NIS2 - Nichts tun ist keine Option

blogbanner: NIS2 - nichts tun ist keine Option
  • 07.04.2025
  • Klaus Reimüller
  • 0
NIS2 Cybersecurity Digitalisierung

IT-Sicherheitsvorfälle und Cyber-Angriffe nehmen seit Jahren zu und bedrohen zunehmend auch mittelständische Unternehmen. Die Europäische Union hat darauf mit der NIS2-Richtlinie reagiert, um ein hohes einheitliches Cyber-Sicherheitsniveau für Unternehmen sicherzustellen. Seit Oktober 2024 gelten EU-weit strengere Vorgaben für die Sicherheit von Netz- und Informationssystemen. Für österreichische Unternehmen – insbesondere Industriebetriebe im Mittelstand – bedeutet das neue Pflichten in der IT-Sicherheit und höhere Haftungsrisiken. 

In unserem triniBlog erfahren Sie, 

  • Was NIS2 genau ist
  • Wen es betrifft
  • Welche Konsequenzen drohen, wenn man nichts unternimmt

Und wir zeigen Ihnen, wie trinitec bei der Umsetzung dieser Vorgaben unterstützt.

  Und los gehts!

 

 1  Was genau ist NIS2?

NIS2 steht für „Network and Information Security 2“ und ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie wurde Ende 2022 beschlossen (Richtlinie (EU) 2022/2555) als Nachfolgerin der ersten NIS-Richtlinie von 2016. Ihr Ziel ist es, die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen und die Reaktion auf Sicherheitsvorfälle in Europa zu verbessern. Kurz gesagt sollen Unternehmen und öffentliche Stellen besser geschützt und Vorfälle schneller gemeldet und bewältigt werden. NIS2 ist dem 18. Oktober 2024 EU-weit in Kraft und muss von allen Mitgliedstaaten in nationales Recht übertragen werden.

In Österreich wird das NIS-Gesetz derzeit an die neuen Vorgaben angepasst – das Umsetzungsgesetz wird 2025 in Kraft treten. Unternehmen können und sollten bereits jetzt die Weichen für NIS2-Compliance stellen, denn die Anforderungen sind weitestgehend aufgrund der EU-Richtlinie bekannt, sehr umfangreich und deren Umsetzung braucht Zeit.

 2  Wer ist von NIS2 betroffen?

Die neue Richtlinie erweitert den Kreis der betroffenen Organisationen erheblich. Grundsätzlich gilt NIS2 für mittlere und große Unternehmen in kritischen Sektoren. Kleine Betriebe (<50 Mitarbeiter und <10 Mio. € Umsatz/Bilanzsumme) sind davon ausgenommen, außer ihre Tätigkeit spielt eine Schlüsselrolle in einem kritischen Sektor. 

Insgesamt erfasst NIS2 18 Branchen:

Hochkritische Sektoren

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • öffentliche Verwaltung
  • Weltraum

Weitere kritische Sektoren

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie (Herstellung, Handel)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • verarbeitendes Gewerbe / Herstellung von Waren (Industrie)
  • Anbieter digitaler Dienste
  • Forschung

Damit sind neben klassischen Betreibern kritischer Infrastruktur (z.B. Energieversorger, Banken, Gesundheitswesen) nun auch viele Industrieunternehmen und Zulieferer betroffen, sofern sie mindestens mittelgroß sind. Die Richtlinie unterscheidet dabei zwischen „wesentlichen“ und „wichtigen“ Unternehmen: Große Unternehmen in den hochkritischen Sektoren gelten als wesentliche Einrichtungen, alle anderen mittleren/großen als wichtige Einrichtungen. Für beide gelten die gleichen Sicherheitsauflagen; Unterschiede bestehen nur bei Aufsicht und Strafrahmen (wesentliche unterliegen strengerer Vorab-Kontrolle, wichtige nur im Nachhinein bei Vorfällen).

Wesentlich ist auch, dass die obigen, von der Richtlinie direkt betroffenen, Unternehmen dafür sorgen müssen, dass ihre Lieferkette ebenso gewissen Mindeststandards der Informationssicherheit genügt. Damit sind viel mehr Unternehmen in der Lieferkette indirekt betroffen. Diese werden zwar nur von ihren jeweiligen Kunden überprüft, trotzdem müssen sie dafür sorgen, dass sie die geforderten Standards erfüllen und das auch entsprechend dokumentieren.

