Gradient

Alles über NIS 2

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Netzwerk- und Informationssysteme) ist ein wichtiges europäisches Gesetz, das die Cybersicherheit innerhalb der Europäischen Union (EU) stärken soll. Es verpflichtet Organisationen, strengere Sicherheitsstandards zu befolgen, um das Cybersicherheitsniveau zu verbessern.

In Österreich gilt dieses Gesetz für geschätzt mehr als 5.000 Organisationen und Unternehmen sowie schätzungsweise 50.000 Unternehmen, die diese Gruppe als Lieferanten versorgen. Beide Gruppen müssen eine Reihe von Cyber-Sicherheitsmaßnahmen ergreifen.

Dieser Leitfaden ist der Nachfolger der ursprünglichen NIS1-Richtlinie (Netzwerk- und Informationssysteme), die 2016 eingeführt wurde. Die neue NIS2-Richtlinie, die ab dem 17. Oktober 2024 in Europa in Kraft tritt, erweitert ihren Anwendungsbereich und stellt strengere Anforderungen an die Sicherheit von Netz- und Informationssystemen.

Die wichtigsten Punkte

  • Strengere Anforderungen: An die Sicherheit von Netz- und Informationssystemen werden strengere Anforderungen gestellt. Alle NIS2-Organisationen müssen ihre Cybersicherheit verbessern.
  • Lieferkettensicherheit: Die mehr als 10.000 NIS2-Organisationen und -Unternehmen sind laut NIS2 Artikel 21.2d verpflichtet, die Sicherheit der Lieferkette zu gewährleisten, zu der sie gehören. Basierend auf dem Risiko in der Lieferkette müssen sie ihren Lieferanten Cyber-Sicherheitsmaßnahmen auferlegen. Auch die Gruppe der Lieferanten wird zukünftig digital sicher arbeiten müssen.
  • Meldepflicht: Es gibt eine Meldepflicht für Vorfälle. Das bedeutet, dass man, wenn es einen Cyber-Vorfall gibt, dies der Aufsichtsbehörde melden muss.
  • Überwachung und Durchsetzung: Maßnahmen werden ergriffen, um die Einhaltung der NIS2-Richtlinie sicherzustellen, einschließlich finanzieller Strafen für die Nichteinhaltung.

Weiterführende Informationen

Was müssen Unternehmen tun?

Die Maßnahmen, die Sie ergreifen müssen, wenn Sie von der NIS2 betroffen sind, variieren und hängen von den Risiken ab. Nachfolgend finden Sie einen Überblick über Anforderungen und Verfahren gemäß der NIS2-Richtlinie. Es geht nur um die Gruppe wesentlicher und wichtiger Unternehmen.

NIS2 Hauptanforderungen für wesentliche und wichtige Unternehmen, wie im Gesetz beschrieben:

  1. Erstellen Sie Risikoanalysen und Sicherheitsrichtlinien für Informationssysteme.
  2. Stellen sie sicher, dass sie Sicherheitsvorfälle bewältigen können.
  3. Treffen sie Maßnahmen zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, sowie Krisenmanagement
  4. Gewährleisten sie die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen ihrem Unternehmen und ihren Dienstleistern und Lieferanten.
  5. Treffen sie Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen.
  6. Erstellen sie Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit.
  7. Etablieren sie grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
  8. Verwenden sie Kryptografie und Verschlüsselung.
  9. Setzen sie Konzepte für die Zugriffskontrolle zu Systemen und Anlagen um.
  10. Verwendung sie Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Dabei zu berücksichtigen sind:

  • der Stand der Technik 
  • europäische und internationalen Normen 
  • Kosten der Umsetzung 
  • bestehendes Risiko

Achtung: Lieferkette

Als wesentliches oder wichtiges Unternehmen müssen Sie nicht nur die eigene digitale Sicherheit stärken, sondern auch sicherstellen, dass die Sicherheit in der Lieferkette gewährleistet ist. Das bedeutet, robuste Sicherheitsmaßnahmen umzusetzen und eng mit Lieferanten zusammenzuarbeiten, um potenzielle Cyberbedrohungen zu minimieren. So ist es zum Beispiel wichtig, dass die NIS2-Anforderungen vertraglich festgelegt sind. (Idealerweise in Ihren Einkaufsbedingungen, kann aber auch in einem separaten Vertrag erfolgen)

