NIS-2-Richtlinie (EU) 2022/2555

Schwerpunkt NIS-2-Richtlinie

Ein Schwerpunkt mit dem wir uns als Team derzeit besonders beschäftigen ist die NIS-2-Richtlinie (EU) 2022/2555, die bis zum 17. Oktober 2024 umzusetzen ist.

Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Cybersicherheit, die rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU enthält.

Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) stellt die Nachfolgerin der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union (NIS-Richtlinie) dar und wird diese inhaltlich endgültig mit 18. Oktober 2024 ersetzen.

"Die NIS-2-Richtlinie soll den bestehenden regulatorischen Defiziten, die sich beispielsweise aus der unterschiedlichen Umsetzung der NIS-Richtlinie in den Mitgliedstaaten der EU ergaben, harmonisierend besser entgegenwirken. Die grundlegende Zielsetzung der NIS-2-Richtlinie bleibt im Vergleich zur NIS-Richtlinie sinngemäß bestehen, nämlich in der Schaffung eines hohen gemeinsamen Niveaus der Cybersicherheit in der EU, dies aber in einem modernisierten Rechtsrahmen."

Nähere Informationen zu den wichtigsten Themen finden Sie auf der NIS-Webseite:

  • Die Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden
  • Die Pflicht für alle Mitgliedstaaten, zuständige nationale Behörden, Behörden für das Cyberkrisenmanagement, zentrale Anlaufstellen für Cybersicherheit und Computer-Notfallteams zu benennen oder einzurichten
  • Pflichten in Bezug auf das Cybersicherheitsrisikomanagement sowie Berichtspflichten für betroffene Einrichtungen
  • Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen
  • Aufsichts- und Durchsetzungspflichten

Die NIS-2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen. Mit der Umsetzung der NIS-2-Richtlinie in Österreich bedarf auch die bestehende Systematik rund um das NISG einer Anpassung.

Die NIS-2-Richtlinie gilt für öffentliche oder private Einrichtungen bzw. Unternehmen der in den zugehörigen Anhängen I (Sektoren mit hoher Kritikalität) und II (Sonstige kritische Sektoren) genannten Art, die die Obergrenzen für mittlere Unternehmen erreichen oder überschreiten und ihre Dienstleistungen in der Union erbringen oder ihre Tätigkeiten dort ausüben.

"Die genauere legistische Determinierung ist im Zuge der nationalen Umsetzung festzulegen, deren grundlegende Arbeiten bereits gestartet wurden. Zum gegenwärtigen Zeitpunkt kann der nationalen Umsetzung der NIS-2-Richtlinie bzw. der Ausgestaltung durch den österreichischen Gesetzgeber nicht vorgegriffen werden!"

Wir sind aber davon überzeugt dass die Beschäftigung mit Cybersicherheit und die Erstellung eines Business Continuity Plans für jedes Unternehmen sinnvoll und notwendig ist, unabhängig davon wann die NIS-2-Richtline in lokales Gesetz umgewandelt wird.

Daher bieten wir von der Statuserhebung bis zur Umsetzung eine vollständige Begleitung für die Vorbereitung auf die NIS-2-Richtline an und stehen Ihnen gerne für ein erstes Gespräch zur Verfügung.

Für eine kostenlose Erstberatung zum Thema NIS-2 buchen Sie hier einfach einen Termin.

Starterpaket NIS-2

Gerne bieten wir Ihnen als Einstieg ein Starterpaket aus der verpflichtenden Management Schulung und einer Erstanalyse an.

1) Schulung für Geschäftsführung

Wir halten (Online)-Trainings mit allen geforderten Inhalten ab:

  • Was ist die NIS2?
  • Warum braucht es die NIS2?
  • (Wie) bin ich betroffen?
  • Was ist der Inhalt der NIS2?
  • Welche Anforderungen ergeben sich daher für mein Unternehmen?
  • Typischer Ablaufplan für eine NIS2-Umsetzung

Wir bieten diese Schulungen individuell und nach Bedarf auch kurzfristig an. Damit haben Sie bereits den ersten Schritt zur Erfüllung der NIS-2 Direktive getan (Artikel 20, Absatz 2 "Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen an Schulungen teilnehmen"). Natürlich gibt es die Möglichkeit für umfangreichere Schulungen gemeinsam mit Experten zu Recht und anderen Aspekten.

2) Soll / Ist Analyse

In 3 Workshops erarbeiten wir mit Ihnen eine Dokumentation des aktuellen Erfüllungsgrades der NIS2 in Ihrem Unternehmen aus den Blickwinkeln:

  • Technologische Perspektive
  • Organisatorische Perspektive
  • Strategische Perspektive der Leitungsorgane

Dadurch sehen Sie, wie gut Sie bereits im Thema Cybersicherheit aufgestellt sind und erhalten auch eine Liste an offenen Anforderungen. Auf Basis dieser Analyse erstellen wir Ihnen gerne ein Angebot für die Umsetzung durch unser Expertenteam.

Ihr Expertenteam

Um die Richtlinie vollumfänglich in Unternehmen umzusetzen, braucht es Experten aus den unterschiedlichen Bereichen, die in der Regel nicht in einem einzigen Anbieterunternehmen zu finden sind:

  • Implementierung von Managementsystemen
  • IT-Security Lösungen zum Schutz der IT-Infrastruktur
  • Physische (Zutritts-)Sicherheit
  • Business Continuity Plan
  • Risikobetrachtung und Prüfungen der Lieferkette
  • Audit durch sogenannte akkreditierte Qualifizierte Stelle

Deshalb habe ich mich mit anerkannten Experten in einer Arbeitsgemeinschaft zusammengeschlossen und wir können daher alle Bereiche der Richtlinie für Sie analysieren und umsetzen.

NIS-2 Arbeitsgruppe Josef Hoeckner, Thomas Laszlo und Balint Ladanyi
Balint Ladanyi, Josef Hoeckner, Thomas Laszlo

Links:

NIS-2-Richtlinie (EurLex)

Die neue NIS-2-Richtlinie - Information auf nis.gv.at

Online-Ratgeber der WKO zum Thema "NIS 2 – ist mein Unternehmen betroffen?"

Empfehlung 2003/361/EG (EurLex) betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen

Inhaltsverzeichnis zur NIS-2-Richtlinie (PDF)

Openkritis Informationen zur EU-Richtlinien EU NIS2 und EU RCE (CER) in Deutschland