NIS2-Richtlinie

Warum die Uhren schon jetzt laut ticken

Seit 16. Jänner 2023 ist die neue NIS2-Richtlinie der EU für die wirkungsvolle Stärkung der Cybersicherheit in den Mitgliedsstaaten der Europäischen Union in Kraft. Ab 18. Oktober 2024 ist die NIS2 auch in Österreich gesetzlich bindend. Für Unternehmen bedeutet das: Nicht mehr viel Handlungsspielraum, um sich zu informieren, ob man unter die NIS2-Richtlinie fällt und welche Maßnahmen man im Bedarfsfall umsetzen muss. Höchste Zeit also, zu handeln, denn die fachkundige Bedarfsanalyse und Implementierung für die rechtzeitige Befolgung der NIS2-Richtlinie in der eigenen Unternehmens-IT braucht entsprechend Zeit – und eine Fristversäumnis kann viel Geld kosten. Der späteste Zeitpunkt für ein erstes Informationsgespräch mit den HXS Cybersecurity-Expert:innen ist daher genau jetzt.

Was bedeutet NIS?

NIS steht für die Sicherheit der Netz- und Informationssysteme. Wie bei allen neuen gesetzlichen Verordnungen steht auch bei der NIS2 zuerst die Frage im Vordergrund: Wann tritt die NIS 2 in Österreichtatsächlich in Kraft? Die Antwort darauf lautet: genau genommen ist sie das schon. Denn grundsätzlich gilt die NIS2-Richtlinie in der EU bereits jetzt. Ab 18. Oktober 2024 ist sie in allen EU-Staaten gesetzlich bindend.

Die Uhr tickt also bereits laut, denn betroffene Unternehmen sollten schon bis kommenden Herbst alle nötigen Maßnahmen für die Befolgung der NIS2 über die Bühne gebracht haben. Und wenn man einrechnet, dass von der ersten Analyse bis zur kompletten Implementierung ein Zeitraum von ca. einem halben Jahr oder auch mehr nötig sein kann, sollte man noch im letzten Quartal 2023 alles Nötige in die Wege geleitet haben, damit es dann 2024 nicht knapp wird oder sogar empfindliche Bußgelder für Versäumnisse fällig werden.

Was ist das Ziel von NIS2?

„Grundsätzlich geht es um ein sehr sinnvolles Thema“, erklärt HXS Security- und Network Experte Lorenz Bindhammer, „Nämlich darum, die Cybersicherheit in der Europäischen Union zu stärken: durch ein einheitliches Sicherheitsniveau für die Netzwerke und Informationssysteme von kritischen und sensiblen Infrastrukturen in allen EU-Mitgliedsländern.

Und das ist absolut notwendig, denn mit dem rapiden Fortschritt in der IT werden auch die Angriffsszenarien technisch immer raffinierter und gefährlicher. Wenn man sich etwa allein in Österreich die aktuellen Cybercrime-Reports des Bundeskriminalamts ansieht, so waren es noch 2015 rund 10.000 Cybercrime-Fälle pro Jahr. Mittlerweile sind es über 60.000 bzw. das Sechsfache, und die Kurve steigt weiter steil nach oben. Und auch wir stellen bei HXS in der Praxis fest, dass häufig auch große und renommierte Unternehmen empfindliche Sicherheitslücken aufweisen und Cyberattacken ausgesetzt sind, die bis zum tage- oder sogar wochenlangen Stillstand führen können.

Deshalb sollte man als Unternehmer:in die Umsetzung der neuen NIS2-Verordnung keinesfalls als lästige und kostspielige EU-Bürokratie sehen. Betrachten Sie sie als wertvolles Investment, um Ihr Unternehmen nach den aktuellen Erfordernissen zu überprüfen und auf den dringend erforderlichen neuesten Stand der Cybersicherheit zu bringen.“

Die NIS2-Richtlinie ist im Grunde nichts Neues, denn im Wesentlichen erweitert sie den Anwendungsbereich der vorherigen NIS EU-Richtlinie von 2016 und passt sie in verschärfter Weise an die aktuellen Erfordernisse und Bedrohungsszenarien an.

Das bedeutet: Mit NIS2 sind jetzt nicht nur allein besonders kritische Infrastrukturen wie beispielsweise die Energieversorgung oder Verkehrssysteme von den Richtlinien betroffen, sondern z.B. auch wichtige digitale Dienstleister und so genannte „wesentliche und wichtige Einrichtungen“. Zu diesen zählen neben den bereits genannten Energie- und Verkehrsunternehmen z.B. auch Banken und Finanzdienstleister, Gesundheitsunternehmen oder auch Unternehmen aus der Informations- und Kommunikationstechnik.

Welche Unternehmen sind von NIS2 in Österreich betroffen?

