Der Rat der EU hat den Entwurf der NIS-2-Richtlinie angenommen. Nach der Veröffentlichung im Amtsblatt haben die Mitgliedsstaaten 21 Monate Zeit die Richtlinie umzusetzen. Die NIS-2-Richtlinie soll ein einheitliches Sicherheitsniveau für Netzwerke und Informationssysteme kritischer und sensibler Infrastrukturen in den Mitgliedsländern schaffen. Sie tritt an die Stelle der in Österreich durch das Netz- und Informationssystemsicherheitsgesetz (NISG) umgesetzten NIS-Richtlinie aus 2016.
Status quo – NIS 1.0
Die erste NIS-Richtlinie trat bereits im Jahr 2016 in Kraft. Mit dieser verabschiedete die EU erstmals umfassende Regelungen für Cybersicherheit im Bereich der kritischen Infrastruktur. In Österreich wurden diese Vorgaben 2018 insbesondere durch das Netz- und Informationssystemsicherheitsgesetz (NISG) umgesetzt. Das NISG verpflichtet Betreiber wesentlicher Dienste zur Umsetzung umfangreicher Sicherheitsmaßnahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen. Diese Überprüfung und Bestätigung kann durch KPMG erfolgen.
NIS 2.0 – was ändert sich?
Angesichts der zunehmenden Digitalisierung wächst auch die Bedrohung durch Cyberangriffe. Um dieser Gefahr entgegenzuwirken, stellt die NIS-2-Richtlinie („NIS 2.0“) höhere Sicherheitsanforderungen an die Unternehmen und sieht zugleich schärfere, einheitliche Sanktionsregelungen vor. Die NIS 2.0 soll helfen, sowohl auf nationaler als auch auf EU-Ebene, schneller und besser auf Cyberkrisen reagieren zu können. Die wesentlichen Neuerungen werden in Folge überblicksmäßig dargestellt. So viel vorweg: Der Kreis der erfassten Unternehmen wird erheblich erweitert.
1. Wesentliche und wichtige Einrichtungen
Eine essenzielle Neuerung ist die erstmalige Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen, für die teilweise unterschiedliche Vorschriften gelten. Auch wurde die Liste der bestehenden Sektoren ergänzt:
Wesentliche Einrichtungen
- In Anhang I genannte Sektoren (wie Energie, Verkehr, Wasserversorgung, Gesundheitswesen, Abwasser, digitale Infrastruktur, öffentliche Verwaltung oder Weltraum)
- Qualifizierte Vertrauensdienstanbieter, Domänennamenregister der Domäne oberster Stufe sowie DNS-Diensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
- Einrichtungen öffentlicher Verwaltung
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie (Herstellung und Handel)
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Hersteller bestimmter Waren (ua Medizinprodukte, Datenverarbeitungsgeräte, Maschinenbau, Kfz)
- Anbieter digitaler Dienste (Plattformen für Dienste sozialer Netzwerke)
- Forschungseinrichtungen
Darüber hinaus ermächtigt die Richtlinie Mitgliedsstaaten weitere wesentliche und wichtige Einrichtungen zu benennen.
2. Anwendungsbereich
Um Divergenzen zwischen den Mitgliedsstaaten zu vermeiden, definiert die Richtlinie den Anwendungsbereich nunmehr selbst. Dieser umfasst alle mittleren und großen Unternehmen in den wesentlichen und wichtigen Sektoren. Zu beachten ist allerdings, dass die NIS 2.0 hiervon eine Gegenausnahme vorsieht, nach welcher bestimmte besonders kritische Dienste (wie zB Dienste von Anbietern öffentlicher elektronsicher Kommunikationsnetze oder Vertrauensdienste) jedenfalls in den Anwendungsbereich fallen – unabhängig von deren Größe.
