Die Cybersicherheits-Richtlinie NIS2 wurde bisher vollständig in Belgien, Italien, Kroatien und Litauen umgesetzt. In vielen Mitgliedstaaten gibt es öffentliche Begutachtungsentwürfe und es wird eine zeitnahe Verabschiedung erwartet. Das bedeutet, dass Unternehmen, die in diesen Mitgliedstaaten tätig sind und unter NIS2 fallen oder die dort Kunden haben, welche unter NIS2 fallen, bereits jetzt konform sein müssen.
Vor Kurzem ist ein Whitepaper zur NIS2 Umsetzung in der EU erschienen, das mit folgenden, wenig überraschenden, Erkenntnissen aufwartet:
- Auswirkungen auf multinationale Unternehmen
Multinationale Unternehmen müssen sich mit unterschiedlichen nationalen Cybersicherheitsbehörden auseinandersetzen, was zu erhöhtem Verwaltungsaufwand und komplexeren Meldepflichten führt. - Unterschiedliche Meldezeiträume und Klassifikationen
Die Mitgliedstaaten haben unterschiedliche Meldezeiträume und Klassifizierungssysteme für Sicherheitsvorfälle eingeführt. Das führt zu erhöhter Komplexität. - Budgetlücke bei der Vorbereitung
Etwa 75 % der Organisationen haben keine dedizierten finanziellen Ressourcen für die NIS2-Implementierung bereitgestellt. Das weist auf eine Unterschätzung des Ressourcenbedarfs hin. - Managementbeteiligung
34 % der Organisationen berichten, dass das Management nicht an der NIS2-Implementierung beteiligt ist, obwohl die Richtlinie explizit Managementverantwortung vorschreibt.
Nichtumsetzung in Österreich
Gegen Österreich und die anderen Staaten, die die NIS2-Richtlinie noch nicht umgesetzt haben, laufen Vertragsverletzungsverfahren. Aktuell liegen uns keine konkreten Informationen vor, wann in Österreich mit der Umsetzung von NIS2 zu rechnen ist. Wir weisen aber darauf hin, dass das „NIS2-Gesetz“ nach einer politischen Einigung sehr rasch in Kraft treten könnte und sich Unternehmen keinesfalls auf Übergangsfristen (welche die Richtlinie nicht hergibt) verlassen sollten.
Wir empfehlen Unternehmen, die Anforderungen bereits bei der Auftragsvergabe und in Verträgen zu berücksichtigen und uns ist bekannt, dass viele Unternehmen bereits jetzt zumindest bei neuen Verträgen NIS2 Compliance einfordern.
Empfehlung
Unsere Empfehlung für Unternehmen ist daher, sich schon jetzt auf NIS2 vorzubereiten und sich dabei an folgenden Unterlagen zu orientieren (keine abschließende Liste):
- NIS2-Richtlinie
- NISG 2024 (Entwurf)
- Durchführungsverordnung für die digitale Infrastruktur
- Implementation guidance on security measures
- Mehr Informationen zu NIS2 finden Sie hier
