Network & Security

Bereit für NIS 2? Was die neue Richtlinie fordert und wie Sie jetzt handeln sollten

Daniel Mayer-Scheidl
von Daniel Mayer-Scheidl
3 Min. Lesezeit
2. November 2023

Der Countdown läuft: Ab Oktober 2024 wird in Österreich die von der europäischen Kommission im Dezember 2022 beschlossene erweiterte EU-Richtlinie NIS 2 in nationales Recht überführt. Das Ziel: Die Cyber-Resilienz und Gefahrenabwehr kritischer Infrastrukturen sollen europaweit gestärkt werden. Im Vergleich zum aktuell gültigen NIS-Gesetz wird der Kreis der betroffenen Unternehmen damit deutlich ausgeweitet. Was so manchem aktuell noch als Damoklesschwert am Horizont erscheint, eröffnet angesichts der steigenden Anzahl an Cyberangriffen in österreichischen Unternehmen auch enorme Chancen. Eine Studie von KPMG zeigt, dass in den letzten zwölf Monaten 100 Prozent der befragten Unternehmen Opfer mindestens einer Cyberattacke geworden sind. Erfahren Sie hier, wie Sie diese Chancen nutzen und Ihre IT-Landschaft schon jetzt fit für die Anforderungen von NIS 2 machen.

Inhalt

NIS 2 – das Wichtigste auf einen Blick
Wer muss die neuen Anforderungen erfüllen?
Jetzt handeln und die eigene Cyber-Resilienz stärken
Beratungsgespräch vereinbaren

 

NIS 2 – das Wichtigste auf einen Blick

NIS 2 ist eine Weiterentwicklung bestehender Regelungen zum Schutz der kritischen Netz- und Informationssysteme (NIS) in Europa. Die ursprüngliche Richtlinie stammt von 2016 und wurde 2018 in Österreich durch das NIS-Gesetz (NISG) umgesetzt. Dieses schreibt Unternehmen, die den Sektoren der kritischen Infrastruktur angehören vor,  Mindestanforderungen an die IT-Sicherheit und Meldepflichten von IT-Sicherheitsvorfällen einzuhaltenDaran wird sich mit Umsetzung von NIS 2 im Grundsatz nichts ändernAllerdings wird der Adressatenkreis deutlich ausgeweitet werdenFür betroffene Unternehmen bedeutet dies:  

  • Hohe Bußgelder bei Verstößen  
    Bei Nichtumsetzung der NIS 2-Vorgaben drohen hohe Bußgelder. Die EU sieht Strafen von mindestens 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes vor. Verhängt wird die höhere Strafe, es gilt das Maximumprinzip. Weitere Sanktionen können die Mitgliedstaaten im Zuge der Umsetzung noch definieren – sie müssen wirksam, verhältnismäßig und abschreckend ausfallen. 

  • Persönliche Haftung der Unternehmensverantwortlichen
    NIS 2 nimmt das Management betroffener Unternehmen in die persönliche Haftung. Sprich: Werden nach Cyber-Sicherheitsvorfällen Verstöße gegen die Vorgaben von NIS 2 festgestellt, haften Geschäftsführende, Vorstände und leitende Organe für Schäden mit ihrem eigenen Vermögen
     
  • Erhöhte Anforderungen an das Risikomanagement und die IT-Sicherheit
    NIS 2-Unternehmen müssen künftig  umfassende technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netzwerk- und Informationssysteme zu gewährleisten. Dies setzt eine ganzheitliche IT-Sicherheitsstrategie und entsprechende Lösungen voraus: dazu gehören etwa ein Informationssicherheits-Managementsystem (ISMS), Security-Schulungen, sichere Authentifizierungslösungen und KI-basierte Security-Konzepte sowie ein Security Operation Center (SOC).

  • Verschärfte Meldepflichten und ein optimiertes Incident-Management
    Damit Unternehmen ihre Geschäftstätigkeit nach einem Sicherheitsvorfall zeitnah wieder aufnehmen können, muss ein Business Continuity Management implementiert sein – inklusive geeigneter Backup- und Recovery-Prozesse. Zudem müssen Sicherheitsvorfälle innerhalb von 24 Stunden dem Computer Emergency Response Team Austria (CERT.at) gemeldet werden. Hinzu kommen weitere Berichtspflichten.

