Am 28. November veranstaltete der FEEI ein Webinar zur „NIS2-Richtlinie – Neue Anforderungen und praktische Umsetzungstipps“. Mit der überarbeiteten NIS-Richtlinie – NIS 2 – wurde die bestehende Richtlinie aufgehoben. Im Vergleich zur ersten NIS erweitert die NIS2-Richtlinie den Anwendungsbereich und zielt darauf ab, die Sicherheitsanforderungen zu verschärfen, die Sicherheit der Lieferketten zu verbessern, die Meldepflichten zu straffen, strengere Aufsichtsmaßnahmen und strengere Durchsetzungsanforderungen einzuführen, einschließlich harmonisierter Sanktionsregelungen in den Mitgliedstaaten. Mario Neubauer und Štefan Ziman, beide BDO, stellten die wichtigsten Elemente der NIS2-Richtlinie zusammen mit praxisnahen Tipps zur Vorbereitung vor.
Zu Beginn skizzierten die Experten zunächst die Cybersicherheitslandschaft – es gibt immer mehr Cybersecurity-Vorfälle in Europa und in Österreich. Die Angreifer:innen sind sehr gut organisiert und suchen regelmäßig nach „low hanging fruits“, also einfach auszunutzenden Schwachstellen in Unternehmen. Behördliche Hilfe ist nach einem Angriff oft nur begrenzt möglich. Die Chance, das Lösegeld zurückzubekommen, ist sehr gering – die beste Möglichkeit ist daher Prävention. Aus diesem Grund braucht es die NIS2-Richtlinie.
Von der ursprünglichen NIS Richtlinie waren nur rund 100 Unternehmen betroffen – NIS 2 wird einen weit größeren Anteil an Unternehmen abdecken. Ein Versuch, NIS2 im Sommer 2024 im österreichischen Parlament zu verabschieden, scheiterte allerdings. Die Frage ist, wie viele Elemente des gescheiterten Gesetzentwurfs in das neue Gesetz übernommen werden. NIS2 kann österreichweit in Kraft treten, sobald eine österreichische Regierung gebildet ist, die in der Lage ist, eine Zweidrittelmehrheit im Parlament zu finden, da für die Verabschiedung von NIS2 eine Verfassungsänderung erforderlich ist.
Die Experten beschrieben weiter, dass in der NIS2-Richtlinie zwischen „wesentlichen“ und „wichtigen“ Einrichtungen unterschieden wird. Zu den „wichtigen Einrichtungen“ gehören unter anderem Sektoren wie die Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, die Herstellung von elektrischen Ausrüstungen und der Maschinenbau. Der Anwendungsbereich der NIS2-Richtlinie erstreckt sich auf mittlere und große Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Mio. Euro und einer Jahresbilanzsumme von mehr als 10 Mio. Euro. Die Richtlinie gilt jedoch für einige Sektoren unabhängig von ihrer Größe, z. B. für Vertrauensdienstanbieter, Betreiber öffentlicher Kommunikationsnetze und Anbieter von Leistungen mit Auswirkung auf die öffentliche Ordnung und Sicherheit, um nur einige zu nennen.
Schließlich erläuterten die Experten die in NIS2 geforderten Pflichten: Governance (Artikel 20), Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Artikel 21) und die Berichtspflichten bei erheblichen Sicherheitsvorfällen (Artikel 23) sowie die Sanktionen, die Mitgliedstaaten bei Verstößen verhängen können. Das Webinar endete mit einem regen Austausch im Rahmen einer Frage- und Antwortrunde.
