NIS-2: Was in puncto Cybersecurity auf unsere Betriebe zukommt

Was ist NIS-2?

NIS-2 („Network and Information Security Directive 2“) ist eine EU-Richtlinie für Informationssicherheit in kritischen Infrastrukturen, also wichtigen Sektoren der öffentlichen Versorgung wie Energie und Trinkwasser. Ziel ist, die digitale und datenbasierte Souveränität der relevanten Unternehmen in Europa zu stärken.

Die NIS-2-Verordnung wurde bereits 2022 vom EU-Parlament verabschiedet. Sie ersetzt die ursprüngliche NIS-Richtlinie und ist von allen Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht zu überführen. Es handelt sich um Mindeststandards – die Staaten können einzelne Regeln aber noch erweitern bzw. verschärfen. So wird etwa in Deutschland diskutiert, Geschäftsführer in die private Haftung zu nehmen, wenn sie sich nicht an die Maßnahmen halten.

In Österreich werden Betreiber wesentlicher Dienste aktuell durch das Netz- und Informationssicherheitsgesetz (NISG) reguliert. Zu der bis 17.10. notwendigen Gesetzesnovelle ist bislang nichts Näheres bekannt. Experten schätzen, dass 3.400 heimische Betriebe zusätzlich in den NIS-2-Anwendungsbereich fallen.

Für wen gilt die NIS-2-Richtlinie?

Zwei Kriterien bestimmen, ob Unternehmen die Mindeststandards der Informationssicherheit gemäß NIS-2 umsetzen müssen:

• Kriterium 1: Unternehmensgröße
  Für Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz / einer Jahresbilanz von mehr als 10 Millionen Euro kann NIS-2 gelten, wenn sie auch Kriterium 2 erfüllen.
   
• Kriterium2: Unternehmenssektor
  NIS-2 gilt für 18 Unternehmenssektoren. Viele davon waren schon von NIS-1 erfasst, wie Energie, Verkehr, Banken und Gesundheitswesen. Neu hinzugekommen sind laut WKO zum Beispiel: öffentliche Verwaltung, Abwasser, Abfallwirtschaft, Chemie, Lebensmittel (Produktion, Verarbeitung, Vertrieb), Kurierdienste, Hersteller elektronischer Geräte und medizinischer Produkte, Maschinen- und Fahrzeugbau, Forschung. Im digitalen Bereich: IKT-Dienste, Datenverarbeiter, Rechenzentren, Cloud-Anbieter.

Unabhängig von Größe und Umsatz kann NIS-2 auch für Betriebe gelten, die kritische Tätigkeiten ausüben und deren Ausfall ein Risiko für den gesamten Sektor wäre. Sie sind unsicher, ob Ihr Unternehmen NIS-2 anwenden muss? Orientierungshilfe bietet der Online-Ratgeber der Wirtschaftskammer unter https://bit.ly/3IUQOJl

Was kommt auf betroffene Unternehmen zu?

Unternehmen haben durch NIS-2 eine Reihe von (teils neuen) Pflichten. Sie müssen sich u. a. bei der zuständigen Behörde im eigenen Land registrieren, Kontaktdaten weitergeben und erhebliche Sicherheitsvorfälle melden. Die größte Umstellung für Firmen sind die zusätzlichen Sicherheitsanforderungen: NIS-2 fordert ein komplexes Risikomanagement, das u. a. weitreichende Analysen, geschützte Authentifizierung und Kommunikation, Mitarbeiterschulung und Zugriffskontrolle umfasst.

IT-Sicherheit in der Lieferkette

Durch NIS-2 regulierte Unternehmen sollen neben dem eigenen Informationssystem auch ihre Geschäftspartner kritisch unter die Lupe nehmen. Konkret sind sie dazu angehalten, Sicherheitsanforderungen in die Verträge mit Lieferanten und Dienstleistern (z. B. Cloudservice-Anbieter) einzubauen.

Somit kann die neue Cybersecurity-Richtlinie indirekt auch KMU treffen – wer kein gutes Risikomanagement vorzuweisen hat, kann bei Ausschreibungen in Zukunft wohl kaum noch mit Aufträgen von regulierten Unternehmen rechnen.

Als Hilfestellung für NIS-2-Betroffene hat die europäische Agentur für Cybersicherheit (ENISA) einen Ratgeber zum Thema „Supply Chain Cybersecurity“ veröffentlicht, abrufbar unter https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity

KMU-Förderung noch bis 15. 4. beantragen!

Österreichische KMU, die in den NIS-2-Anwendungsbereich fallen, werden beim Umsetzen der nötigen Sicherheitsmaßnahmen mit einer Förderung unterstützt. Unter dem Titel „Cyber Security Schecks 2023“ übernimmt das nationale Koordinierungszentrum für Cybersicherheit bis zu 40 % der Kosten für entsprechende Technologien und Beratungsleistungen (maximal 10.000 €).

Wer beispielsweise Experten von eww ITandTEL beim Erstellen eines Security-Konzepts konsultieren möchte, muss allerdings schnell sein: Zuschüsse können bis spätestens 15.4.2024 beantragt werden, Projekte müssen bis 1.6.2024 starten. Den Leitfaden zur Ausschreibung finden Sie unter https://www.ffg.at/ausschreibung/CyberSecuritySchecks2023

eww ITandTEL und NIS-2

Die neue EU-Richtlinie für Cybersicherheit nimmt vor allem den digitalen Bereich in die Pflicht. Auf IKT-Anbieter, Cloud-Provider und die Betreiber besonders sensibler Infrastruktur wie Datacenter warten eine Menge strenger Vorgaben. Dass sie eingehalten werden, ist mit Audits, Prüfungen oder Zertifizierungen regelmäßig nachzuweisen.

eww ITandTEL ist hier bestens aufgestellt. Betreffend Compliance & Security haben wir uns die Latte selbst immer deutlich höher gelegt als gesetzlich gefordert. Die Qualität der Informationssicherheit in unseren Rechenzentren in Österreich und Deutschland ist durch anerkannte Auditoren bestätigt – unsere Datacenter Standorte sind nach ISO / IEC 27001 und Standort Marchtrenk nach EN 50600 und damit nach internationalem Goldstandard zertifiziert.

Das macht eww ITandTEL auch zu einem zuverlässigen, vertrauenswürdigen Cloudanbieter​​​​​​​, der die hohen Ansprüche von Businesskunden in Bezug auf Daten-Souveränität und -kontrolle vollauf erfüllen kann. Mit eww ITandTEL als IT-Partner sind Sie betreffend NIS-2 schnell startklar – auf jeden Fall lange vor dem 18. Oktober!
​​​​​​​