3. Maßnahmen
Die Richtlinie sieht nunmehr einheitliche und – im Vergleich zu NIS 1.0 – umfangreichere Maßnahmen für Betreiber wesentlicher und wichtiger Anlagen vor. Risikomanagementmaßnahmen sind nach einem risikobasierten Vorgehen wirksam zu etablieren und liegen in der Verantwortung der Unternehmensleitung. Zu diesen zählen unter anderem:
- Die Erstellung von Risikoanalyse- und Informationssicherheitskonzepten
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen
- Maßnahmen zur Aufrechterhaltung des Betriebs (wie Back-up-Management und Wiederherstellung)
- Konzepte für Zugriffskontrollen
- Die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, gesicherte Kommunikation etc
Die Unternehmen müssen eine umfangreiche Liste an grundlegenden Maßnahmen zur Cyberhygiene (auch in Bezug auf ihre Lieferketten) einführen, zB:
- Zero-Trust-Prinzip
- Software-Updates
- Gerätekonfiguration
- Netzwerksegmentierung
- Identitäts- und Zugriffsmanagement
- Sensibilisierung der Nutzer:innen
- Schulungen für Mitarbeiter:innen
- Bewertung der eigenen Cybersicherheitskapazitäten und gegebenenfalls Integration von Technologien zur Verbesserung der Cybersicherheit, wie künstliche Intelligenz oder Machine Learning
4. Meldepflichten
Signifikante Vorfälle und signifikante Bedrohungen sind den Behörden entsprechend den Meldepflichten zu melden. Der Entwurf enthält genaue Vorgaben über den Ablauf, Inhalt und Zeitrahmen solcher Meldungen: So muss unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme, eine sogenannte Frühwarnung abgegeben werden. Innerhalb von 72 Stunden hat sodann eine Meldung des Sicherheitsvorfalls zu erfolgen, spätestens ein Monat nach Übermittlung dieser Meldung ist dann ein Abschlussbericht zu erstellen.
5. Aufsichts- und Durchsetzungsmaßnahmen
Darüber hinaus sieht NIS 2.0 strengere Aufsichts- und Durchsetzungsmaßnahmen vor. Zuständige Behörden können insbesondere Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen und anlassbezogene Ad-hoc-Prüfungen vornehmen sowie bestimmte Informationen oder auch Datenzugänge anfordern. Hier zeigt sich ein bedeutender Unterschied zwischen „wesentlichen“ und „wichtigen“ Einrichtungen: Während wesentliche Einrichtungen laufend – also ohne Anlassfall – geprüft werden können, geschieht dies bei wichtigen Einrichtungen nur im Falle eines begründeten Verdachts.
6. Sanktionen und Haftung
Verstöße werden laut den nationalen, gesetzlichen Vorgaben sanktioniert. Der Bußgeldrahmen wird für wesentliche Einrichtungen mit einem Höchstbetrag von mindestens EUR 10 Mio oder 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) gedeckelt. Für wichtige Einrichtungen liegt der Höchstbetrag bei mindestens EUR 7 Mio oder bei 1,4 Prozent des weltweiten Umsatzes. Für den Fall, dass ein Verstoß zu einer Geldbuße nach der DSGVO führt, wird nach der NIS 2.0 keine Geldbuße verhängt.
Die NIS 2.0 birgt neben diesem Bußgeldrisiko auch ein erhebliches Haftungsrisiko für die Unternehmensleitung. Leitungsorgane wesentlicher und wichtiger Einrichtungen haben die Umsetzung der Risikomanagementmaßnahmen zu überwachen. Für Verstöße dagegen können sie verantwortlich gemacht werden, wobei die Ausgestaltung dieser Haftung den Mitgliedsstaaten obliegt.
Wie geht es weiter?
Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Die Mitgliedsstaaten haben nach dem Inkrafttreten 21 Monate Zeit die Richtlinie in nationales Recht umzusetzen. Für Österreich sind weitgehende Änderungen in Bezug auf das NISG zu erwarten. Aufgrund der umfassenden Anforderungen ist zu empfehlen, sich frühzeitig mit den Regelungen der NIS 2.0 auseinanderzusetzen.