NIS2 Maßnahmen für Lieferanten (KMU)

Auch KMUs, die wesentliche und/oder wichtige Unternehmen beliefern, müssen Maßnahmen ergreifen:

  1. Weisen sie ihren Auftraggebern nach, dass sie Basissicherheit in ihrem Unternehmen erfolgreich umgesetzt haben. Dazu eignen sich die Cyber Trust Gütesiegel.
  2. Anleitung dazu bietet unter anderem das Cyber Risk Rating Schema des KSÖ.
NIS2 Risiko-Checkliste

Was sind die Risiken für NIS2-Unternehmen?

  • Lieferantenausfall: Risiko einer Unterbrechung der Lieferkette, wenn Lieferanten die NIS2-Normen nicht erfüllen: Wenn Lieferanten unzureichende Sicherheitsmaßnahmen haben, können sie Opfer einer Cyberattacke werden und fallen aus. Dies kann negative Folgen für die Wertschöpfungskette des NIS2-Unternehmens haben.
  • Unzureichende Sicherheit: Erhöhte Gefahr von Datenschutzverletzungen und Cyberangriffen aufgrund fehlender Sicherheitsmaßnahmen.
  • Unversichert sein: Finanzielle Ausfälle im Falle von Cyber-Incidents aufgrund fehlender Cyber-Versicherungen. Versicherungen lehnen auch die Deckung ab bei unzureichenden Sicherheitsmaßnahmen.
  • Eingeschränktes Geschäftswachstum: Nichteinhaltung der Mindestvorgaben kann zu Entgang von Geschäftsbeziehungen führen, weil Kunden dies zukünftig voraussetzen und einfordern.
  • Persönliche Haftung von Direktoren/Management: Rechtliche und finanzielle Folgen für die Geschäftsführung bei Nichteinhaltung inklusive persönlicher Haftung. Geschäftsführer können bei groben Verstößen sogar ihrer Funktion enthoben werden.
  • Geldbußen: Signifikante Geldstrafen bei Verstößen gegen die NIS2-Vorschriften (bis zu 10 Millionen Euro oder 2% des Jahresumsatzes).
  • Umsatzverlust: Umsatzrückgang aufgrund der geringeren Nachfrage oder Unterbrechung des Geschäftsbetriebs.
  • Reputationsschaden: Negative Wahrnehmung bei Kunden und Partnern, was in Folge zum Vertrauensverlust bei Kunden und Geschäftsentgang führt.

Als Lieferant großer NIS2-Unternehmen ist es auch wichtig, dass Sie die geforderten Sicherheitsstandards erfüllen und so Ihre Geschäftsbeziehungen und Lieferketten sicher pflegen können. Als Lieferant ist es sehr wahrscheinlich, dass Ihre Großkunden verlangen, dass Sie die NIS2-Normen erfüllen.

Was sind die direkten Risiken für KMUs?

  • Verlust großer Kunden: Die Nichterhaltung von NIS2 kann zum Verlust von Verträgen mit Großkunden führen.
  • Sicherheitsverletzungen: Ein Mangel an angemessener Cybersicherheit kann zu Cyber-Vorfällen führen und sensible Informationen offenlegen.
  • Finanzschaden: Die Kosten für die Reparatur eines Cyberangriffs können erheblich sein, vor allem ohne ausreichende Versicherung.
  • Reputationsschaden: Ein Cyber-Vorfall kann dem Kundenvertrauen schaden, was grundsätzlich schwer wiederherzustellen ist.
  • Operationelle Störungen: Cyber-Angriffe oder Nichteinhaltung können zu erheblichen Störungen im Geschäftsbetrieb führen.
Fällt meine Firma unter NIS2?

Überprüfen Sie sofort, ob Ihr Unternehmen NIS2 erfüllen muss.

Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:

Sektoren mit hoher Kritikalität:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser 
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten B2B
  • öffentliche Verwaltung 
  • Weltraum 

Sonstige kritische Sektoren:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung 
  • Chemie
  • Lebensmittel
  • verarbeitendes/herstellendes Gewerbe
  • Anbieter digitaler Dienste
  • Forschung (fakultativ)

Eine Einrichtung gilt als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeiter beschäftigt, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über zehn Millionen Euro beläuft, sofern sie nicht bereits als großes Unternehmen gilt. Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS2.

