Security ◦ Risk ◦ Governance ◦ Compliance

NIS & NIS 2 - Sicherheit der Netz- und Informationssysteme

NIS2-Anforderungen umsetzen

 

Die Sicherheit der Netz- und Informationssysteme (NIS) ist von entscheidender Bedeutung, insbesondere angesichts der sich ständig weiterentwickelnden digitalen Landschaft. Die NIS-Richtlinie aus dem Jahr 2016, umgesetzt durch das NIS-Gesetz in Österreich, legt die Grundlagen für den Schutz kritischer Infrastrukturen und digitaler Dienste wie Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

 

Unsere Beratungsdienstleistung konzentriert sich auf die effektive Umsetzung der NIS2-Anforderungen, um sicherzustellen, dass Ihr Unternehmen den neuen Vorschriften gerecht wird.

 

Hier sind einige wichtige Informationen, die Sie über NIS2 wissen sollten:

 

Was bedeutet NIS?

NIS steht für die Sicherheit der Netz- und Informationssysteme. Die NIS-Richtlinie aus dem Jahr 2016 wurde in Österreich durch das NIS-Gesetz umgesetzt. Diese Vorschriften betreffen hauptsächlich Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste wie Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

 

Ab wann gelten die neuen Regelungen für Ihr Unternehmen?

Die neuen Regelungen werden voraussichtlich ab dem 18. Oktober 2024, nach der Umsetzung der Richtlinie in nationales Recht, für betroffene Einrichtungen gelten.

 

Was ist das Ziel von NIS2?

Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheit in der EU zu stärken und die Resilienz und Reaktion auf Sicherheitsvorfälle sowohl im öffentlichen als auch im privaten Sektor zu verbessern. Mit NIS2 wird der Anwendungsbereich der NIS-Richtlinie auf einen breiteren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste sicherzustellen, die für die grundlegenden gesellschaftlichen und wirtschaftlichen Aktivitäten im Binnenmarkt von entscheidender Bedeutung sind.

 

Betroffene Einrichtungen sind daher verpflichtet, angemessene Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme zu ergreifen und Meldepflichten zu erfüllen.

 

Wer ist betroffen?

Die NIS2-Richtlinie betrifft große und mittlere Unternehmen in verschiedenen Sektoren, insbesondere in Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren. Hier sind die betroffenen Sektoren:

 

Wesentliche Einrichtungen - Sektoren mit hoher Kritikalität: 

  •  Energie
  •  Verkehr
  •  Bankwesen
  •  Finanzmarktinfrastrukturen
  •  Gesundheitswesen
  •  Trinkwasser
  •  Abwasser
  •  Digitale Infrastruktur
  •  Verwaltung von IKT-Diensten B2B
  •  Öffentliche Verwaltung
  •  Weltraum

 

 Wichtige Einrichtungen - Sonstige kritische Sektoren:

  •  Post- und Kurierdienste
  •  Abfallbewirtschaftung
  •  Chemie
  •  Lebensmittel
  •  Verarbeitendes/herstellendes Gewerbe
  •  Anbieter digitaler Dienste
  •  Forschung (fakultativ)

Die Größenklassen für Unternehmen werden wie folgt definiert:

  •  Kleines Unternehmen: Weniger als 50 Beschäftigte, Jahresumsatz ≤ 10 Mio. Euro oder Jahresbilanzsumme ≤ 10 Mio. Euro.
  •  Mittleres Unternehmen: Weniger als 250 Beschäftigte, Jahresumsatz ≤ 50 Mio. Euro oder Jahresbilanzsumme ≤ 43 Mio. Euro.
  •  Großes Unternehmen: 250 oder mehr Beschäftigte, Jahresumsatz > 50 Mio. Euro und Jahresbilanzsumme > 43 Mio. Euro.

 

Was sind Wesentliche- bzw. Wichtige Einrichtungen?

 

Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen betrifft hauptsächlich die Aufsicht und die Sanktionen. Beide müssen jedoch die geforderten Sicherheitsmaßnahmen umsetzen. Wesentliche Einrichtungen unterliegen regelmäßigen und gezielten Sicherheitsprüfungen und haben einen höheren Bußgeldrahmen im Vergleich zu wichtigen Einrichtungen. 

