Bild: Shutterstock
Die Cyberlandschaft verändert sich rasant. Mit der NIS2-Richtlinie steht Unternehmen in Österreich und ganz Europa eine neue Herausforderung bevor. Doch was genau bedeutet diese Richtlinie der Network and Information Systems Directive? Welche konkreten Auswirkungen hat sie auf die IT-Sicherheit und welche Maßnahmen sind erforderlich, um die neuen Anforderungen zu erfüllen? Wir haben die Juristin Christine Knecht-Kleber zum Interview gebeten:
Dr. Christine Knecht-Kleber, LL.M. über NIS2 aus rechtlicher Sicht:
Vereinfacht gesagt beabsichtigt die EU durch die NIS2-RL den Rechtsrahmen für ein gemeinsames Cybersicherheitsniveau in der EU zu verbessern und die Cyberresilienz zu stärken. Die Cyberattacken und die Cyberkriminalität haben seit Erlass der NIS-RL 2016 signifikant zugenommen. Untersuchungen haben gezeigt, dass die bisher getroffenen Maßnahmen nicht ausreichend waren und dass es erhebliche Schwankungen in den Mitgliedstaaten gibt. Diese Defizite will der EU-Gesetzgeber beseitigen.
Derzeit gibt es noch kein NIS2-Gesetz, sondern lediglich einen sogenannten Ministerialentwurf, welcher die Vorgaben der NIS2-Richtlinie in nationales Recht umsetzen soll. Das ist für sämtliche Beteiligte und Betroffene unbefriedigend als die Umsetzungsfrist am 17.10.2024 endet. Unternehmen sind gut beraten nicht zuzuwarten und sich mit den Vorgaben der NIS2-RL auseinanderzusetzen. Der Ministerialentwurf unterscheidet sich – soweit ersichtlich – nicht maßgeblich von der NIS2-Richtlinie. Die Vorbereitungshandlungen sind sehr umfangreich und die Fristen für die Berichts- und Meldepflichten eher kurz.
Der Anwendungsbereich von NIS2 ist erheblich erweitert worden. Während bisher Betreiber von kritischen Infrastrukturen (Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheitswesen, Trinkwasserversorgung, Digitale Infrastrukturen) und bestimmte Anbieter digitaler Dienste erfasst waren, ist die Zahl der betroffenen Einrichtungen nun viel größer. Es geht nicht mehr allein um kritische Infrastrukturen, sondern um wesentliche und wichtige Einrichtungen. Für deren Einordnung hat der EU-Gesetzgeber zwei umfangreiche Anlagen zur NIS2-RL geschaffen.
Durch die Einbeziehung der Sicherheit der Lieferkette ist der Anwendungsbereich zusätzlich breiter geworden. Unternehmen werden ihre Dienstleister und Lieferanten iS Cybersicherheit überprüfen müssen. Somit kann es auch kleine Unternehmen treffen, NIS2-compliant zu sein/werden.
Die genannten Anlagen enthalten zum Teil nur vage Angaben. Insbesondere bei Unternehmen mit mehreren Standbeinen oder in Konzernstrukturen ist der Geltungsbereich nicht immer leicht zu bestimmen. Ebenso die Frage, ob es sich um eine wesentliche oder „nur“ um eine wichtige Einrichtung handelt. Diese Unterscheidung ist relevant für die zu erfüllenden Melde- und Berichtspflichten. Auch gibt es unterschiedlich hohe Strafrahmen. Hinzu kommt die derzeit noch unverbindliche gesetzliche Lage in Österreich.
Best Practice ist es wohl, sich mit der Umsetzung der in der Anlage 3 zum NIS2-Gesetz bzw. dessen Entwurf genannten Risikomanagement-Maßnahmen zu befassen. Sie stellen einen Mindeststandard dar.
Mittlere und große Unternehmen sind betroffen, soweit sie eine Tätigkeit ausüben, die in der Anlage 1 oder 2 genannt ist.
Für die Bestimmung der Unternehmensgröße wird auf die Empfehlung der EU-Kommission verwiesen. Große Unternehmen sind jene mit mehr als 250 Mitarbeiter:innen und einem Jahresumsatz von mehr als EUR 50 Mio. oder einer Jahresbilanzsumme von über EUR 43 Mio. Kleinunternehmen haben weniger als 50 Beschäftigte und einen EUR 10 Mio. nicht übersteigenden Jahresumsatz/Jahresbilanzsumme; sie sind idR von NIS2 ausgenommen, es sei denn, es greift eine Ausnahme oder es gibt Berührungspunkte über die Lieferkette.
Es drohen empfindliche Strafen, bis zu EUR 10 Mio. oder bis zu 2 % des gesamten weltweit im vorangegangenen Geschäftsjahr getätigten Umsatzes für wesentliche Einrichtungen, je nachdem welcher Betrag höher ist. Bei wichtigen Einrichtungen können die Strafen bis zu EUR 7 Mio. bzw. bis zu 1,4 % des gesamten weltweit im vorangegangenen Geschäftsjahr getätigten Umsatzes betragen.
Um sicherzustellen, ob man tatsächlich als wesentliche oder wichtige Einrichtung gilt, ist es ratsam diese Frage von Rechtsexpert:innen abklären zu lassen, um in weiterer Folge durch IT-Experte:innen im Rahmen eines umfassenden Projekts den Prozess der Umsetzung entsprechend fundiert aufsetzen zu können.
Dr. Christine Knecht-Kleber, LL.M. können Sie das nächste Mal beim IT-Security & Cyber Crime Summit WEST am 2. Oktober live erleben. Dort ebenfalls zum Thema: NIS 2 aus rechtlicher Sicht - wo geht die Reise hin?
