Das NIS-Gesetz und seine Änderungen durch NIS2
Derzeit wird NIS bzw. NIS2 zu einem immer wichtigerem Thema für Unternehmen. Worum es sich dabei genau handelt und ob dies vielleicht auch Ihr Unternehmen betrifft, erklären wir Ihnen im folgenden Blogartikel:
Was bedeutet NIS? Wofür steht der Begriff?
Die Abkürzung NIS steht für die „Network and Information Security“, deren Regelungen in Österreich wiederum im „Netz und Informationssystemsicherheitsgesetz“ (NIS-Gesetz) festgehalten sind. In Österreich wurde die europäische NIS-Richtlinie mit dem NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz) umgesetzt, welches am 28.12.2018 in Kraft trat.
Die neue NIS2 Richtlinie wird von der österreichischen Regierung basierend auf einer EU-Richtlinie umgesetzt und tritt voraussichtlich mit 18.10.2024 in Kraft.
Das Ziel der Richtlinie und des NIS-Gesetzes in Österreich ist es dabei die Widerstandsfähigkeit gegen Sicherheitsvorfälle zu erhöhen und im Falle eines Sicherheitsvorfalls besser reagieren zu können. Das soll sowohl für Unternehmen als auch für öffentliche Einrichtungen erreicht werden.
Was ändert sich mit NIS2?
Mit der neuen Richtlinie NIS2 wurde der Geltungsbereich der Richtlinie erweitert, sodass dieser nun einen Großteil der Sektoren und Dienstleistungen umfasst, die für die Gesellschaft und Wirtschaft von grundlegender Bedeutung sind.
So sind basierend auf NIS2 nun verschiedenste Unternehmen und öffentliche Einrichtungen verpflichtet Maßnahmen im Bereich Netz- und Informationssystemsicherheit zu treffen, die das mit NIS noch nicht waren.
Wer fällt nun unter das NIS-Gesetz?
Die NIS legt Maßnahmen fest, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen von Betreibern wesentlicher Dienste in folgenden Sektoren erfüllt werden muss:
- Energie
- Verkehr
- Bankenwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasserversorgung
- Abwasser
- Öffentliche Verwaltung
- Weltraum
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten B2B
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie
- Lebensmittel
- Verarbeitendes oder herstellendes Gewerbe
- Anbieter digitaler Dienste
- Fakultative Forschung
Davon wird aber in mittlere und große Unternehmen unterschieden, die sich durch eines oder mehrere der folgenden Merkmale auszeichnen:
- Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz
- Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
Eine Ausnahme zu dieser Regelung bieten folgende Fälle, bei denen auch kleine Unternehmen die eben genannten Kriterien nicht erfüllen unter das NIS-Gesetz fallen:
- Vertrauensdienstanbieter
- Anbieter von öffentlichen elektronischen Kommunikationsnetzen
- Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten
- TLD-Namensregister und DNS-Dienstanbieter
- Alleinige Anbieter eines gesellschaftlich oder wirtschaftlich kritischen Services in einem Mitgliedsstaat
- Dienstleister oder Lieferanten von betroffenen Unternehmen
Lt. Art. 34, 35 und 36 sollen bei Verstößen gegen die Anforderungen von NIS 2 nationale Strafen, Geldbuße und Sanktionen erlassen werden.
- Wesentliche Sektoren: Strafen bis zu einem Maximum von mind. 10 Mio. EUR oder 2% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23
- Wichtige Sektoren: Strafen bis zu einem Maximum von mind. 7 Mio. EUR oder 1,4% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23
Diese Informationen dienen zu einer groben Einschätzung des Gültigkeitsbereichs und zur NIS2 Verordnung. Jegliche Informationen bzw. Bestimmungen können sich bis zur Umsetzung der NIS2 laufend ändern. Informieren Sie sich in jedem Fall im Detail zur Gültigkeit für Ihr Unternehmen!
Was beinhaltet das NIS-Gesetz in Österreich?
Das NIS2-Gesetz schreibt nun gemäß der EU-Richtlinie vor, dass betroffene Unternehmen und Einrichtungen Maßnahmen für das Risikomanagement und Cyber Sicherheit zu treffen und zu diesem Thema auch eine Berichtspflicht zu erfüllen haben. Wird gegen diese Vorgaben verstoßen, so haften Sie dafür. Dabei drohen Unternehmen Sanktionen bis zu 10 Mio. Euro oder 2% des Gesamtjahresumsatzes.
Die Maßnahmen für das Risikomanagement und Cyber Sicherheit beinhalten dabei:
- Sicherheit des Personals und festgelegte Konzepte für die Zugriffskontrolle
- Multi-Faktor-Authentifizierungen
- Verwendung von Kryptographie und ggf. Verschlüsselung
- Sicherheit der Lieferkette (Sicherstellung das auch Lieferanten usw. die Vorgaben einhalten)
- Konzept zur Risikoanalyse und zur Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Business Continuity und Krisenmanagement
- Sicherheitsmaßnahmen für den Erwerb, die Entwicklung und Wartung von IKT
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen zur Cybersicherheit
Bei deren Umsetzung sollten Sie in jedem Fall überprüfen, was hier der aktuelle Stand der Technik ist und ob es zu diesen Punkten europäische oder internationale Normen gibt. Zusätzlich sind auch die Kosten der Umsetzung und das bestehende Risiko zu beachten.
Weiters sind betroffene Unternehmen verpflichtet erhebliche Cybersicherheitsvorfälle zu melden. Hier ist ein gewisser Ablauf vorgeschrieben, der eingehalten werden muss:
- Innerhalb von 24 Stunden muss eine Frühwarnung an das zuständige Cybersecurity Incident Response Team abgegeben werden.
- Innerhalb von 72 Stunden muss eine Meldung über den Schweregrad, die Auswirkungen und gegebenenfalls die Komprimittierungsindikatoren gemacht werden.
- Spätestens einen Monat nach der Frühwarnung muss ein Abschlussbericht erstellt werden, der den Vorfall im Detail beschreibt und die Auswirkungen, die Ursachen und die Abhilfemaßnahmen zusammenfasst.
Wurden im Zuge des Vorfalls personenbezogene Daten preisgegeben so ist dies nach den Regelungen der DSGVO zu melden.
Wie setzen Sie das NIS-Gesetz bzw. NIS2-Gesetz am besten um?
Zu Beginn sollten Sie unbedingt klären, ob Ihr Unternehmen oder Ihre Einrichtung vom NIS-Gesetz betroffen ist. Danach sollten Sie die für die Umsetzung notwendigen Ressourcen sicherstellen und sich auch zum Thema NIS2-Förderungen genau informieren.
Sind diese Schritte getan, so sollten Sie in Ihrem Unternehmen eine verantwortliche Person bestimmen, die mit der Umsetzung betraut wird. Wichtig sind dabei auch kompetente externe Partner, die Ihr Unternehmen bei der Umsetzung der Maßnahmen aus IT-Sicht unterstützen und gegebenenfalls auch rechtlich beraten.
Im Zuge der Umsetzung wird eine Risikoanalyse durchgeführt, die alle Sicherheitsrisken zu Tage fördert und auf denen wiederum die Maßnahmen ermittelt werden können. Diese sind dann nach den gegebenen Vorschriften umzusetzen und deren Wirkung und Aktualität sind regelmäßig zu überprüfen.
Gerne übernimmt unser Team von Semerad IT die technische Beratung und Umsetzung der Maßnahmen nach dem NIS-Gesetz und unterstützt Sie auch laufend bei der Überprüfung Ihrer Cybersecurity. Kontaktieren Sie uns!