Cybersicherheit – NIS2 – NISG2024

Der Folgende Artikel efasst sich mit der Sicherheit von Netz- und Informationssystemen (NIS) und gibt einen Einblick in die Cybersicherheits-Richtlinie NIS2 und das zur Begutachtung vorliegende  NISG 2024.

… aus dem Inhalt

1. Cybersicherheit in Europa und Österreich

2. Cybersicherheits-Richtlinie NIS2

2.1. Zielsetzung der NIS-2-Richtline
2.2. Änderungen im Rahmen der NIS-2-Richtline
2.3. Anwendungsbereich der NIS-2-Richtline
2.4. Betroffenheit & Prüfschema
2.5. Bußgelder und rechtliche Konsequenzen bei Nichteinhaltung der NIS-2-Richtline
2.6. Wesentliche Anforderungen der NIS-2-Richtline

(1) Unternehmerische Verantwortlichkeit
(2 )Cybersicherheit – Risikomanagement
(3) Berichtspflichten
(4) Zertifizierungsregelungen

3. Conclusio und Ausblick

1. Cybersicherheit in Europa und Österreich

Cyber Incidents, Cyber-Vorfälle, wie beispielsweise Cybercrime, Unterbrechungen von IT-Netzwerken und IT-Diensten, Malware, Ransomware und Datenschutzverletzungen führen mit 36% die Liste der wichtigsten Geschäftsrisiken global für 2024  an. In Österreich zählen Cyber-Vorfälle wie Datenpannen, Angriffe auf kritische Infrastruktur oder Vermögenswerte und vermehrte Ransomware-Attacken mit 40% zu den größten Risiken.

IT-Systemen wird eine zentrale Rolle in der Gesellschaft zugeschrieben und sowohl Verlässlichkeit als auch Sicherheit sind für wirtschaftliche und gesellschaftliche Tätigkeiten sowie das Funktionieren des Binnenmarkts entscheidend. Die Europäischen Union (EU) fordert ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen und veröffentlichte im EU-Amtsblatt als ersten Rechtsakt über Cybersicherheit in der EU mit 19.07.2016 die EU-Richtlinie 2016/1148, bekannt als NIS-Richtline. Diese wurde mit 28.12.2018 mit dem NIS-Gesetz in Österreich umgesetzt und betrifft vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste, wie Online-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste. Mit 17.07.2019 wurde die NIS-Verordnung (NISV) im Bundesgesetzblatt veröffentlicht.

Die Forderung nach mehr Cybersicherheit wächst stetig: Einerseits sind Maßnahmen notwendig und zu setzen, um der Entwicklung der Bedrohungslandschaft und steigenden Cyberkriminalität entgegenzuwirken. Die zunehmende Digitalisierung fordert andererseits ebenfalls die Umsetzung von Maßnahmen für mehr Sicherheit. Dies führte dazu, dass die EU-Richtlinie 2016/1148 durch die EU-Richtline 2022/2555 vom 14.12.2022 (Cybersicherheits-Richtlinie NIS2, NIS-2-Richtline), veröffentlicht im EU-Amtsblatt am 27.12.2022, aufgehoben wurde.

Die Cybersicherheits-Richtlinie NIS2 muss spätestens bis 17.10.2024 in nationales Recht umgesetzt sein. Weitere Übergangsfristen sind nicht vorgesehen. Nun liegt seit 03.04.2024 der erste Begutachtungsentwurf, das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024), für vier Wochen zur Begutachtung vor. Die Regelungen gelten für die betroffenen Einrichtungen mit Inkrafttreten des Gesetzes. Da es sich beim NISG 2024 um einen offiziellen Begutachtungsentwurf handelt, der im parlamentarischen Gesetzgebungsprozess noch abgeändert werden kann, sind die genannten Anforderungen noch nicht fix definiert. Ebenso ist der Zeitpunkt des Inkrafttretens noch offen.

[…]