Dabei gibt es jedoch Ausnahmen − folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:

  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten. Unter Basismaßnahmen für Informationssicherheit im Unternehmen finden Sie eine Hilfestellung und Musterdokumente zu wichtigen Sicherheitsmaßnahmen, die bereits einen Großteil der Cyberangriffe abwehren können.

Die Wirtschaftskammer Österreich hat einen Online-Ratgeber erstellt, der sie dabei unterstützt festzustellen, ob Ihr Unternehmen betroffen ist.

Eine viel größere Anzahl von Unternehmen ist jedoch als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt betroffen!

Wie funktioniert NIS2 in der Lieferkette?

Die NIS2-Richtlinie legt besonderen Wert auf die Sicherheit der Lieferkette, weil die Sicherheit eines Unternehmens stark von seinen Lieferanten und Dienstleistern abhängen kann. Die Kette ist so stark wie das schwächste Glied. Das bedeutet, dass eine Sicherheitsverletzung bei einem Lieferanten nicht nur diesem Lieferanten schaden kann, sondern auch allen Unternehmen, mit denen er digital und physisch verbunden ist.

Zum Beispiel:

  • Ein Lieferant muss die Versorgung wegen eines Cyber-Angriffs einstellen. Dies kann den normalen Geschäftsbetrieb ernsthaft stören. Hier geht es auch um Produkte, Rohstoffe und Dienstleistungen.
  • Wenn ein IT-Dienstleister gehackt wird, können die Hacker auch auf die Systeme anderer Unternehmen in der Lieferkette zugreifen.
  • Manchmal findet sich eine ernsthafte Sicherheitslücke in einem Dienst, den Sie jeden Tag nutzen, wie z. B. Ihr CRM-System.

Für NIS2-Unternehmen: Schutz vor Risiken in der Kette

Wenn Sie eine sichere Lieferkette gegen Cyberbedrohungen sicherstellen möchten, ist es wichtig, eine Richtlinie für Lieferantenrisikomanagement zu entwickeln. In dieser Richtlinie beschreiben sie, wie abhängig Ihr Unternehmen von Lieferanten oder Dienstleistern ist, mit besonderem Augenmerk auf die IT-Komponenten. Auf diese Weise können Sie Risiken, die diese Abhängigkeiten mit sich bringen, besser managen.

Als Unternehmen, das unter die NIS2-Richtlinie fällt, müssen Sie die Risiken für Ihr eigenes Unternehmen und diese durch Ihre Lieferanten aktiv erkennen und adressieren. Es ist wichtig, klare Vereinbarungen mit Ihren Lieferanten zu treffen, damit Sie diese Risiken gut einhalten und sie auf ein akzeptables Niveau reduzieren können.

Das Cyber Risk Rating Schema des KSÖ und die Cyber Trust Gütesiegel können ihnen dabei helfen, die entsprechenden Nachweise ihrer Lieferanten einzufordern. Beides sind von der NIS Behörde akzeptierte Nachweise.

Weiterführende Informationen

Weiterführende Informationen zum Thema Sicherheit in der Lieferkette finden sie auch auf einer eigenen Seite der Wirtschaftskammer Österreich zum Thema Lieferkette und NIS 2.

Wann startet NIS2?

Das europäische Datum für NIS2 ist der 17. Oktober 2024.

Das Österreichische Umsetzungsgesetz war bis 1. Mai 2024 in Begutachtung.

Welche Regulierungsbehörden gibt es für die NIS2 in Österreich?

In Österreich wird das Bundesministerium für Inneres für den Vollzug des NIS 2 Gesetzes zuständig sein. Dafür wurde eigens ein Nationales Cybersicherheitszentrum (NCSZ) eingerichtet.

Was sind die Sanktionen für die Nichteinhaltung der NIS2?

Das Gesetz sieht eine Reihe von Sanktionsmöglichkeiten vor. Die NIS2-Organisationen müssen ihre direkten Lieferanten vertraglich zur sicheren Arbeit verpflichten. Zuliefernde Unternehmen, oftmals KMUs, können daher ihre großen Kunden verlieren wenn sie diese Standards nicht nachweisen können.

