NISG TEC Gruppe, NIS 2 , NIS2, NIS Österreich, NISG Umsetzung

NISG in Österreich – ein Fahrplan für betroffene Einrichtungen

In einer zunehmend digitalisierten Welt ist die Sicherheit der Netzwerke und Informationssysteme von entscheidender Bedeutung. Um diesem Anliegen gerecht zu werden, hat die Europäische Union die Richtlinie über Netzwerk- und Informationssicherheit (NIS) erlassen.
Das NISG in Österreich dient der Umsetzung dieser Richtlinie in nationales Recht.
Nach der Veröffentlichung im EU-Amtsblatt und der Umsetzung in nationales Recht werden die neuen umfassenden Cybersicherheitsvorschriften für Unternehmen in Österreich voraussichtlich ab Herbst 2024 gelten.

Dieser Artikel wird auf das NISG in Österreich eingehen und die wichtigsten Fragen beantworten.

Beitrag von 
 

Manfred Kirisits

Cyber Security Experte 
Gründer und Geschäftsführer von CoreTEC GmbH

Was ist NISG (Netz- und Infornationssystemsicherheitsgesetzt)?

2016 stellte die Europäische Kommission ein neues Cybersicherheitspaket vor, das auf einer überarbeiteten Version der Cybersicherheitsstrategie von 2013 basiert.

 

Die zentrale Maßnahme der europäischen Cybersicherheitsstrategie ist die „NIS-Richtlinie“ (Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus für Netz- und Informationssysteme in der Union. Ihr Ziel ist es, ein höheres Maß an Sicherheit von Netz- und Informationssystemen in der EU zu erreichen. Diese Richtlinie ist die erste umfassende EU-weite Gesetzgebung zur Cybersicherheit. Neben dem öffentlichen Bereich sind auch Betreiber wesentlicher Dienste und Anbieter digitaler Dienste verpflichtet, IT-Sicherheitsmaßnahmen einzuführen und bedeutende Vorfälle zu melden. 

Umgesetzt werden die Regelungen in Österreich durch das Netz- und Informationssystemsicherheitsgesetz (NISG) und eine entsprechende Verordnung (NISV). Darüber hinaus existiert auf EU-Ebene die Durchführungsverordnung (EU) 2018/151 (EU-NIS-Df-VO) für diesen Bereich.

"Kein Schiss vor NIS"

12. Oktober 2023 | Beginn 15 Uhr | Grand Loft Vienna

Im Jänner 2023 ist die NIS 2 Verordnung in Österreich in Kraft getreten, mit dem Ziel die Cyberresilienz kritischer Infrastrukturen in der EU zu stärken. Bis Herbst 2024 sind Betreiber solcher Infrastrukturen verpflichtet bestimmte Mindeststandards zum Schutz ihrer Netzwerke und Systeme einzuhalten. Die Umsetzung dieses Gesetztes stellt betroffene Einrichtungen jedoch vor große Herausforderungen.

Sie möchten sich effizient auf die bevorstehende Umsetzung von NIS 2 vorbereiten?

NISG TEC Gruppe, NIS 2 , NIS2, NIS Österreich, NISG Umsetzung

NIS 1 und NIS 2 – was ändert sich?

NIS 2 ist die Erweiterung der bestehenden EU Richtlinie aus dem Jahr 2016. Die rasanten Entwicklungen im Bereich der Cyberkriminalität führten zu der notwendigen Anpassung und der Verschärfung der NIS Richtline, die nun bis Oktober 2024 auf nationaler Ebene umgesetzt werden muss.

Welche Einrichtungen sind von NIS 2 betroffen?

Man unterscheidet zwischen wesentlichen und wichtigen Einrichtungen:

Wesentliche Einrichtungen:

  • Energie

  • Verkehr

  • Bankwesen

  • Finanzmarktinfrastrukturen

  • Gesundheitswesen

  • Trinkwasser

  • Abwasser

  • Digitale Infrastruktur

  • ICT-service Management B2B

  • öffentliche Verwaltung

  • Weltraum

Wichtige Einrichtungen:

  • Post- und Kurierdienste

  • Abfallbewirtschaftung

  • Chemie, Lebensmittel

  • verarbeitendes/herstellendes Gewerbe

  • Anbieter digitaler Dienste

  • Forschungseinrichtungen

Ausgenommen sind kleine Unternehmen, d.h. Unternehmen, die weniger als 50 MitarbeiterInnen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft. 

Dennoch fallen folgende Unternehmen unabhängig von ihrer Größe in den Anwendungsbereich:

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder öffentlich zugänglichen elektronischen Kommunikationsdiensten

  • Anbieter von Vertrauensdiensten

  • Top-Level-Domain-Registrierungsstellen und Anbieter von Domänennamensystemen (DNS)

  • Unternehmen, die alleiniger Anbieter eines Services in einem Mitgliedstaat sind, welches essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist

Element 1

WICHTIG:

Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten.

Welche Sicherheitsvorkehrungen müssen betroffene Einrichtungen treffen?

Das NISG hat weitreichende Auswirkungen auf Unternehmen in Österreich. Unternehmen müssen sicherstellen, dass sie den Anforderungen des Gesetzes entsprechen, um potenzielle Strafen zu vermeiden. Zu den Hauptanforderungen gehören:

  • Risikomanagementmaßnahmen (z.B. Konzepte für Risikoanalyse, Bewältigung von Sicherheitsvorfällen, 

  • Backupmanagement, Schulung von Mitarbeiter:innen)

  • Lieferketten und Abhängigkeiten von Partnerunternehmen müssen inkludiert werden.

  • Meldepflichten: 

bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.

Was passiert, wenn Unternehmen die Regelungen nicht einhalten?

Bei Nichterfüllung drohen Sanktionen bis zu EUR 10 Mio. und 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. EUR 7 Mio. und 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Leitungsorgane (Geschäftsführer und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.

Wie läuft eine NIS-Prüfung ab?

Eine NIS-Prüfung wird von einer unabhängigen Stelle (qualifizierte Stelle) durchgeführt, die NIS-Behörde akkreditiert wurde. Im Rahmen der Prüfung werden die Sicherheitsvorkehrungen des Unternehmens überprüft, um festzustellen, ob sie den Anforderungen entsprechen.

Wer ist zur Durchführung einer NIS-Prüfung befugt?

Das NISG sieht vor, dass eine NIS-Prüfung von einer unabhängigen Stelle, mit Hauptniederlassung in Österreich, durchgeführt werden muss – der sogenannten qualifizierten Stelle (QuaSte). Qualifizierte Stelle sind vom Bundesministerium für Inneres dazu legitimiert, die Sicherheitsvorkehrungen bei Betrieben wesentlicher Dienste zu überprüfen.

Unsere Schwesterfirma, CoreTEC Security Solutions GmbH ist seit Jänner 2020 eine qualifizierte Stelle. CoreTEC führt gemäß §11 NISV NIS Prüfungen durch.

Ebenso unterstützt CoreTEC von NIS erfasste Unternehmen bei der praxisnahen Umsetzung der Sicherheitsmaßnahmen.  

Wir sind gerne für Sie da

kontakt_tec_gruppe

Unsere Fachexpert*innen und Kundenbetreuer*innen stehen Ihnen bei Fragen zur Verfügung und beraten Sie gerne persönlich.