Die 2016 von der EU in Form der sogenannten „NIS1-Richtlinie“ eingeführten EU-Cybersicherheitsvorschriften hatten es zum Ziel, ein gemeinsames hohes Sicherheitsniveau der Netzwerke und Informationssysteme in der gesamten EU zu gewährleisten. In Österreich wurden diese Bestimmungen im Jahr 2018 durch das Netz- und Informationssicherheitsgesetz (NIS-G) umgesetzt und implementiert. Das NIS-G verpflichtet Betreiber von sogenannten „wesentlichen Diensten“ zur Umsetzung umfassender Cybersicherheitsmaßnahmen sowie deren Wirksamkeit durch vorgesehene Stellen überprüfen zu lassen.

NIS2-Richtlinie

Inzwischen hat die EU die sogenannte „NIS2-Richtlinie“ verabschiedet, welche am 16. Jänner 2023 in Kraft getreten ist und die Mitgliedstaaten dazu verpflichtet, deren Bestimmungen bis spätestens 17. Oktober 2024 in nationales Recht bzw. Gesetze umzusetzen und zu implementieren. Mit der NIS2-Richtlinie wurde der bestehende Rechtsrahmen modernisiert, um mit der zunehmenden Digitalisierung und der sich stetig wandelnden Bedrohungslage im Bereich der Cybersicherheit „Schritt zu halten“. Insbesondere durch die Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen werden die Widerstandsfähigkeit und die Reaktionsfähigkeit öffentlicher und privater Einrichtungen, der zuständigen Behörden sowie der EU insgesamt stark verbessert. Diese Erweiterungen sind vor allem für die neu umfassten Sektoren wie Forschung, Herstellung von Medizinprodukten und Maschinenbau von Bedeutung.

16 Sektoren

Der wohl wichtigste und größte Unterschied von NIS2 gegenüber NIS1 ist der stark erweiterte Anwendungsbereich. Waren von NIS1 noch lediglich acht Sektoren betroffen, so sind von NIS2 nunmehr 16 Sektoren betroffen. Dabei wird zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren unterschieden. Diese Unterscheidung hat Auswirkungen auf den Umfang der anwendbaren Verpflichtungen (bestimmte Verpflichtungen von NIS2 gelten für sonstige kritische Sektoren nicht oder nur eingeschränkt).

Risikomanagement und Meldepflicht

Weitere Änderungen betreffen umfassende Maßnahmen zum Risiko-Management, verpflichtende Meldung von Vorfällen an Behörden, die Sanktionen bei Nichteinhaltung der Verpflichtungen (Strafen bis zu EUR 10 Millionen bzw. 2 % des Jahreskonzernumsatzes) sowie die Überwachungs- und Kontrollfunktion der öffentlichen Behörden.

Auswirkungen jetzt schon prüfen

Bisher wurden die Bestimmungen der NIS2-Richtlinie in Österreich noch nicht in nationale Gesetze umgesetzt – dies hatte jedoch bis spätestens 17. Oktober 2024 zu geschehen. Unternehmen sollten sich dennoch bereits jetzt mit dem Thema „NIS2“ auseinandersetzen und in einem ersten Schritt prüfen, ob sie dem neuen, stark erweiterten Anwendungsbereich der NIS2-Richtlinie unterliegen. Wenn man zu dem Ergebnis kommt, dass das eigene Unternehmen der neuen NIS2-Richtlinie unterliegt, sollten frühzeitig erste Umsetzungs- und Implementierungsmaßnahmen ergriffen werden, um nicht von der zukünftigen nationalen Gesetzesänderung „überrascht“ zu werden.