NIS 2: Verpflichtende Cybersicherheitsmaßnahmen

Nachfolgend finden Sie anhand eines gewerblichen Maschinenbau-Unternehmens eine Aufzählung der verpflichtenden Cybersicherheitsmaßnahmen nach der NIS-2-Richtlinie.

Beispiel: Mittleres Maschinenbau-Unternehmen, das weniger als 250 Personen beschäftigt und das entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielt oder dessen Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft

Das Unternehmen ist auf Basis des beschriebenen Profils voraussichtlich eine wichtige Einrichtung im Sinne der NIS2-Richtlinie und muss daher die Auflagen von NIS2 – insbesondere Cybersicherheitsmaßnahmen und Meldepflichten im Bereich Cybersicherheit – erfüllen.

Technische, organisatorische und operative Cybersicherheitsmaßnahmen

Ihr Unternehmen muss geeignete und verhältnismäßige technische, operative und organisatorische Risikomanagementmaßnahmen im Bereich der Cybersicherheit ergreifen um die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen. Die Maßnahmen müssen zumindest Folgendes umfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Pflichten der Geschäftsführung

Die Leitungsorgane müssen die Umsetzung der Maßnahmen billigen und überwachen, sie können für Verstöße verantwortlich gemacht werden. Außerdem müssen sie an Schulungen teilnehmen und für regelmäßige Schulungsangebote der Mitarbeiter:innen im Bereich Cybersicherheit sorgen.

Einhaltung von Meldepflichten

Bei erheblichen Sicherheitsvorfällen sind Meldepflichten einzuhalten.

  • binnen 24 Stunden ab Kenntnis eine Frühwarnung
  • binnen 72 Stunden ein Bericht
  • spätestens nach 1 Monat ein Abschlussbericht

an die zuständige Behörde erfolgen.

Geldbußen

Bei Verstößen gegen die Bestimmungen zu Risikomanagementmaßnahmen oder Berichtspflichten können

  • gegen wesentliche Einrichtungen Strafen bis zu 10 000 000 EUR oder 2 % des weltweiten Konzernjahresumsatzes verhängt werden.
  • gegen wichtige Einrichtungen Strafen bis zu 7 000 000 EUR oder 1,4 % des weltweiten Konzernjahresumsatzes verhängt werden.

Darüber hinaus gibt es diverse Aufsichts- und Durchsetzungsmaßnahmen (z.B. verbindliche Anordnungen über Maßnahmen, Vor-Ort-Kontrollen).


Quelle: Online Ratgeber der WKO (https://ratgeber.wko.at/NIS2/);

Wir weisen darauf hin, dass diese Informationen auf Grundlage der EU-Richtlinie NIS2 entstanden sind. Eine endgültige Festlegung, ob ein Unternehmen betroffen ist, kann erst auf Grundlage der Umsetzung in das nationale Recht getroffen werden. Die Umsetzung wird in Österreich voraussichtlich durch eine weitreichende Änderung des bestehenden Netz- und Informationssystemsicherheitsgesetzes (NISG) und der Netz- und Informationssicherheits-Verordnung (NISV) erfolgen.