Links überspringen

Die neue NIS-2-Richtlinie

Was das Netz- & Informationssystemsicherheitsgesetz (NISG) ist und was sich nun ändert.

Status quo: 

Seit 2016 gibt es das sogenannte Netz- & Informationssystemsicherheitsgesetz (NISG). Erlassen wurde es vom Rat der Europäischen Union und verpflichtet Betreiber wesentlicher Dienste zur Umsetzung umfangreicher Sicherheitsmaßnahmen und zum Nachweis deren Wirksamkeit. 

NIS-2: Was ändert sich? 

Keine Frage, die Technik entwickelt sich weiter und das hat sie auch seit 2026 getan. Dementsprechend war es auch an der Zeit für eine Neuerung des NISG. Diese Neuerungen sollen helfen, dem heutigen Stand der Dinge entsprechend sowohl auf nationaler als auch auf EU-Ebene schneller und vor allem besser auf Cyberkrisen reagieren zu können. Die NIS-2 Richtlinie ist sein 16.01.2023 in Kraft. 

1. Die erfassten Einrichtungen 

Die wohl wichtigste und größte Änderung ist der Kreis der erfassten Unternehmen. Dieser wird maßgeblich vergrößert und außerdem wird nun zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen unterschieden. Zu den bestehenden 8 Sektoren von NIS 1 kommen weitere 8 hinzu. Betroffen sind daher Unternehmen folgender Sektoren: 

Was sind wesentliche Einrichtungen: 

  • Energie 
  • Verkehr 
  • Bankwesen 
  • Finanzmarktinfrastruktur 
  • Gesundheitswesen 
  • Trinkwasser 
  • Abwasser (neu) 
  • digitale Infrastruktur 
  • ICT-Service Management B2B (neu) 
  • öffentliche Verwaltung (neu) 
  • Weltraum (neu) 

 Was sind wichtige Einrichtungen: 

  • Post- & Kurierdienste (neu) 
  • Abfallbewirtschaftung (neu) 
  • Chemie (Herstellung und Handel) (neu) 
  • Lebensmittel (Produktion, Verarbeitung und Vertrieb) (neu) 
  • Hersteller bestimmter Waren (z.B. Medizinprodukte, Datenverarbeitungsgeräte, Maschinenbau, etc.) (neu) 
  • Anbieter digitaler Dienste (Plattformen für Dienste sozialer Netzwerke) 
  • Forschungseinrichtungen 

2. Anwendungsbereich 

Des Weiteren wird der Anwendungsbereich der NIS-2 nunmehr von der Richtlinie definiert und nicht mehr von den Mitgliedsstaaten selbst. Dieser umfasst alle mittleren und großen Unternehmen in den wesentlichen und wichtigen Sektoren. Zu beachten ist aber, dass es eine Ausnahme bei Unternehmen besonders kritischer Dienste gibt (z.B. Dienste von Anbietern öffentlicher elektronischer Kommunikationsnetze oder Vertrauensdienste). Diese fallen unabhängig von der Unternehmensgröße in den Anwendungsbereich. 

3. Maßnahmen 

Im Gegensatz zu NIS-1 setzt die Neuerung umfangreichere Maßnahmen für Betreiber wichtiger Anlagen vor. Dazu gehören u.A. Risikomanagementmaßnahmen und Maßnahmen zur Cyberhygiene. 

4. Meldepflichten 

Wenn es dann einmal zu einem Vorfall oder einer signifikanten Bedrohung kommen sollte, gibt NIS-2 genaue Vorgaben zum Ablauf, Inhalt und Zeitrahmen der Meldung dieser Vorfälle. 

5. Aufsichts- & Durchsetzungsmaßnahmen 

Um zu versichern, dass die vorgeschriebenen Maßnahmen auch ordnungsgemäß umgesetzt werden, sieht NIS-2 strengere Aufsichts- und Durchsetzungsmaßnahmen vor. Dazu gehören u.A. Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen durch zuständige Behörden und anlassbezogene Ad-hoc-Prüfungen. Außerdem dürfen diese Behörden auch Informationen oder Datenzugänge anfordern. Hier zeigt sich der Unterschied zwischen wesentlichen und wichtigen Einrichtungen, denn während bei wichtigen Einrichtungen ein begründeter Verdacht bestehen muss, können wesentliche Einrichtungen laufend geprüft werden. 

6. Sanktionen und Haftung 

Auch bei den Höchststrafen wird zwischen wesentlichen und wichtigen Einrichtungen unterscheiden, jedoch wird grundsätzlich bei Verstößen laut den nationalen, gesetzlichen Vorgaben sanktioniert. Dies beinhaltet ein Bußgeldrisiko und ein Haftungsrisiko für die Unternehmensleitung, denn die Leitungsorgane der Einrichtungen sind zur Überwachung der Maßnahmen verpflichtet. 

Wer nochmal genauer nachlesen möchte:

https://www.wko.at/service/innovation-technologie-digitalisierung/nis-2-directive-on-measures-cybersecurity-eu.html

https://kpmg.com/at/de/home/insights/2022/11/nis-2-richtlinie.html