Schon NIS 2-ready? Die Zeit wird knapp!“

Der Weg von der Gap-Analyse bis hin zur Erfüllung der Anforderungen.

Die Frist für die Erfüllung der Anforderungen nach NIS 2 in einem nationalen Gesetz (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) ist verstrichen! 

Sind sie schon NIS 2-ready?
Viele Unternehmen sind bereits damit beschäftigt, die Prozesse rund um ihre interne Informationssicherheit zu verbessern. BDO unterstützt dabei als qualifizierte Stelle (QuaSte), die Wirksamkeit bereits getroffener Maßnahmen zu evaluieren, um rasch und effizient notwendige Maßnahmen in Richtung NIS 2-Konformität einleiten zu können. In diesem Zusammenhang bieten wir umfassende Lösungen, die Ihr Unternehmen bis zur NIS 2 Compliance bringen.   

Betroffenheitsnanalyse 
Im Blogartikel NIS 2 Betroffene Unternehmen, Meldepflichten und Sanktionen erfahren Sie mehr über wesentliche sowie wichtige Einrichtungen und weitere Faktoren wie Unternehmensgröße und Ausnahmen bzgl. Betroffenheit und Meldepflichten. Sollten Sie sich nicht sicher sein, ob auch Ihr Unternehmen von der NIS 2 betroffen ist, wenden Sie sich direkt an die BDO Expert:innen! Im Zuge dessen erhalten Sie eine rasche und unbürokratische Auskunft. 

NIS 2 Gap-Analyse
Gemeinsam evaluieren wir den Umsetzungsgrad der Anforderungen nach NIS 2 in Ihrem Unternehmen und liefern ein Gesamtbild Ihrer aktuellen Situation. Dabei werden relevante Abweichungen bereits bestehender Maßnahmen und Prozesse zur NIS 2 aufgezeigt. Für identifizierte Abweichungen (Gaps) erstellen wir eine Liste mit konkreten Empfehlungen inkl. Umsetzungsplanung und unterstützen Sie bei Bedarf bei deren Implementierung. Das Ergebnis des Assessments wird in einem Bericht detailliert dargestellt. Gerne begleiten wir Sie auch hier bei der weiteren Umsetzung!        


Wesentliche Bereiche zur Erfüllung der Anforderugnen von NIS 2
Der aktuelle Entwurf des österreichischen NISG2024 umfasst 13 Kapitel zu Risikomanagementmaßnahmen. Darunter fallen z.B. Themen wie die Konzepte hinsichtlich Risikoanalyse und Sicherheit für Informationssysteme, die Gewährleistung der Aufrechterhaltung des Betriebs (insbesondere aller kritischen Dienstleistungen) nach Vorfällen oder Asset Management. Die folgenden 4 Bereiche sollten besonders hervorgehoben werden:
  1. Implementierung von robusten Sicherheitsrichtlinien und -verfahren: Erweiterte Sicherheitsrichtlinien sowie -verfahren sollen die Resilienz der Unternehmen nachhaltig steigern und diese gegenüber Angriffen widerstandsfähiger machen. 
  2. Regelmäßige Schulungen und Sensibilisierung Ihrer Mitarbeiter:innen für Sicherheitsrisiken: Ein wesentlicher Erfolgsfaktor bezüglich Informationssicherheitsmaßnahmen ist die Awareness innerhalb Ihrer Belegschaft. Diese kann durch qualitativ hochwertige, regelmäßige Schulungen erreicht werden.
  3. Kontinuierliche Überwachung und Bewertung Ihrer Informationssysteme: Informationssicherheit ist ein stetiger Prozess, nie ein Zustand! 
  4. Einführung von Notfallplänen und -maßnahmen zur schnellen Reaktion auf potenzielle Bedrohungen oder Ausfälle: Bei erheblichen Cybersicherheitsvorfällen ist ein dreistufiges Meldeverfahren an die nationale Cybersicherheitsbehörde (Cybersecurity Incident Response Team, kurz CSIRT) vorgesehen:
    • Unverzüglich (innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls): Frühwarnung (ggf. Verdacht auf rechtswidrige und schuldhafte Handlungen oder grenzüberschreitende Auswirkungen)
    • Unverzüglich (jedenfalls innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls): Meldung (Schweregrad, Auswirkungen, ggf. Kompromittierungsindikatoren)
    • Spätestens einen Monat nach der Frühwarnung: Abschlussbericht (Beschreibung des Vorfalls, einschließlich Schweregrad und Auswirkungen, Art der Bedrohung, Ursachen, Abhilfemaßnahmen)
   

Haftung und Geldbußen bei Verstößen
Verstöße gegen die Verpflichtungen können mit empfindlichen Geldbußen geahndet werden. Die Leitungsorgane, also Geschäftsführer:innen bei GmbHs und Vorstände bei Aktiengesellschaften, haben die Umsetzung aller Maßnahmen sicherzustellen sowie zu überwachen und können für Verstöße gegen NIS 2 verantwortlich gemacht werden. Der Bußgeldrahmen beträgt bei wesentlichen Einrichtungen EUR 10 Mio. oder 2% des weltweiten Umsatzes - abhängig davon, welcher Betrag höher ist. Bei wichtigen Einrichtungen beläuft sich der Bußgeldrahmen entweder auf EUR 7 Mio. oder 1,4% des weltweiten Umsatzes.
         

Cyber Security Förderungen in Österreich

Im Artikel Cyber Security Förderungen 2024 in ganz Österreich - BDO erfahren Sie, welche Förderungen es in Österreich und den einzelnen Bundesländern für die Umsetzung von Cyber Security Maßnahmen gibt.
 

Links

•    Cyber Security Förderungen 2024 in ganz Österreich
•    NIS 2 Assessment 
•    NIS 2 Betroffene Unternehmen, Meldepflichten und Sanktionen
•    BDO als NIS-qualifizierte Stelle 

 


Referenzen

Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME) | Parlament Österreich (NEU)

[NIS1] RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union - https://eur-lex.europa.eu/eli/dir/2016/1148/oj

[NIS2] RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) - https://eur-lex.europa.eu/eli/dir/2022/2555/oj

[NISG] Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) - https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010536

[NISV] Verordnung des Bundesministers für EU, Kunst, Kultur und Medien zur Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen nach dem Netz- und Informationssystemsicherheitsgesetz (Netz- und Informationssystemsicherheitsverordnung – NISV) - https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010722