Bereit für NIS 2? Was die neue Richtlinie fordert und wie Sie jetzt handeln sollten
Der Countdown läuft: Ab Oktober 2024 wird in Österreich die von der europäischen Kommission im Dezember 2022 beschlossene erweiterte EU-Richtlinie NIS 2 in nationales Recht überführt. Das Ziel: Die Cyber-Resilienz und Gefahrenabwehr kritischer Infrastrukturen sollen europaweit gestärkt werden. Im Vergleich zum aktuell gültigen NIS-Gesetz wird der Kreis der betroffenen Unternehmen damit deutlich ausgeweitet. Was so manchem aktuell noch als Damoklesschwert am Horizont erscheint, eröffnet angesichts der steigenden Anzahl an Cyberangriffen in österreichischen Unternehmen auch enorme Chancen. Eine Studie von KPMG zeigt, dass in den letzten zwölf Monaten 100 Prozent der befragten Unternehmen Opfer mindestens einer Cyberattacke geworden sind. Erfahren Sie hier, wie Sie diese Chancen nutzen und Ihre IT-Landschaft schon jetzt fit für die Anforderungen von NIS 2 machen.
Inhalt
NIS 2 – das Wichtigste auf einen Blick
Wer muss die neuen Anforderungen erfüllen?
Jetzt handeln und die eigene Cyber-Resilienz stärken
Beratungsgespräch vereinbaren
NIS 2 – das Wichtigste auf einen Blick
NIS 2 ist eine Weiterentwicklung bestehender Regelungen zum Schutz der kritischen Netz- und Informationssysteme (NIS) in Europa. Die ursprüngliche Richtlinie stammt von 2016 und wurde 2018 in Österreich durch das NIS-Gesetz (NISG) umgesetzt. Dieses schreibt Unternehmen, die den Sektoren der kritischen Infrastruktur angehören vor, Mindestanforderungen an die IT-Sicherheit und Meldepflichten von IT-Sicherheitsvorfällen einzuhalten. Daran wird sich mit Umsetzung von NIS 2 im Grundsatz nichts ändern. Allerdings wird der Adressatenkreis deutlich ausgeweitet werden. Für betroffene Unternehmen bedeutet dies:
- Hohe Bußgelder bei Verstößen
Bei Nichtumsetzung der NIS 2-Vorgaben drohen hohe Bußgelder. Die EU sieht Strafen von mindestens 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes vor. Verhängt wird die höhere Strafe, es gilt das Maximumprinzip. Weitere Sanktionen können die Mitgliedstaaten im Zuge der Umsetzung noch definieren – sie müssen wirksam, verhältnismäßig und abschreckend ausfallen. - Persönliche Haftung der Unternehmensverantwortlichen
NIS 2 nimmt das Management betroffener Unternehmen in die persönliche Haftung. Sprich: Werden nach Cyber-Sicherheitsvorfällen Verstöße gegen die Vorgaben von NIS 2 festgestellt, haften Geschäftsführende, Vorstände und leitende Organe für Schäden mit ihrem eigenen Vermögen.
- Erhöhte Anforderungen an das Risikomanagement und die IT-Sicherheit
NIS 2-Unternehmen müssen künftig umfassende technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netzwerk- und Informationssysteme zu gewährleisten. Dies setzt eine ganzheitliche IT-Sicherheitsstrategie und entsprechende Lösungen voraus: dazu gehören etwa ein Informationssicherheits-Managementsystem (ISMS), Security-Schulungen, sichere Authentifizierungslösungen und KI-basierte Security-Konzepte sowie ein Security Operation Center (SOC). - Verschärfte Meldepflichten und ein optimiertes Incident-Management
Damit Unternehmen ihre Geschäftstätigkeit nach einem Sicherheitsvorfall zeitnah wieder aufnehmen können, muss ein Business Continuity Management implementiert sein – inklusive geeigneter Backup- und Recovery-Prozesse. Zudem müssen Sicherheitsvorfälle innerhalb von 24 Stunden dem Computer Emergency Response Team Austria (CERT.at) gemeldet werden. Hinzu kommen weitere Berichtspflichten. - Neue Kontrollpflichten im Hinblick auf die Lieferketten
Ob Unternehmen ihren Geschäftstätigkeiten nachgehen können oder nicht, hängt nicht nur von deren eigener IT- und Netzwerk-Sicherheit ab. Entscheidend sind auch die Lieferketten und damit alle wesentlichen Zulieferer. Auch diese können Opfer von Cyber-Kriminalität werden. Um die Risiken zu minimieren, müssen unter NIS 2 fallende Unternehmen künftig auch die Netzwerk- und Informationssicherheit ihrer Zulieferer bewerten und von diesen die Einhaltung der Standards verlangen. Durch diese Hintertür wird NIS 2 einen noch mal stark erweiterten Kreis von Unternehmen erreichen.
Wer muss die neuen Anforderungen erfüllen?
Die neuen Vorgaben richten sich an Unternehmen aus 18 verschiedenen Wirtschaftssektoren. Ob ein Unternehmen unter die neue Richtlinie fällt, hängt zudem von Kriterien wie der Anzahl der Beschäftigten und dem Umsatz ab.
Folgende Grafik bietet einen groben Überblick über die betroffenen Sektoren:
Jetzt handeln und die eigene Cyber-Resilienz stärken
Fakt ist: NIS 2 kommt und wird die Netzwerk- und Informationssicherheit der Unternehmen in Europa auf ein höheres Niveau heben. Das sind angesichts der für Unternehmen entstehenden enormen Schäden durch Cyberkriminalität gute Nachrichten. Die noch bessere Nachricht für Sie lautet: Wenn Sie nicht warten, bis der Gesetzgeber Fakten geschaffen hat, sondern jetzt handeln, ersparen Sie sich später unnötige Hauruck-Aktionen. Denn auch, wenn die neue Richtlinie national noch nicht verabschiedet ist, sind die geforderten technischen Maßnahmen zur Stärkung der Cyber-Resilienz klar.
Am besten starten Sie daher noch heute mit der Umsetzung und Integration erforderlicher technischer Lösungen wie etwa einer Multi-Faktor-Authentifizierung. Damit Ihnen dies möglichst effizient und ressourcenschonend – auch im Hinblick auf die Auslastung der eigenen Fachkräfte – gelingt, stehen Ihnen die Expert:innen von ACP IT Solutions mit ihrer Expertise sowie führenden technischen Lösungen gerne Seite.
Ihre Vorteile: Indem Sie die NIS 2-Anforderungen mit ACP schon heute umsetzen, erhöhen Sie die Cybersicherheit Ihres Unternehmens. Die Umsetzung weckt und stärkt das Vertrauen von Kunden, Partnern und Lieferanten. Dadurch erschließen Sie sich neue Marktpotenziale und Geschäftsmöglichkeiten. Zudem erfüllen Sie mit einer NIS 2-konformen IT-Landschaft strengste Compliance-Anforderungen und vermeiden in Zukunft etwaige rechtliche oder finanzielle Konsequenzen.
Erfahren Sie hier, wie Sie die NIS 2-Richtlinie umsetzen und die digitale Resilienz Ihres Unternehmens stärken: Zur Checkliste
Jetzt Beratungsgespräch vereinbaren
Checkliste:
Fit für die EU NIS 2 Richtlinie
Erfahren Sie, wie Sie die NIS 2-Richtlinie umsetzen und die digitale Resilienz Ihres Unternehmens stärken.
Jetzt teilen
Das könnte Sie auch interessieren
Ähnliche Beiträge