Die NIS-2-RL (RL (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist die Nachfolgerin der ursprünglichen RL für die Netz- und Informationssicherheit aus dem Jahr 2016, die am 28. Dezember 2018 mit dem NISG umgesetzt wurde. Die aufgrund der Bestimmungen des § 4 Abs. 2 NISG erforderliche Netz- und Informationssystemsicherheitsverordnung (NISV) wurde am 17. Juli 2019 verlautbart.
Die Definition der neuen NIS-2-RL wurde notwendig, weil die ursprüngliche NIS-RL nicht einheitlich in den Mitgliedstaaten umgesetzt wurde und dadurch ein fragmentiertes Regelwerk entstand. Mit der NIS-2-RL sollen nun diese Unzulänglichkeiten durch folgende wesentliche Ansätze beseitigt werden:
- Harmonisierung und Verbesserung des Sicherheitsniveaus in den Mitgliedstaaten
- Definition und Umsetzung von Cybersicherheitsstrategien und Risikomanagement-Abläufen
- Verschärfte Sanktionen bei Verstößen
- Zuverlässige Meldung von Sicherheitsvorfällen bei den zuständigen Stellen
- Gewährleistung der durchgängigen Bereitstellung kritischer Dienste
- Definition und Umsetzung von Sicherheitsmaßnahmen für die Lieferkette, um die Sicherheit externer Anbieter zu überprüfen und zu gewährleisten
- Implementierung eines Asset-Managements, um kritische Informationssysteme zu identifizieren und zu schützen
Darüber hinaus wurde der Anwendungsbereich wesentlich erweitert, wie die Tabelle unten zeigt. Im Unterschied zur ursprünglichen NIS-RL wurden die von der NIS-2-RL betroffenen Einrichtungen in „wesentliche Einrichtungen“, die einer strengen ex-ante- und ex-post-Aufsicht (Art. 32 NIS-2-RL) sowie in „wichtige Einrichtungen“, die nur einer ex-post-Aufsicht (Art. 33 NIS-2-RL) unterliegen, unterteilt. Des Weiteren wächst auch die Forderung nach mehr Cyber-Sicherheit stetig und erfordert neue Maßnahmen, um der Entwicklung der Bedrohungslandschaft und der steigenden Cyberkriminalität entgegenzuwirken. Waren von der NIS-RL noch rund 100 Organisationen und Unternehmen in Österreich betroffen, so gilt NIS-2 für mehr als 5.000 Organisationen und Unternehmen sowie für schätzungsweise 50.000 Unternehmen, die diese Gruppe als Lieferanten versorgen.
Betroffene Sektoren
| Anhang I (= Sektoren mit hoher Kritikalität) | Anhang II (= sonstige kritische Sektoren) |
| Energie (Elektrizität, Fernwärme/Kälte, Öl, Gas und Wasserstoff) | Post- und Kurierdienste |
| Verkehr (Luft, Schiene, Schifffahrt, Straße) | Abfallbewirtschaftung |
| Bankwesen | Chemie (Herstellung und Handel) |
| Finanzmarktinfrastrukturen | Lebensmittel (Produktion, Verarbeitung, Vertrieb) |
| Gesundheitswesen (Gesundheitsdienstleister, EU-Referenzlaboratorien, Forschung und Herstellung von pharmazeutischen und medizinischen Produkten und Geräte) | Verarbeitendes / Herstellendes Gewerbe (Medizinprodukten; Datenverarbeitungs-, elektronische und optische Geräte und elektronische Ausrüstungen; Maschinenbau; Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau) |
| Trinkwasser | Anbieter digitaler Dienste (Suchmaschinen, Online-Marktplätze und soziale Netzwerke) |
| Abwasser | Forschung |
| Digitale Infrastruktur (IXP, DNS, TLD, Cloud-Computing, Rechenzentren, CDN, TSP und Anbieter öffentlicher elektronischer Kommunikationsnetze- und dienste) | |
| Verwaltung von IKT-Diensten (B2B) | |
| Öffentliche Verwaltung | |
| Weltraum | |
| Rot = Neuerungen gegenüber NIS1 |
(Quelle: bundeskanzleramt.gv.at )
Betroffen sind mittlere und große Unternehmen bestimmter Sektoren, sowie die digitale Infrastruktur. Die Klassifizierung der Unternehmensgröße basiert auf Empfehlungen und Definitionen der EK für KMU.
| Größenklasse | Mitarbeiter (VZÄ) | Jahresumsatz | Jahresbilanzsumme |
| Klein (KU) | < 50 und | ≤ 10 Mio. EUR oder | ≤ 10 Mio. EUR |
| Mittel (MU) | < 250 und | ≤ 50 Mio. EUR oder | ≤ 43 Mio. EUR |
| Groß (GU) | ≥ 250 oder | > 50 Mio. EUR und | > 43 Mio. EUR |
Kleinunternehmen fallen nicht unter die NIS-2-RL, außer es handelt sich um
- Vertrauensdiensteanbieter,
- Anbieter öffentlicher Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste,
- TLD-Namensregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namensservern,
- Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essentiell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
Darüber hinaus sind auch Zulieferer und Dienstleister von NIS-2-Unternehmen durch die Verpflichtung zur Gewährleistung der Sicherheit der Lieferkette ihrer Kunden verpflichtet, Cybersecurity-Maßnahmen umzusetzen (Art. 22 NIS-2-RL).
Art. 21 Abs. 5 NIS-2-RL sieht vor, dass die Europäische Kommission Durchführungsrechtsakte[7] zu den in Art. 21 Abs. 2 NIS-2-RL angeführten zehn Maßnahmen zum Schutz der Netz- und Informationssysteme vor Sicherheitsvorfällen erlässt. Sie betreffen DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter.
Gem Art. 21 NIS-2-RL haben die Mitgliedstaaten sicherzustellen, dass die wesentlichen und wichtigen Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, und zwar unter Berücksichtigung des Stands der Technik, europäischer und internationaler Normen, sowie des bestehenden Risikos.
Diese Maßnahmen müssen gem Art. 21 Abs. 2 NIS-2-RL zumindest Folgendes umfassen:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Verstöße gegen die Bestimmungen der NIS-2-RL können bei wesentlichen Einrichtungen mit einer maximalen Geldbuße in Höhe von 10 Mio. EUR oder 2 % des weltweiten Umsatzes sanktioniert werden, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen beträgt die maximale Höhe der Geldbuße 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.
Die NIS-2-RL ist am 16. Jänner 2023 in Kraft getreten und war von den EU-MS bis 17. Oktober 2024 in nationales Recht umzusetzen. Der österreichische Gesetzgeber legte am 3. April 2024 den Entwurf des Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) vor, der am 19. Juni 2024 mit den Stimmen der ÖVP und der Grünen mehrheitlich den Innenausschuss passierte. Bei der Abstimmung im Parlament am 3. Juli 2024 fand sich allerdings keine Zweidrittelmehrheit für das NISG 2024, das daher vorerst nicht beschlossen wurde. Bedingt durch die Wahlen zum NR am 29. September 2024 und die aktuellen Regierungsverhandlungen wird es daher zu einer erheblichen Verzögerung bei der Umsetzung der NIS-2-RL in nationales Recht kommen.