NIS2-Richtlinie
Die ab 17.Oktober 2024 in der EU in Kraft getretenen NIS2-Richtlinie (Sicherheit der Netz- und Informationssysteme) stellt nun einen großen Kreis an Unternehmen vor die Herausforderung, ihre Netzwerke, Informationssysteme und Lieferketten auf höchstem Sicherheitsniveau zu halten. Obwohl sie in den meisten EU-Ländern wohl erst 2025 umgesetzt wird.
Was soll mit NIS-2 erreicht werden?
NIS2 zielt darauf ab, erfolgreiche Cyberangriffen auf kritische Infrastrukturen und wichtige Dienste zu verhindern.
Da die Auswirkungen auch länderübergreifend sein können, soll das Sicherheitsniveau innerhalb der EU möglichst hoch werden.
So droht die EU Unternehmen, die die Umsetzung der Richtlinie nicht ernst nehmen, mit hohen Sanktionszahlungen.
Die NIS2-Richtlinie ist somit nicht nur eine regulatorische Vorgabe, sondern auch eine dringende Aufforderung zur Stärkung der digitalen Resilienz in einer zunehmend vernetzten Welt.
Vor allem wegen der möglichen Schadenersatzhaftung bei Vorfällen in der Lieferkette sollten sich die meisten Unternehmen darauf vorbereiten.
In Österreich und Deutschland sind die Gesetzesentwürfe gerade in parlamentarischer Abstimmung – allgemein wird mit einer Umsetzung im März 2025 gerechnet, dann wird die NIS2 aber wohl ohne lange Übergangsfrist für die betroffenen Unternehmen sofort gelten.
Welche Neuerungen bringt die NIS2-Richtlinie?
NEU: Der Geltungsbereich wird eklatant ausgeweitet.
in Österreich trifft es rund 4000 Firmen (entscheidend MA-Anzahl, Umsatz und Anhang I und II/Spalte 3 der NIS-Rl).
Es gibt eine Unterscheidung in wesentliche und wichtige Unternehmen (untersch. Auflagen)
Zu beachten: auch wenn das Unternehmen selbst nicht NIS2 unterliegt, kann es im Zuge der Lieferketten-Analyse Auflagen unterliegen. Sind Sie von der NIS-2-Richtlinie betroffen?
NEU: Die Unternehmen müssen sich innerhalb von 3 Monaten selbständig NIS2 registrieren lassen.
NEU: Verschärfte Meldepflichten
Bei erheblichen Sicherheitsvorfällen muss
- binnen 24 Stunden ab Kenntnis eine Frühwarnung
- binnen 72 Stunden ein Bericht
- spätestens nach 1 Monat ein Abschlussbericht an die Behörde erfolgen.
NEU: Strafen und Schadenersatzhaftung bei Vorfällen werden eklatant steigen.
Geldbußen bei Verstößen gegen die Bestimmungen zu Risikomanagementmaßnahmen oder Berichtspflichten können
- gegen wesentliche Einrichtungen Strafen bis zu 10 000 000 EUR oder 2 % des weltweiten Konzernjahresumsatzes verhängt werden.
- gegen wichtige Einrichtungen Strafen bis zu 7 000 000 EUR oder 1,4 % des weltweiten Konzernjahresumsatzes verhängt werden.
Darüber hinaus gibt es diverse Aufsichts- und Durchsetzungsmaßnahmen (z.B. verbindliche Anordnungen über Maßnahmen, Vor-Ort-Kontrollen).
! die Wirtschaftskammer sieht die Strafen weniger kritisch als die Schadenersatzhaftung bei Vorfällen.
NEU: Wichtigstes Vorgehen ist die CyberSec-Risikoanalyse für das Unternehmen
und seine Lieferkette (Lieferanten); das daraus resultierendes Risikomanagement und
Governance sowie nachgewiesene Schulungen des Personals und der Leitungsorgane
NEU: Vorstand AG und GF (GmbH) haften
und müssen auch (CyberSec)Schulungen nachweisen,
regelmäßige Schulungen werden für alle zur Pflicht.
NEU: wesentliche Unternehmen müssen sich regelmäßig einem Audit unterziehen,
wichtige Unternehmen nur im Anlassfall
Die Schwerpunkte des Audits:
- gibt es eine Governance?
- Ist ein Cyber-Risikomanagement vorhanden?
- Ist eine Lieferanten-Risikoanalyse vorhanden?
- Ist ein risikointendiertes Vorgehen implementiert?
Wir unterstützen Sie gerne bei jedem Schritt zur Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen, wie zum Beispiel Schulungen und Risikoanalysen.