Die NIS2-Richtlinie ist im Grunde nichts Neues, denn im Wesentlichen erweitert sie den Anwendungsbereich der vorherigen NIS EU-Richtlinie von 2016 und passt sie in verschärfter Weise an die aktuellen Erfordernisse und Bedrohungsszenarien an. Folgende unternehmen sind von der NIS2 betroffen: 

• Unternehmen im Bereich besonders kritischer Infrastrukturen: Energieversorgung oder Verkehrssysteme
• Wichtige digitale Dienstleister
• Wesentliche und wichtige Einrichtungen: Banken, Finanzdienstleister, Gesundheitsunternehmen, Unternehmen aus der Informations- und Kommunikationstechnik
• Mittelbetriebe: aus Sparten wie Chemie, Güter- und Lebensmittelproduktion, digitale Dienstleistungen oder auch Forschungs- und Wissenschaftsunternehmen
• Kleinbetriebe: Vertrauensdienstanbieter, (also z.B. elektronische Validierungs- oder Zustelldienste), ein Anbieter zugänglicher elektronischer Kommunikationsdienste oder ein alleiniger Anbieter eines Service, der essenziell für die Aufrechterhaltung kritischer gesellschaftlicher/wirtschaftlicher Aktivitäten ist 

Insbesondere für mittelständische Unternehmen und für Kleinbetriebe können sich deshalb hier oft viele Fragezeichen auftun. Denn wie bei EU-Richtlinien leider oft üblich, bedeutet auch dieses Thema für Laien einen oft schwierig durchschaubaren Bürokratiedschungel – umso wertvoller ist es daher, einen kompetenten Cybersecurity-Partner wie HXS an der Seite zu haben um sich zu diesem wichtigen Thema schnell und zuverlässig Klarheit zu verschaffen.

Mögliche Strafen bei Missachtung der NIS2

Wie Lorenz Bindhammer eindringlich betont:

„Fällt man als Unternehmen unter die neue NIS2-Richtlinie, so ist es jetzt allerhöchste Zeit, sich einen klaren Überblick über die erforderlichen Maßnahmen zu verschaffen und diese in die Wege zu leiten – denn 2024 steht schon bald vor der Tür, und die Analyse, die Entwicklung eines klaren Maßnahmen-Fahrplans sowie die Implementierung benötigen entsprechend Zeit.

Er erklärt auch warum man das Thema NIS2 keineswegs bagatellisieren oder aufschieben sollte: Denn bei Verstößen gegen die Richtlinie können sehr empfindliche Bußgelder und Sanktionen fällig werden.

Für die kritischste Unternehmenskategorie der wesentlichen Einrichtungen liegt der Bußgeldrahmen bei 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes, und auch bei den etwas niedriger eingestuften wichtigen Einrichtungen können bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes fällig werden.

Ein unverbindlicher erster Anruf bei den Cybersecurity-ExpertInnen von HXS und im Bedarfsfall eine fachkundige und NIS2-gerechte Sicherheitsoptimierung der eigenen IT lohnt sich daher angesichts solcher Geldbußen - in jedem Fall x-fach. Ganz abgesehen davon, dass man ja nicht nur den gesetzlichen Vorgaben gerecht wird, sondern auch erheblich von der eigenen Cybersicherheit auf aktuellstem Niveau profitiert.“

Wie Sie die NIS2-Richtlinie umsetzen können

Unsere Experten der HXS empfehlen Ihnen folgendes Vorgehen bezüglich der Umsetzung der NIS2-Richtlinie:

1. Anwendungsprüfung: Prüfen Sie, ob Sie unter den Geltungsbereich der NIS2-Richtlinie fallen.
2. Gap-Analyse: Analysieren Sie welche Vorgaben der Richtlinie Sie bereits umsetzen und welche noch umgesetzt werden müssen. 
3. Priorisierung & Planung: Priorisieren Sie die noch ausstehenden Maßnahmen und erstellen Sie einen Plan. Achten Sie hierbei auf Themen, die sich gegenseitig beeinflussen. 
4. Umsetzung: Setzen Sie den Plan mit genügend Zeitpuffer und einem kompetenten IT-Partner um. 
5. Dokumentation: Dokumentieren Sie Ihr Vorgehen und beschreiben Sie wo möglich die technisch umgesetzten Systeme im Rahmen von Policies. 

Machen Sie sich auf NIS2 mit HXS bereit!

Gerne beraten wir Sie bei Ihren Fragen hinsichtlich der neuen NIS2-Richtlinie, wenn Sie verstehen wollen, wie sich die NIS2 auf Sie auswirkt und welche Schritte Sie vornehmen müssen, um Ihre Cybersicherheit im Einklang mit der Richtlinie zu gewährleisten.