NIS 2
Betroffene Unternehmen, Meldepflichten und Sanktionen

Europäische Cyber Security Richtlinie tangiert mehrere tausend österreichische Unternehmen

Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die NIS 2-Richtlinie in nationales Recht überführen. Welche Unternehmen sind von NIS 2 betroffen und wie sehen die Berichtspflichten bei Cyber Security Vorfällen aus? Wer haftet bei GmbHs und AGs?

Betroffene Unternehmen 

Nach unserer Schätzung werden ca. 3.400 große und mittlere Unternehmen in Österreich von NIS 2 betroffen sein. Ob die Organisation als wesentliche und wichtige Einrichtung eingestuft wird, hat keine Auswirkung auf die Umsetzung der geforderten Sicherheitsmaßnahmen - sehr wohl aber bei Aufsicht und Sanktionen. 
So werden bei wesentlichen Einrichtungen regelmäßige und gezielte Sicherheitsüberprüfungen sowie Stichprobenkontrollen gefordert, während wichtige Einrichtungen nur bei begründetem Verdacht überprüft werden müssen. 

 
Wesentliche Einrichtungen Wichtige Einrichtungen
  • Energie (Strom inkl. Fernwärme, Öl, Gas, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straßen)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheit (Gesundheitsdienstleister, EU-Referenzlaboratorien, Arzneimittelforschung und -entwicklung, pharmazeutische Grundstoffe und Präparate sowie medizinische Notfallgeräte)
  • Trinkwasser
  • Abwasser
  • Verwaltung von IKT-Diensten
  • Raumfahrt 
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Herstellung, Verarbeitung und Vertrieb von Lebensmitteln
  • Herstellung von medizinischen Geräten, Computern, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Maschinen und Ausrüstungen
  • Herstellung von Kraftfahrzeugen, Anhängern und Sattelanhängern sowie sonstigen Transportmitteln
  • Digitale Anbieter (Onlinemarktplätze, Onlinesuchmaschinen und Plattformen für soziale Netzwerkdienste) 
  • Forschung
 Abbildung 1: Wesentliche und wichtige Einrichtungen laut NIS 2-Verordnung

Im Finanzsektor gilt die Verordnung „Digital Operational Resilience Act“ (EU 2022/2554, kurz „DORA“) als sektorspezifischer Rechtsakt der Union (NIS 2 Artikel 4) und ist daher für diesen Sektor anzuwenden. 

Es gilt außerdem zu beachten, dass bei komplexen Unternehmensstrukturen eine Einzelfallprüfung dringend zu empfehlen ist! Für die Beurteilung ist eben nicht nur die Unternehmensgröße ausschlaggebend, sondern es muss auch geprüft werden, ob es sich um ein eigenständiges Unternehmen, ein Partner:innenunternehmen mit Beteiligungen zwischen 25- und 50 Prozent oder ein verbundenes Unternehmen mit Beteiligungen über 50 Prozent handelt.
 
Größenklasse Beschäftigte (VZÄ)  Jahresumsatz   Jahresbilanzsumme
Kleines Unternehmen (KU) 
Mittleres Unternehmen (MU)
Großes Unternehmen (GU)
< 50 und
< 250 und
≥ 250 oder
 ≤ EUR 10 Mio. oder
≤ EUR 50 Mio. oder
> EUR 50 Mio. und
≤ EUR 10 Mio.
≤ EUR 43 Mio.
>EUR 43 Mio
 Abbildung 2: Große, mittlere und kleine Unternehmen 


Es gibt auch bei kleinen Unternehmen Ausnahmen, damit diese unabhängig von ihrer Größe in den Anwendungsbereich der NIS 2 fallen. 
  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Services in einem Mitgliedstaat sind, der essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Zusätzlich müssen auch Dienstleister:innen und Lieferant:innen von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten. Das bedeutet, dass die Sicherheit der gesamten Lieferkette, einschließlich sicherheitsbezogener Aspekte zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbieter:innen oder Diensteanbieter:innen betrachtet und hinsichtlich ihres Cybersicherheitsrisikos bewertet werden muss.
 
Berichtspflichten bei Cyber Security Incidents
Bei erheblichen Cybersicherheitsvorfällen ist ein dreistufiges Meldeverfahren an die nationale Cybersicherheitsbehörde (Cybersecurity Incident Response Team, kurz CSIRT) vorgesehen:
  1. Unverzüglich; innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls. Frühwarnung (ggf. Verdacht auf rechtswidrige und schuldhafte Handlung oder grenzüberschreitende Auswirkungen)
  2. Unverzüglich; jedenfalls innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls. Meldung (Schweregrad, Auswirkungen, ggf. Kompromittierungsindikatoren)
  3. Spätestens einen Monat nach Frühwarnung: Abschlussbericht (Beschreibung Vorfall, einschließlich Schweregrad und Auswirkungen, Art der Bedrohung, Ursachen, Abhilfemaßnahmen)

Verstöße und Bußgeldrahmen
Die Leitungsorgane, also Geschäftsführer:in bei GmbHs und Vorstände bei Aktiengesellschaften, haben die Umsetzung aller Maßnahmen sicherzustellen sowie zu überwachen und können für Verstöße gegen NIS 2 verantwortlich gemacht werden. 
Der Bußgeldrahmen beträgt bei wesentlichen Einrichtungen EUR 10 Mio. oder 2 Prozent des weltweiten Umsatzes - abhängig davon, welcher Betrag höher ist. Bei wichtigen Einrichtungen beläuft sich der Bußgeldrahmen entweder auf EUR 7 Mio. oder 1,4 Prozent des weltweiten Umsatzes. 


Referenzen