 

 

Im Sektor "Digitale Infrastruktur" gibt es spezielle Regelungen und Unterscheidungen zwischen wesentlichen und wichtigen Einrichtungen.

 

Wast gilt für KMU?

 

Kleine Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und bestimmte finanzielle Schwellenwerte erfüllen, fallen nicht unter NIS2, es sei denn, sie gehören zu den Ausnahmen, wie Vertrauensdiensteanbietern, Anbietern öffentlicher elektronischer Kommunikationsnetze oder Diensten, TLD-Namenregistern und DNS-Diensteanbietern, die essenziell für kritische gesellschaftliche oder wirtschaftliche Aktivitäten sind.

 

 

Welche Anforderungen an ein Risikomanagement gibt die NIS2 vor?

Unternehmen müssen Risikomanagementmaßnahmen ergreifen und Berichtspflichten beachten. Die Leitungsorgane wie Geschäftsführer:in bei GmbHs oder Vorstände bei Aktiengesellschaften sind für die Überwachung der Umsetzung verantwortlich und haften bei Verstößen.

 

Es gibt 10 Mindestmaßnahmen, die Unternehmen umsetzen müssen. Diese umfassen unter anderem:

  •  Konzept für Risikoanalyse und Sicherheit von Informationssystemen.
  •  Bewältigung von Sicherheitsvorfällen.
  •  Business Continuity und Krisenmanagement.
  •  Sicherheit der Lieferkette.
  •  Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IKT.
  •  Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.
  •  Cyberhygiene und Schulungen zur Cybersicherheit.
  •  Kryptografie und gegebenenfalls Verschlüsselung.
  •  Sicherheit des Personals und Konzepte zur Zugriffskontrolle.
  •  Multi-Faktor-Authentifizierung.

Berücksichtigungsfaktoren

Bei der Umsetzung dieser Maßnahmen müssen Unternehmen den Stand der Technik, europäische und internationale Normen, die Kosten der Umsetzung sowie das bestehende Risiko berücksichtigen. Die Verhältnismäßigkeit der Maßnahmen hängt von der Risikoexposition, der Unternehmensgröße und der Wahrscheinlichkeit von Sicherheitsvorfällen und deren Auswirkungen ab.

 

Was bedeutet: "Sicherheit der Lieferkette"?

Unternehmen, die von NIS2 betroffen sind, müssen auch die Sicherheit der Lieferkette beachten. Dies umfasst sicherheitsbezogene Aspekte der Beziehungen zwischen den Unternehmen und ihren unmittelbaren Anbietern oder Diensteanbietern. Dabei müssen sie die Schwachstellen der Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und die Cybersicherheitspraxis berücksichtigen, einschließlich der Sicherheit der Entwicklungsprozesse.

 

Unsere Leistung

Unsere Beratungsdienstleistung unterstützt Ihr Unternehmen dabei, die Anforderungen von NIS2 umzusetzen, die Sicherheit Ihrer Systeme zu gewährleisten und die gesetzlichen Vorschriften zu erfüllen. Kontaktieren Sie uns, um mehr über unsere Expertise und Unterstützung bei der NIS2-Compliance zu erfahren.

 

Zur Feststellung des Ist-Zustandes von IT-Systemen, der Bewertung der Wirksamkeit von Maßnahmen und zur Ermittlung des Handlungsbedarfs sind regelmäßige Überprüfungen in Form von Information Security Audits unentbehrlich. Die systematische und zielgerichtete Analyse und Bewertung Ihrer Informationssicherheitsmaßnahmen und Ihres generellen Informationssicherheits-Niveaus gibt Ihnen einen Überblick über Ihr Verbesserungspotential. Unsere zertifizierten Auditoren überprüfen zudem die Einhaltung einschlägiger Informationssicherheits-Standards (z. B. ISO/IEC 27001) und zeigen den Handlungsbedarf auf.

 

 

Haben Sie Fragen zu unseren Dienstleistungen? Wir sind gerne für Sie da. Sie erreichen uns unter +43 (0)5 02067-2210