Zunehmende Digitalisierung im privaten und öffentlichen Sektor, steigende Anzahl an Cyberangriffen und höhere Abhängigkeit von digitalen Lösungen seit der COVID-19 Pandemie. Das und noch mehr ließ den Ruf nach einer verstärkten Cyber- und Informationssicherheit innerhalb der Europäischen Union lauter werden. Der Europäische Gesetzgeber folgte diesem Ruf und erlies die am 16.12.2023 in Kraft getretene NIS-II-Richtlinie („NIS II“), welche die bisherige Richtlinie zu Netz- und Informationssicherheit (NIS-I-Richtlinie) ablöste.

Was ist neu?

NIS II bringt im Vergleich zur Vorgängerrichtlinie eine Vielzahl an Neuerungen, wozu insbesondere die erhebliche Ausweitung des Anwendungsbereichs zählt. Neben den bereits bisher erfassten Sektoren (Energie, Verkehr, Bankwesen, Gesundheitswesen, usw) sind zukünftig auch Unternehmen anderer kritischer Sektoren (Post- und Kurierdienste, Lebensmittel, Chemie, Öffentliche Verwaltung, …) vom Anwendungsbereich der Richtlinien erfasst.

Wer ist betroffen?

Darüber hinaus wurde der Anwendungsbereich auch auf Unternehmen mittlerer Größe (über 50 Mitarbeiter und Jahresumsatz über EUR 10 Mio) erweitert. Daneben trifft die NIS II eine Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen und legt für beide Kategorien zum Teil voneinander abweichende Regelungen fest. Die Verpflichtung zum Umsetzen der geforderten Sicherheitsmaßnahmen besteht zwar unabhängig davon, ob das Unternehmen als wesentliche oder als wichtige Einrichtung zu qualifizieren ist. Eine zentrale Unterscheidung beider Kategorien besteht jedoch im Rahmen der Aufsicht und der Sanktionen, die im Falle von Gesetzesverstößen verhängt werden können.

Was ist zu tun?

Die vom Anwendungsbereich erfassten Unternehmen sind zukünftig verpflichtet, umfassende Risikomanagementmaßnahmen in Bezug auf Cybersicherheit sowie entsprechende Berichtspflichten zu etablieren. Die Verantwortung dafür liegt bei der Unternehmensleitung, die über ausreichend Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken in diesem Bereich verfügen muss und für Pflichtverletzungen entsprechend haftbar gemacht werden kann. Im Rahmen der Berichtspflichten müssen erhebliche Sicherheitsvorfälle (schwerwiegende Betriebsstörungen oder finanzielle Verluste) schnell gemeldet werden, um eine potenzielle Ausbreitung zu verhindern. Betroffene Unternehmen müssen solche Fälle im Rahmen einer Frühwarnung spätestens binnen 24h an die zuständige Stelle melden, wobei innerhalb von 72h eine aktualisierte Meldung zu erstatten ist. Die Unternehmen müssen daher auch entsprechende Systeme und Verfahren implementieren, um diesen Anforderungen entsprechen zu können.

Die Richtlinie ist nun von den Mitgliedstaaten bis zum 17.10.2024 in nationales Recht umzusetzen – noch fehlt aber der nationale Rechtsakt. Es bleibt daher spannend, ob die Vorgaben tatsächlich per 17.10.2024 schlagend werden.   

Sie wollen mehr über NIS-II und weitere Regelwerke erfahren? Die Höher Akademie informiert laufend. Mehr erfahren.

Wiener Neustadt, am 07.03.2024