NIS-2-Richtlinie: Stärkung der Cybersicherheit

Geschätzte Lesedauer: 2 Minuten
NIS 2 textuell und im Hintergrund ein Server
Autor:in:
Marlene
Eisschiel
//
15.11.2024
Die digitale Welt von heute ist eng vernetzt und bietet unzählige Vorteile. Doch mit den Vorteilen gehen auch Risiken einher. Cyber-Angriffe und Sicherheits­lücken können fatale Folgen haben. Um diese Risiken zu mini­mieren, hat die Europäische Union die NIS-2-Richtlinie ins Leben gerufen. Ziel der Richtlinie ist die Stärkung der Cyber­sicherheit in der ge­samten EU. Von dieser Richtlinie betroffen sind mittlere und große Unternehmen in Infrastru­ktur-kritischen Branchen.

Die Bedeutung von NIS und die aktuelle Regelung

NIS steht für die Sicherheit der Netz- und Informations­systeme. Derzeit gilt die NIS-Richt­linie aus dem Jahr 2016, die vor allem Unter­nehmen kritischer Infra­strukturen und Anbieter digitaler Dienste wie Online-Marktplätze oder Cloud-Computing-Dienste betrifft.

Inkrafttreten der neuen NIS-2-Richtlinie

Die NIS-2-Richtlinie muss bis zum 17. Okto­ber 2024 in den EU-Mitgliedstaaten umge­setzt werden. Wann die Umsetzung in Österreich erfolgt, ist derzeit noch offen. Die Regelungen gelten für die betroffenen Unternehmen erst, wenn das NISG 2024 auch in Österreich in Kraft tritt. Auch wenn der Zeitpunkt noch unklar ist, müssen die Regelungen verpflichtend umgesetzt werden. Die Verzögerung kann genutzt werden, um die Maßnahmen voran­zu­treiben.
Hand mit XORTEX-Stift, Notizblock, Keyboard, Laptop

Das Ziel und die Vorgaben an Unternehmen

Ziel der NIS-2-Richtlinie ist es, die Wider­stands­fähigkeit und Reaktions­fähigkeit bei Sicherheits­vorfällen in der EU zu verbessern. Es soll ein hohes gemeinsames Cyber­sicherheits­niveau in der EU geschaffen werden. Die neue Richtlinie betrifft wesentlich mehr Unternehmen als die bisherige. Auf dieser Seite der WKO kann man nachlesen ob man als Unternehmen betroffen ist.

Die betroffenen Unternehmen müssen sich innerhalb von 3 Monaten bei den zuständigen Behörden registrieren. Es gibt 10 Risiko­management­maßnahmen, die von den betroffenen Unternehmen ergriffen werden müssen. Einige Beispiele sind:

  • Erstellung eines Risiko­management- und Sicherheits­konzeptes für Informations­systeme
    Technische, operative und organisa­torische Maßnahmen müssen ergriffen werden, um die Auswirkungen von Sicherheits­vorfällen zu verhindern oder zu minimieren.
  • Bewältigung von Sicherheits­vorfällen
  • Krisen­management
  • Schulungen zur Cyber­sicherheit

Bei diesen Risiko­management­maßnahmen sind der Stand der Technik, europäische und internationale Normen, die Kosten der Umsetzung und das bestehende Risiko zu berück­sichtigen.

Bei größeren Sicherheits­vorfällen müssen die Unternehmen in einem dreistufigen Verfahren eine Meldung zu dem Vorfall abgeben.

  1. eine Frühwarnung innerhalb von 24 Stunden
  2. eine Meldung innerhalb von 72 Stunden
  3. ein Abschlussbericht spätestens nach einem Monat nach der Frühwarnung

Mögliche Konsequenzen bei Nicht-Einhaltung

Die Sanktionen können bei wesent­lichen Unternehmen bis zu 10 Millionen Euro oder 2 % des Jahres­umsatzes betragen. Bei wichtigen Unternehmen bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Es drohen aber nicht nur Bußgelder, sondern auch rechtliche Konsequenzen.
Server von der Seite

Warum wir als XORTEX von der neuen Richtlinie betroffen sind

Wir sind DNS-Dienstanbieter – diese Unter­nehmen fallen unabhängig von der Unternehmens­größe in den Anwendungs­bereich. Laut Definition in der NIS-2-Richtlinie sind wir als wesentliches Unternehmen einge­stuft. Wir müssen daher mit regel­mäßigen und gezielten Sicherheits­prüfungen und Stich­proben­kontrollen rechnen.

Als DNS-Dienstleister ermöglichen wir Unter­nehmen und Privat­personen die Registrierung und Verwaltung des gewünschten Domain­namens. Außerdem sorgen wir dafür, dass Ihre Website im Internet erreichbar ist.

Wenn Sie weitere Fragen zur NIS 2-Richtlinie haben, zögern Sie nicht, uns zu kontaktieren.

Zum Kontaktformular