NIS2
Cybersicherheits-Richtlinie NIS2
Die neue Cybersicherheits-Richtlinie (NIS2) ist mit 16. Jänner 2023 in Kraft getreten und mit Oktober 2024 müssen die entsprechenden Maßnahmen umgesetzt worden sein. Viele Unternehmen werden davon betroffen sein – trotzdem haben sie sich bisher kaum damit auseinandergesetzt. Dabei drohen bei Nicht-Einhaltung beachtliche Strafen.
Hier ein Überblick zur NIS2.
1. Was ist NIS2?
Bereits im Jahr 2016 trat die NIS1 in Kraft, davon waren jedoch weitaus weniger Unternehmen betroffen. Nämlich nur diejenigen, die im Bereich der kritischen Infrastruktur agieren oder Anbieter digitaler Dienste sind. Ziel der NIS2 ist nun die Resilienz und Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU zu verbessern. Der Anwendungsbereich betrifft nun also einen weit größeren Teil der Wirtschaft.
2. Was passiert, wenn die Vorgaben der Richtlinie nicht erfüllt werden?
Bei Nichterfüllung der Regelungen drohen Strafen bis zu 10 Millionen Euro (oder 2% des Gesamtjahresumsatzes) des Konzerns bei wesentlichen Einrichtungen und 7 Millionen (oder 1,4% des Gesamtjahresumsatzes) bei wichtigen Einrichtungen.
3. Wer genau ist nun von der NIS2-Richtlinie betroffen?
Große und mittlere Unternehmen aus:
1. Sektoren mit hoher Kritikalität
Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung on IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum
2. sonstige kritische Sektoren
Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung (fakultativ)
Achtung: Aber auch Dienstleister und Lieferanten von betroffenen Unternehmen müssen Sicherheitsvorkehrungen einhalten!
Ing. Karl-Heinz Dolezal, BA
Grundsätzlich fallen kleine Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von höchstens 10 Millionen Euro erzielen oder deren Jahresbilanzsumme höchstens 10 Millionen Euro beträgt, nicht unter die NIS2-Richtlinie.
Es gibt allerdings Ausnahmen diese betrifft folgende Anwendungsbereiche:
- Vertrauensdienstanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
- TLD-Namenregister und DNS-Dienstanbieter (ausgenommen Betreiber von Root-Namenservern)
- Unternehmen, die alleiniger Anbieter im Mitgliedsstaat eines Services ist, der essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
4. Was müssen Unternehmen beachten?
Leitungsorgane überwachen die Umsetzung und haften auch bei Verstößen! Die Richtlinie sieht vor, dass Risikomanagementmaßnahmen zu treffen sind und Berichtspflichten erfüllt werden müssen.
Folgende Risikomanagementmaßnahmen müssen umgesetzt werden. Diese stellen die Mindestmaßnahmen dar!
- Konzept Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung, Wartung von IKT
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen zur Cybersicherheit
- Kryptografie und ggf. Verschlüsselung
- Sicherheit des Personals, Konzepte für Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Dabei sind Stand der Technik, europäische und internationale Normen, die Kosten der Umsetzung und das bestehende Risiko zu berücksichtigen.
Ob Sie direkt von der NIS2 betroffen sind, können Sie mit dem kostenlosen Online-Ratgeber der WKO klären.
Gerne unterstützen wir Sie auch bei der Klärung von eventuellen Unsicherheiten.
Herr Ing. Karl-Heinz Dolezal, BA MA ist außerdem Certified Data & IT Security Expert und unterstützt Sie gerne in allen Belangen der NIS2. Schicken Sie uns einfach eine unverbindliche Anfrage an office@d-systeme.at.
5. Förderungen
Für Unternehmen, die von der NIS2 betroffen sind gibt es eine Förderung in Form von Cyber Security Schecks. Diese können bis zum 29.11.2024 beantragt werden. Die Förderhöhe beträgt hier maximal 10.000 € / 40% der förderbaren Gesamtkosten. Mehr Infos dazu finden Sie unter NIS2-Förderung Cyber Security Schecks 2024.
Die Vorbereitungen auf die NIS2 können außerdem im Rahmen von KMU.DIGITAL gefördert werden! Für eines Statusanalyse gibt es einen Zuschuss von 80% (max. 400,– Euro) und bei einer Strategieberatung 50% Zuschuss (max. 1.000,– Euro). Im ersten Quartal 2024 steht voraussichtlich auch wieder die Umsetzungsförderung zur Verfügung, bei der es einen Zuschuss von 30% (max. 6.000,– Euro) gibt. Hier gibt es mehr Informationen zur Förderung KMU.DIGITAL.