Europäische Cyber Security Richtlinie tangiert mehrere tausend österreichische Unternehmen
Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die NIS 2-Richtlinie in nationales Recht überführen. Welche Unternehmen sind von NIS 2 betroffen und wie sehen die Berichtspflichten bei Cyber Security Vorfällen aus? Wer haftet bei GmbHs und AGs?
Betroffene Unternehmen
So werden bei wesentlichen Einrichtungen regelmäßige und gezielte Sicherheitsüberprüfungen sowie Stichprobenkontrollen gefordert, während wichtige Einrichtungen nur bei begründetem Verdacht überprüft werden müssen.
Wesentliche Einrichtungen | Wichtige Einrichtungen |
|
|
Im Finanzsektor gilt die Verordnung „Digital Operational Resilience Act“ (EU 2022/2554, kurz „DORA“) als sektorspezifischer Rechtsakt der Union (NIS 2 Artikel 4) und ist daher für diesen Sektor anzuwenden.
Es gilt außerdem zu beachten, dass bei komplexen Unternehmensstrukturen eine Einzelfallprüfung dringend zu empfehlen ist! Für die Beurteilung ist eben nicht nur die Unternehmensgröße ausschlaggebend, sondern es muss auch geprüft werden, ob es sich um ein eigenständiges Unternehmen, ein Partner:innenunternehmen mit Beteiligungen zwischen 25- und 50 Prozent oder ein verbundenes Unternehmen mit Beteiligungen über 50 Prozent handelt.
Größenklasse | Beschäftigte (VZÄ) | Jahresumsatz | Jahresbilanzsumme |
Kleines Unternehmen (KU) Mittleres Unternehmen (MU) Großes Unternehmen (GU) |
< 50 und < 250 und ≥ 250 oder |
≤ EUR 10 Mio. oder ≤ EUR 50 Mio. oder > EUR 50 Mio. und |
≤ EUR 10 Mio. ≤ EUR 43 Mio. >EUR 43 Mio |
Es gibt auch bei kleinen Unternehmen Ausnahmen, damit diese unabhängig von ihrer Größe in den Anwendungsbereich der NIS 2 fallen.
- Vertrauensdiensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
- TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
- Unternehmen, die alleiniger Anbieter eines Services in einem Mitgliedstaat sind, der essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
Zusätzlich müssen auch Dienstleister:innen und Lieferant:innen von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten. Das bedeutet, dass die Sicherheit der gesamten Lieferkette, einschließlich sicherheitsbezogener Aspekte zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbieter:innen oder Diensteanbieter:innen betrachtet und hinsichtlich ihres Cybersicherheitsrisikos bewertet werden muss.
Berichtspflichten bei Cyber Security Incidents
Bei erheblichen Cybersicherheitsvorfällen ist ein dreistufiges Meldeverfahren an die nationale Cybersicherheitsbehörde (Cybersecurity Incident Response Team, kurz CSIRT) vorgesehen:- Unverzüglich; innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls. Frühwarnung (ggf. Verdacht auf rechtswidrige und schuldhafte Handlung oder grenzüberschreitende Auswirkungen)
- Unverzüglich; jedenfalls innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls. Meldung (Schweregrad, Auswirkungen, ggf. Kompromittierungsindikatoren)
- Spätestens einen Monat nach Frühwarnung: Abschlussbericht (Beschreibung Vorfall, einschließlich Schweregrad und Auswirkungen, Art der Bedrohung, Ursachen, Abhilfemaßnahmen)
Verstöße und Bußgeldrahmen
Die Leitungsorgane, also Geschäftsführer:in bei GmbHs und Vorstände bei Aktiengesellschaften, haben die Umsetzung aller Maßnahmen sicherzustellen sowie zu überwachen und können für Verstöße gegen NIS 2 verantwortlich gemacht werden. Der Bußgeldrahmen beträgt bei wesentlichen Einrichtungen EUR 10 Mio. oder 2 Prozent des weltweiten Umsatzes - abhängig davon, welcher Betrag höher ist. Bei wichtigen Einrichtungen beläuft sich der Bußgeldrahmen entweder auf EUR 7 Mio. oder 1,4 Prozent des weltweiten Umsatzes.
Referenzen
- [NIS1] RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union - https://eur-lex.europa.eu/eli/dir/2016/1148/oj
- [NIS2] RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) - https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- [NISG] Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) - https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010536
- [NISV] Verordnung des Bundesministers für EU, Kunst, Kultur und Medien zur Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen nach dem Netz- und Informationssystemsicherheitsgesetz (Netz- und Informationssystemsicherheitsverordnung – NISV) - https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010722