Cybersecurity – Die neue NIS-2-Richtlinie
Ein wesentlicher Bestandteil der rechtlichen Rahmenbedingungen der Cybersecurity ist die europäische Network and Information Security-Richtlinie (NIS-1), die für bestimmte Sektoren die Cybersecurity und Resilienz in der EU verbessern sollte. Diese ist nun von der NIS-2 abgelöst worden. Während NIS-1 in Österreich eine überschaubare Anzahl von Unternehmen betroffen hat (etwa 100 bis 200), vervielfacht sich diese Anzahl durch die neue Regelung beträchtlich. Nach zwei Schätzungen werden 3.400 (BDO) bis 5.000 (techbold) Unternehmen in Österreich davon betroffen sein. Nach dem Inkrafttreten der Richtlinie (EU) 2022/2555 (NIS-2) am 16. Januar 2023 stehen die EU-Mitgliedsstaaten nun vor der Aufgabe, die NIS-2 bis zum 17. Oktober 2024 in ihr nationales Recht umzusetzen. Die NIS-2 verpflichtet bestimmte Unternehmen unter anderem Sicherheitsmaßnahmen zu ergreifen und bei Sicherheitsvorfällen Meldepflichten einzuhalten.
Welche Unternehmen sind betroffen?
Die Kriterien, nach denen Unternehmen zukünftig von der NIS-2-Richtlinie betroffen sein werden, umfassen wie bisher hauptsächlich die Zugehörigkeit zu bestimmten Sektoren (wie Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur usw.), die in Sektoren mit hoher Kritikalität und sonstige kritische Sektoren eingeteilt werden. In die erste Kategorie fallen alle bisher umfassten Sektoren, die etwa um Fernwärme, Abwasser oder Forschung und Herstellung pharmazeutischer und medizinischer Produkte und Geräte ergänzt werden. In die zweite Kategorie fallen zum Beispiel Lebensmittelproduktion, -verarbeitung und -vertrieb, Abfallbewirtschaftung, aber auch Teile des herstellenden und verarbeitenden Gewerbes (etwa elektronische und optische Geräte, Medizinprodukte oder Maschinenbau).
Vom Anwendungsbereich erfasst werden dabei grundsätzlich große und mittlere Unternehmen. Kleinunternehmen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz 10 Millionen Euro nicht erreicht, fallen nicht unter die NIS-2. Von dieser Regelung macht die NIS-2 jedoch eine Ausnahme, wenn die Dienste des Unternehmens als besonders kritisch angesehen werden. Unabhängig von der Größe des Unternehmens fallen beispielsweise Dienste von Anbietern öffentlicher elektronischer Kommunikationsnetze oder Vertrauensdienste in jedem Fall unter die NIS-2.
Wesentliche und wichtige Einrichtungen
Die NIS-2 trifft erstmals eine Unterscheidung zwischen wichtigen und wesentlichen Einrichtungen. Diese Einteilung basiert unter anderem auf der Unternehmensgröße sowie dem spezifischen Sektor oder Dienst des Unternehmens. So werden große Unternehmen in hochkritischen Sektoren als wesentliche Einrichtungen eingestuft.
Die Einstufung als wichtige oder wesentliche Einrichtungen spielt insbesondere bei den Aufsichts- und Durchsetzungsmaßnahmen sowie beim Bußgeldrahmen eine Rolle. Wesentliche Einrichtungen dürfen beispielsweise kontinuierlich und auch ohne speziellen Anlass überprüft werden, während Überprüfungen bei wichtigen Einrichtungen nur bei begründetem Verdacht erfolgen. Interessanterweise unterscheidet die NIS-2 im Bereich der Risikomanagementmaßnahmen nicht strikt zwischen wesentlichen und wichtigen Einrichtungen und setzt stattdessen in diesem Kontext auf einen risikobasierten Ansatz.
Risikomanagementmaßnahmen
Gemäß der NIS-2 müssen Unternehmen angemessene technische, operative und organisatorische Maßnahmen (TOM) ergreifen, um die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern bzw. möglichst gering zu halten. Diese Maßnahmen sollen sowohl dem aktuellen Risiko als auch dem Stand der Technik entsprechen und die Kosten, die Unternehmensgröße sowie die Wahrscheinlichkeit eines Sicherheitsvorfalls berücksichtigen.
Neu in diesem Zusammenhang sind die zehn spezifischen Mindestmaßnahmen der NIS-2, darunter Risikoanalysen, Backup-Management, Notfallwiederherstellung, Krisenmanagement, Mitarbeiterschulungen im Bereich Cybersicherheit sowie die Sicherung der Lieferkette, die betroffene Unternehmen erfüllen müssen. So führt etwa die Verpflichtung zur Gewährleistung der Sicherheit der Lieferkette dazu, dass Unternehmen künftig ihre Lieferanten hinsichtlich ihres Cybersicherheitsrisikos einschätzen und bewerten müssen und Vertragsbeziehungen mit cybersicherheitsrechtlich bedenklichen Lieferanten vermeiden sollten.
Berichtspflichten
Hervorzuheben und von hoher praktischer Bedeutung sind die Berichtspflichten für Unternehmen im Falle eines Sicherheitsvorfalls. So müssen erhebliche Sicherheitsvorfälle unverzüglich gemeldet werden. Dies beinhaltet die Abgabe einer Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls. Innerhalb von 72 Stunden nach der ersten Meldung ist eine offizielle Meldung des Sicherheitsvorfalls erforderlich. Zudem ist innerhalb eines Monats nach dieser offiziellen Meldung ein Abschlussbericht an die zuständige Behörde zu übermitteln.
Sanktionen und Haftung
Wie bereits aus Bestimmungen wie der Datenschutzgrundverordnung (DSGVO) und dem Digital Services Act (DSA) bekannt, sieht auch die NIS-2 empfindliche Bußgelder bei Verstößen vor und führt somit den Trend zu potenziell hohen Sanktionen fort. Der Bußgeldrahmen beträgt für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, während bei wichtigen Einrichtungen die Sanktionen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes erreichen können. Neben dem Risiko solcher Bußgelder sieht die NIS-2 eine strenge Verantwortlichkeit für Leitungsorgane des Unternehmens vor, welche verpflichtet sind, die Umsetzung und Einhaltung der Risikomanagementmaßnahmen zu gewährleisten und zu überwachen.
Fazit
Es empfiehlt sich daher zu überprüfen, ob die neuen Regelungen für das eigene Unternehmen Relevanz haben. In dem Fall kann die Übergangsfrist genützt werden, um diesen neuen, strengeren Anforderungen gerecht zu werden. Das hilft nicht nur einer zentralen Herausforderung unserer Zeit vorbereitet zu begegnen, der Cyberkriminalität, und den Geschäftsbetrieb als auch das Image des Unternehmens zu schützen, sondern kann auch entscheidend sein, um erhebliche Bußgelder zu vermeiden.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.