  • Neue Kontrollpflichten im Hinblick auf die Lieferketten
    Ob Unternehmen ihren Geschäftstätigkeiten nachgehen können oder nicht, hängt nicht nur von deren eigener IT- und Netzwerk-Sicherheit ab. Entscheidend sind auch die Lieferketten und damit alle wesentlichen Zulieferer. Auch diese können Opfer von Cyber-Kriminalität werden. Um die Risiken zu minimieren, müssen unter NIS 2 fallende Unternehmen künftig auch die Netzwerk- und Informationssicherheit ihrer Zulieferer bewerten und von diesen die Einhaltung der Standards verlangen. Durch diese Hintertür wird NIS 2 einen noch mal stark erweiterten Kreis von Unternehmen erreichen.

 

Wer muss die neuen Anforderungen erfüllen?

Die neuen Vorgaben richten sich an Unternehmen aus 18 verschiedenen Wirtschaftssektoren. Ob ein Unternehmen unter die neue Richtlinie fällt, hängt zudem von Kriterien wie der Anzahl der Beschäftigten und dem Umsatz ab.  

Folgende Grafik bietet einen groben Überblick über die betroffenen Sektoren:

NIS 2.0 | Sektoren hoher Kritikalität

 

 

Jetzt handeln und die eigene Cyber-Resilienz stärken

Fakt ist: NIS 2 kommt und wird die Netzwerk- und Informationssicherheit der Unternehmen in Europa auf ein höheres Niveau heben. Das sind angesichts der für Unternehmen entstehenden enormen Schäden durch Cyberkriminalität gute Nachrichten. Die noch bessere Nachricht für Sie lautet: Wenn Sie nicht warten, bis der Gesetzgeber Fakten geschaffen hat, sondern jetzt handeln, ersparen Sie sich später unnötige Hauruck-Aktionen. Denn auch, wenn die neue Richtlinie national noch nicht verabschiedet ist, sind die geforderten technischen Maßnahmen zur Stärkung der Cyber-Resilienz klar.  

Am besten starten Sie daher noch heute mit der Umsetzung und Integration erforderlicher technischer Lösungen wie etwa einer Multi-Faktor-Authentifizierung. Damit Ihnen dies möglichst effizient und ressourcenschonend – auch im Hinblick auf die Auslastung der eigenen Fachkräfte – gelingt, stehen Ihnen die Expert:innen von ACP IT Solutions mit ihrer Expertise sowie führenden technischen Lösungen gerne Seite.  

Ihre Vorteile: Indem Sie die NIS 2-Anforderungen mit ACP schon heute umsetzen, erhöhen Sie die Cybersicherheit Ihres Unternehmens. Die Umsetzung weckt und stärkt das Vertrauen von Kunden, Partnern und Lieferanten. Dadurch erschließen Sie sich neue Marktpotenziale und Geschäftsmöglichkeiten. Zudem erfüllen Sie mit einer NIS 2-konformen IT-Landschaft strengste Compliance-Anforderungen und vermeiden in Zukunft etwaige rechtliche oder finanzielle Konsequenzen. 

Erfahren Sie hier, wie Sie die NIS 2-Richtlinie umsetzen und die digitale Resilienz Ihres Unternehmens stärken: Zur Checkliste

 

Jetzt Beratungsgespräch vereinbaren

 

Checkliste:
Fit für die EU NIS 2 Richtlinie

Erfahren Sie, wie Sie die NIS 2-Richtlinie umsetzen und die digitale Resilienz Ihres Unternehmens stärken.

NIS2 grafik - weißer hintergrund
 

Jetzt herunterladen

Nächster Blogpost
← Vertrauen ist keine Option: Warum Zero Trust notwendig ist
Vorheriger Blogpost
Bereit für NIS 2? Was die neue Richtlinie fordert und wie Sie jetzt handeln sollten →
Zero Trust everywhere: Die Rolle von SASE-Lösungen in der Cybersicherheit
HPE Aruba Networking

Zero Trust everywhere: Die Rolle von SASE-Lösungen in der Cybersicherheit

12. April 2024 5 Min. Lesezeit
Maximale Sicherheit mit der Ransomwaresicheren Backup Lösung von ACP
Network & Security

Maximale Sicherheit mit der Ransomwaresicheren Backup Lösung von ACP

6. September 2021 5 Min. Lesezeit
IT-Sicherheit: 3 Tipps, wie Sie Ihre Mitarbeitenden vor Angriffen schützen
Modern Workplace

IT-Sicherheit: 3 Tipps, wie Sie Ihre Mitarbeitenden vor Angriffen schützen

13. November 2023 3 Min. Lesezeit

Updates for innovators:
Abonnieren Sie unseren Blog.