NIS-2-Richtlinie – Die neue Richtlinie zur Cybersicherheit
Neue Regeln für das Internet der Dinge
Stichwörter: IoT, Internet of Things, Maschinendaten
Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Sie ist ab 17. Oktober 2024 in der gesamten EU in Kraft und muss in nationales Recht umgesetzt werden.
Das Umsetzungsgesetz zur NIS2-Richtlinie soll in Österreich voraussichtlich 2025 in Kraft treten. Im eigenen Interesse sollten sich Unternehmen aber bereits jetzt der Umsetzung in ihrem Betrieb widmen, zumal diese einige Zeit in Anspruch nehmen kann.
Die Vorgängerin der NIS-2-Richtlinie ist die derzeit geltende NIS-Richtlinie. Der bisherige Anwendungsbereich der NIS-Richtlinie wird in Sektoren unterteilt. Durch die NIS-2-Richtlinie wird der Anwendungsbereich nach Sektoren enorm ausgeweitet.
Betroffene Einrichtungen müssen daher geeignete Maßnahmen im Bereich des Risikomanagements für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten.
Der Anwendungsbereich der NIS-2-Richtlinie umfasst mittlere und große Unternehmen aus den folgenden Sektoren:
Sektoren mit hoher Kritikalität:
Sonstige kritische Sektoren:
Von einem „großen Unternehmen“ spricht man, wenn im Unternehmen zumindest 250 Mitarbeiter beschäftigt werden oder wenn das Unternehme einen Jahresumsatz von über 50 Millionen Euro erzielt UND sich zusätzlich die Jahresbilanzsumme auf über 43 Millionen Euro beläuft.
Von einem „mittleren Unternehmen“ spricht man, wenn im Unternehmen zumindest 50 Mitarbeiter beschäftigt werden, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über 10 Millionen Euro beläuft, wenn es sich nicht bereits um ein großes Unternehmen handelt.
Ein „kleines Unternehmen“ liegt vor, wenn im Unternehmen weniger als 50 MitarbeiterInnen beschäftigt werden UND die entweder Jahresumsatz von höchstens 10 Mio. Euro erwirtschaftet wird oder die Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft. Kleine Unternehmen sind nicht von der NIS-2-Richtlinie erfasst.
Es gibt jedoch Unternehmen, welche unabhängig von ihrer Größe in den Anwendungsbereich der NIS-2-Richtlinie fallen:
Ob man als Unternehmen wesentliche oder wichtige Einrichtung im Sinne der Richtlinie eingestuft wird, ist für die Umsetzung der geforderten Sicherheitsmaßnahmen unerheblich. Unterschiede zwischen den beiden Kategorien gibt es lediglich bei der Aufsicht und den Sanktionen.
Betroffene Einrichtungen sind verpflichtet sich binnen 3 Monaten nach Inkrafttreten des NISG 2024 zu registrieren. Es müssen Risikomanagementmaßnahmen getroffen und Berichtspflichten beachtet werden. Die Leitungsorgane sind verpflichtet die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen. Des Weiteren haften die Leitungsorgan der Einrichtung gegenüber für schuldhaft verursachte Schäden und sind verpflichtet an speziellen Cybersicherheitsschulungen teilzunehmen.