Die NIS2-Organisationen selbst werden von der Aufsichtsbehörde (in Österreich: BMI) kontrolliert. In einigen Sektoren wird dies regelmäßig geschehen, in anderen nach Zwischenfällen.

Sanktionen für Unternehmen

Die NIS2-Richtlinie hat den zuständigen Behörden die Befugnis gegeben, Bußgelder im Falle einer Nichteinhaltung zu verhängen: Um die Einhaltung der NIS2 zu gewährleisten, wurden strenge Geldbußen festgelegt. Wesentliche Unternehmen riskieren eine Geldstrafe von 10 Millionen Euro oder 2% ihres weltweiten Umsatzes, während wichtige Unternehmen mit einer Geldstrafe von mindestens 7 Millionen Euro oder auch 2% ihres weltweiten Umsatzes belegt werden können. Diese Informationen finden Sie in Kapitel VII, Artikel 34 der NIS2-Richtlinie.

Weiters sieht das NIS 2 Gesetz eine persönliche Haftung für Führungskräfte vor und ermöglicht der Aufsichtsbehörde, diese bei schweren Verstößen ihrer Funktion zu entheben, ihnen einen Überwachungsbeauftragten beizustellen oder die Genehmigung für einen Teil oder alle von der wesentlichen Einrichtung erbrachten einschlägigen Dienste oder Tätigkeiten vorübergehend auszusetzen.

Welche Standards gibt es, um NIS2 zu erfüllen?

Es gibt mehrere Cybersicherheitsstandards, die Sie verwenden können. Cyber Trust kann hierbei helfen.

Internationale Standards wie ISO 27001 oder NIST 800 sind international anerkannte Standards zur Einführung von Informationssicherheitsmanagementsystemen. Ein solches ist jedenfalls ein sinnvoller Weg zur Erreichung von NIS 2 Compliance. Die Erlangung einer ISO 27001 Zertifizierung ist jedoch ein aufwändiger und zeitintensiver Weg, der zwar für die meisten wesentlichen und wichtigen Einrichtungen sinnvoll ist, für deren Lieferanten jedoch nicht immer zweckmäßig ist, da dies für viele KMUs zu aufwändig und teuer ist.

Spezifische Standards wie das KSÖ Cyber Risk Rating Schema (auf dem die Cyber Trust Labels basieren) zielen hingegen auf den Nachweis von Basissicherheitsmaßnahmen ab. Der Begriff Basissicherheit oder auch Baseline Security bezeichnet das grundlegende Mindestmaß an Cybersicherheit, das ein Unternehmen unbedingt aufweisen sollte. In diesem Zusammenhang spricht man manchmal auch von "Cyberhygiene". Naheliegenderweise ist im Rahmen des Drittparteien-Risikomanagements darauf zu achten, dass kein Lieferant und Dienstleister dieses Mindestmaß unterschreitet. Gängige Standards für Basissicherheit finden sich unter anderem in:

Zusammenfassend lässt sich sagen, dass die Einhaltung von Cybersicherheitsstandards ein wesentliches Instrument für Organisationen ist, die die NIS2-Richtlinie einhalten müssen, da sie bei der Strukturierung ihrer Cybersicherheitsbemühungen hilft, ihr Engagement für die Sicherheit unter Beweis stellt und die Einhaltung des Gesetzes gewährleistet.

Warum ist NIS2 eine Herausforderung für den Einkauf und die Lieferkette?

Die NIS2-Richtlinie bringt neue Herausforderungen für das Beschaffungs- und Supply-Chain-Management mit sich, wo Unternehmen ihre Lieferanten in die Stärkung der Cybersicherheit einbeziehen müssen. Cyber Trust kann hierbei helfen.

Die NIS2-Richtlinie bringt große Herausforderungen für die Lieferkette. Die Richtlinie verlangt von wesentlichen und wichtigen Unternehmen, die Sicherheit in ihrer Lieferkette zu gewährleisten, die direkte Auswirkungen auf die Beziehungen zu den Lieferanten, einschließlich KMU, hat. Die Auswirkungen sind vielfältig und berühren mehrere Facetten des Geschäftsbetriebs.

