Europäische NIS-2-Richtlinie: Ihre Implikationen für Unternehmen und Institutionen

Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Sie ist am 16. Jänner 2023 in Kraft getreten und muss von den EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umgesetzt werden.

Derzeit gilt die Richtlinie zu Netz- und Informationssicherheit (NIS-Richtlinie) aus 2016, welche in Österreich durch das NIS-Gesetz umgesetzt wurde. Die neue Richtlinie wird die derzeit geltende Richtlinie jedoch ersetzen.

Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen und die Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren. Sie enthält strengere Anforderungen für unterschiedliche Sektoren.

Themen, mit denen sich Unternehmen und Organisationen befassen müssen, sind unter anderem Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität. Darüber hinaus erweitert die neue Richtlinie auch die Zahl der Organisationen, die in den Anwendungsbereich fallen.

Das Wichtigste im Überblick

  • Der Anwendungsbereich der Cyber-Sicherheitsregulierung und damit der Kreis der betroffenen Unternehmen wird enorm ausgeweitet.
  • Die betroffenen Unternehmen und Organisationen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Penetrationstests und Reaktion auf Vorfälle ergreifen. Zusätzlich müssen sie Berichterstattung an die Behörde leisten und gegebenenfalls Abhilfemaßnahmen ergreifen.
  • Für die Geschäftsleitung der betroffenen Organisationen werden strengere Haftungsregeln eingeführt.

  • Am 6. Juli 2016 wurde die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union ("NIS-Richtlinie") verabschiedet.

Reden wir über NIS-2

  • Am 28.12.2018 trat in Österreich das NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetzt in Kraft, das in Österreich die europäische NIS-Richtlinie umsetzt.

Reden wir über NIS-2

  • Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) stellt die Nachfolgerin der Richtlinie (EU) 2016/1148 dar.

Reden wir über NIS-2

  • Mit 18. Oktober 2024 wird die NIS-2 Richtlinie die NIS-Richtlinie vom 6. Juli 2016 endgültig ersetzen.

Reden wir über NIS-2

„Cyberbedrohungen sind größer und komplexer geworden. [...] Die NIS-2-Richtlinie ist daher ein wichtiger Schritt voran. Wir vervollständigen dieses Konzept mit dem anstehenden Gesetz über Cyberresilienz, das sicherstellen wird, dass digitale Produkte auch bei ihrer Verwendung sicherer werden.“

Thierry BretonEU-Kommissar

NIS-2 Anwendungsbereich

In der NIS-2-Richtlinie wird zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden. Der Hauptunterschied zwischen den beiden besteht darin, dass für „wichtige Unternehmen“ geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Behörden unterliegen, im Gegensatz zur proaktiven Aufsicht, die den „wesentlichen Unternehmen“ vorbehalten ist.

In der EU soll es keine unterschiedlichen Mindestschwellenwerte mehr geben, sondern Betroffenheit nach „uniformen Kriterien“ ermittelt werden. Unter die Regulierung sollen, abgesehen von Ausnahmen, mittlere und große Unternehmen fallen:

  1. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
  2. Groß (large) >250 Beschäftigte, > 50 Mio. Euro Umsatz, > 43 Mio. Euro Bilanz

Dadurch wird der Anwendungsbereich auch in Österreich enorm ausgeweitet.

Handelt es sich um eine wesentliche Einrichtung, dann ist mit Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes der jeweiligen Einrichtung zu rechnen – je nachdem welcher Betrag höher ist. Für wichtige Einrichtungen liegen die Bußgelder bei bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes – je nachdem welcher Betrag höher ist.

Auswirkung auf die gesamte Lieferkette

Im Energiesektor beispielsweise war der Anwendungsbereich der NIS immer auf Unternehmen beschränkt, die Energie im Strom- und Gassektor erzeugen, liefern oder regulieren.

Im Rahmen von NIS 2 erwarten wir, dass auch die Lieferkette von den Anforderungen erfasst werden. Dazu zählen unter anderem auch die Hersteller von Windturbinen oder Photovoltaik-Anlagen sowie die Betreiber von Ladestationen für Elektrofahrzeuge, aber auch viele andere Unternehmen.

NIS 2 Cybersecurity

Aus unserer Erfahrung in der Zusammenarbeit mit Organisationen in der gesamten EU empfehlen wir die folgenden fünf Schritte:

Schritt 1:
Beurteilen Sie, ob Sie von der NIS-2-Richtlinie betroffen sind.

Die Behörden teilen Ihnen nicht mit, ob diese Richtlinie auf Sie zutrifft. Ihr Unternehmen oder Ihre Institution muss sich selbst anhand der Kriterien beurteilen, die sowohl Branchenelemente als auch Größenüberlegungen beinhalten.

