Die Umsetzung der Regelungen im Unternehmen sollte rechtzeitig geplant werden, da die geforderten Maßnahmen wie zum Beispiel die Umsetzung eines Datensicherungskonzeptes oder die Etablierung eines Risikomanagementsystems eine entsprechende Vorlaufzeit benötigen.
Fazit: Die Cybersicherheitsrichtlinie NIS 2 verpflichtet Unternehmen umfassende Risikomanagementmaßnahmen zu ergreifen und dabei vor allem auf den technischen Schutz vor unbefugten Zugriffen zu fokussieren. Die Umsetzung erfordert eine entsprechende Vorlaufzeit.