Häufige Schwachstellen in der Lieferkette

  • Unsicherer Zugang und unzureichende Datensicherheit: Externe Parteien und Partner mit schlechter Sicherheit können eine offene Tür für Hacker sein.
  • Malware: Kann sich über die Lieferkette ausbreiten und dabei Systeme und Daten kompromittieren.
  • Angriffe auf die Logistik: Störung von Prozessen, was zu Verzögerungen und Ausfällen führen kann, was wiederum die betriebliche Effizienz beeinträchtigt.

Finanz- und operative Auswirkungen
Die Umsetzung von Cybersicherheitsmaßnahmen kann eine hohe finanzielle und operative Belastung für Lieferanten sein. Investitionen in Technologie und Know-how können kostspielig sein und zeitaufwändig.

Eine effiziente Lösung zur Einhaltung der NIS2-Richtlinien in Bezug auf Lieferantenrisikomanagement sind die Cyber Trust Labels. Diese helfen, die notwendigen Standards mit Lieferanten auf jeder Ebene des Risikos zu erfüllen und dadurch das Risiko von Störungen in der Lieferkette zu minimieren, womit die gesetzlichen Anforderungen erfüllt werden.

Wichtig zu beachten:

  1. Kosten: Die finanzielle Belastung durch Cybersicherheit kann zu höheren Preisen oder zum Ausscheiden von Lieferanten führen.
  2. Zeit und Ressourcen: Effektive Cybersicherheit erfordert Investitionen in Zeit und Personal, was auf Kosten anderer Geschäftsvorgänge gehen kann.
  3. Komplexität: Nicht alle Lieferanten verfügen über das nötige Know-how, was zu zusätzlichen Kosten für die Gewinnung spezialisierter Mitarbeiter führen kann.
  4. Compliance: Kontinuierliche Updates von Systemen und Prozessen zur Erfüllung wechselnder Termine sind eine ständige Herausforderung.
  5. Verträge: Kunden können innerhalb von Verträgen strenge Cybersicherheitsstandards einführen, die zu rechtlichen Komplikationen bei Sicherheitsverletzungen führen können.

Es ist nicht unbedingt negativ zu sehen: Unternehmen, die NIS2-Standards erfüllen, können ihre Geschäftsbeziehungen stärken und ihre Wettbewerbsposition verbessern, indem sie Prozesse innovativ gestalten und laufend verbessern.

Der Weg nach vorn
Für wesentliche und wichtige Unternehmen ist es entscheidend, ein Gleichgewicht bei der Einführung von Standards zu finden, welche die Auswirkungen auf ihre Lieferanten berücksichtigen. Unterstützung und Flexibilität können dazu beitragen, die Herausforderungen zu meistern, und ein kollaborativer Ansatz kann zu mehr Sicherheit und gesunden Geschäftsbeziehungen führen. Cyber Trust liefert dazu einen pragmatischen, machbaren und kosteneffizienten Weg, der etabliert und anerkannt ist.

Cyber Trust Label: ein erreichbarer und anerkannter Standard für KMUs

Das Cyber Trust Standard Label wurde speziell für kleiner KMU entwickelt. Es erlaubt somit den Nachweis der Compliance mit den Basissicherheitsanforderungen. Größere Lieferanten oder solche in sensibleren Bereichen setzen auf das Silber Label oder das Gold Label.

Das KSÖ Cyber Risk Rating Schema und das darauf basierende Cyber Trust Label ist ein praktischer und zugänglicher Standard für KMUs, insbesondere für die Verbesserung ihrer Cybersicherheit auf effiziente und machbare Art und Weise. Für die NIS2 wurde dieser Standard als Werkzeug zum Cyberrisikomanagement in der Lieferkette entwickelt. Eine einzigartige Zusammenarbeit von namhaften Experten aus verschiedenen NIS-Sektoren unter Einbeziehung der Aufsichtsbehörden bietet einen Rahmen, in dem Unternehmen die NIS2-Richtlinien erfüllen können, ohne ihre Geschäftstätigkeit oder Geschäftsbeziehungen zu beeinträchtigen. Dieser Standard ist ein praktisches und effizientes Instrument zur Unterstützung des Cyberrisikomanagements ganz speziell für kleinere und mittlere Unternehmen.

Gut vorbereitet für NIS2: Webinare und weitere Informationen