Schritt 4:
Entwickeln Sie einen starken Sicherheitsrahmen
: organisatorische und technische Maßnahmen, um die Geschäftskontinuität sicherzustellen, wenn Sie von einem größeren Cybervorfall betroffen sind. Dazu gehören etwa die Systemwiederherstellung, Notfallverfahren und die Krisenorganisation.

Schritt 2:
Identifizieren Sie Lücken in Bezug auf die Anforderungen.

Die erhöhten Anforderungen an das Risikomanagement und die Resilienz bedeuten Maßnahmen zur Schadensvermeidung und -minimierung. Treffen Sie Maßnahmen für Störungsmanagement, Cybersicherheit in Lieferketten, Netzwerksicherheit, Risikomanagement, Zugangskontrolle und Verschlüsselung.

Schritt 5:
Implementieren Sie Mechanismen zur kontinuierlichen Überprüfung der Wirksamkeit.
Organisationen müssen über Verfahren verfügen, die eine ordnungsgemäße Meldung an die Behörden gewährleisten. Unter anderem ist zwingend erforderlich, dass größere Vorfälle innerhalb von 24 Stunden gemeldet werden.

Schritt 3:
Ermitteln Sie Maßnahmen, um die Verpflichtungen im Management zu erfüllen.

Ihre Führungskräfte müssen mit den Anforderungen der Richtlinie und den Maßnahmen zum Risikomanagement vertraut sein. Sie sind direkt dafür verantwortlich, Risiken zu erkennen und anzugehen.

Wie wir Sie begleiten können

Gezielte Workshops

Wir halten spezialisierte Workshops ab, die auf den Prozessreifegrad  Ihrer Organisation abgestimmt sind:

  • NIS-2-Einführungsworkshops für das Management mit Schwerpunkt auf die strategischen Anforderungen für die Compliance

  • Erläuterung der Unterschiede zu den bestehenden Richtlinien und der zusätzlichen Anforderungen, die NIS-2 mit sich bringt

  • Vertiefende technische Workshops zu den Leitlinien von NIS-2, um die Akzeptanz auf allen Organisationsebenen sicherzustellen
  • Interne Kontrollen und Vorlagen

Reden wir über NIS-2

Reifegrad- und Fit-Gap-Evaluierungen

Unsere Reifegradbewertungen sorgen dafür, dass Sie Ihren Implementierungsfahrplan klar und einfach festlegen können.

  • ​Wir führen unterschiedliche Analysen, angepasst an Ihren Compliance Stand, durch:

    1. Vollständige NIS-2-Fit-Gap-Evaluierung
    2. Fokussierung auf zusätzliche NIS-2-Anforderungen gegenüber der Einhaltung bestehender Regelungen
    3. Analyse der Umsetzung von technischen Standards

  • Bottom-Up-Prozessüberprüfungen, basierend auf angeleiteten Interviews sowie dokumentenbasierter Analyse

  • Strategische top-down Resilienzplanung

  • Klare Priorisierung möglicher Schritte

  • Verknüpfung mit anderen bestehenden Verordnungen und Richtlinien

Reden wir über NIS-2

Fahrplan für die Implementierung von NIS-2

Ausgehend von Ihrer aktuellen Prozesslandschaft erstellen wir einen Fahrplan, mit der Sie die gewünschte Ausfallsicherheit erreichen und gleichzeitig die Anforderungen und regulatorischen Erwartungen der NIS-2-Richtlinie erfüllen.

  • Priorisierung von Lücken und Empfehlungen sowie deren Aufwand und Zusammenhänge

  • Optimierung und Rationalisierung von Prozessen

  • Erfüllung der NIS-2-Anforderungen in Übereinstimmung mit den regulatorischen Erwartungen

Sobald der Plan feststeht, können wir Sie bei den fünf Schritten der Umsetzung mit unserem Fachwissen und unseren Tools in der Praxis unterstützen.

Reden wir über NIS-2

Folgen Sie uns

Erforderliche Felder sind mit einem Sternchen gekennzeichnet (*)

Unsere Datenschutzerklärung finden Sie hier.

Contact us

Georg Beham

Georg Beham

Partner, Cybersecurity & Privacy Leader, PwC Austria

Tel.: +43 699 163 054 54

Erik Rusek

Erik Rusek

Director, PwC Austria

Tel.: +43 676 833 775 456

Thomas Schober

Thomas Schober

Cybersecurity Team, PwC Austria

Tel.: +43 676 959 88 12

Hide