 3  Was passiert, wenn man nichts für NIS2 tut?

ACHTUNG: NIS2 ist kein zahnloser Tiger – bei Nichtbeachtung drohen spürbare Konsequenzen. Nicht nur, dass ein, von einem Cybersicherheitsvorfall betroffenes Unternehmen einen wirtschaftlichen und Image-Schaden erleidet, setzt die Richtlinie auf Sanktionsmöglichkeiten mit erheblichen Geldbußen. Damit entsteht umso mehr "Motivation", ein adäquates Cyber-Sicherheitsniveau im Betrieb umzusetzen, sofern das nicht ohnehin aus eigenem Antrieb gemacht wird.

Handelt es sich um eine wesentliche Einrichtung, können Verstöße mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden (je nachdem, welcher Wert höher ist). Für weniger kritische (wichtige) Einrichtungen liegen die Höchststrafen immer noch bei bis zu 7 Millionen Euro oder 1,4 % vom Umsatz

Es werden auch aufsichtsrechtliche Maßnahmen verschärft. Die zuständige Behörde (in Österreich wird hier lt. Regierungsprogramm das Austrian Cyber Competence Center (AT3C) aufgebaut, evtl. werden Teile auch bei BMI oder GovCERT liegen) kann bei Verstößen Anordnungen zur Behebung von Sicherheitsmängeln erteilen. Kommt ein Unternehmen diesen Aufforderungen nicht nach, können im Extremfall Zertifizierungen oder Genehmigungen entzogen bzw. ausgesetzt werden – was einer Betriebsuntersagung gleichkäme. Alternativ kann auch ein Kommissar bestellt werden, bis ein entsprechendes Schutzniveau (wieder-)hergestellt ist.

Neu ist außerdem, dass die Geschäftsführung persönlich in die Pflicht genommen werden kann: Die Einhaltung der Sicherheitsmaßnahmen durch die Leitungsorgane muss überwacht werden, und Führungskräfte können bei Verstößen zur Verantwortung gezogen werden.

FAZIT Nichts zu tun ist keine Option bei NIS2 

Neben den rechtlichen Sanktionen darf man die praktischen Risiken ignorierter IT-Sicherheit nicht vergessen. Ein „Weiter wie bisher“ könnte zu gravierenden Cybervorfällen führen – von Produktionsausfällen in der Industrie bis hin zu Datenlecks und Imageschäden. Unternehmen, die die NIS2-Vorgaben verschlafen, setzen sich also doppelten Risiken aus: Einerseits drohen hohe Strafen und Auflagen von Behörden, andererseits steigt die Wahrscheinlichkeit eines erfolgreichen Angriffs mit potenziell existenzbedrohenden Folgen. 

  Daher: Nichts tun ist keine Option – weder aus juristischer noch aus betriebswirtschaftlicher Sicht!

 

  Wie hilft trinitec bei NIS2?

Wir unterstützen Ihr Unternehmen dabei, die NIS2-Anforderungen effizient umzusetzen. Wir kennen die gesetzlichen Vorgaben und Best Practices, arbeiten aktiv mit der NIS2-Community sowie den Experts Groups und Arbeitskreisen der Wirtschaftskammer und helfen Ihnen sowohl strategisch als auch operativ: 

  • Mit Trainings zur Sensibilisierung des Managements und der Mitarbeiter
  • Mit Reifegrad-Analysen (NIS2-Readiness-Check)
  • Mit Workshops hin zu einer Strategie und Struktur
  • Mit Umsetzung-Begleitung hin zu Sicherheitsmaßnahmen, Prozessen und einer rechtskonformen Dokumentation.

Gemeinsam mit Partnern aus unserem Expertenpool erarbeiten wir mit Ihnen ein maßgeschneidertes Maßnahmenpaket, schulen Ihre Mitarbeiter und stehen Ihnen auch bei der Erstellung der notwendigen Dokumentation (Policies, Berichtsvorlagen etc.) zur Seite. Kurz: Wir machen Ihr Unternehmen fit für NIS2 – pragmatisch und praxisnah.

Mehr zu NIS2-Leistungen

 

 

trinitec CEO - DI Klaus Reimüller

Möchten Sie mehr über NIS2 für Ihr Unternehmen erfahren? 

Benötigen Sie Unterstützung bei der Umsetzung? 
Gemeinsam entwickeln wir Ihre individuelle NIS2-Roadmap –  damit Ihr Unternehmen sicher und rechtskonform in die digitale Zukunft geht.  

Kontaktieren Sie uns noch heute für ein unverbindliches Beratungsgespräch!

  Termin vereinbaren

 

  Weiterführende Links

   Bildquellen

  • Blogbanner:  Dall-E