Key-Facts NIS2-Gesetzesentwurf
Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024)
Zusammenfassung des Gesetzesentwurfs vom 03.04.2024
Einleitung
Seit dem 3. April 2024 liegt der erste Entwurf für das Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) vor[1]. Dieser Gesetzesentwurf dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) in österreichisches Recht.
Anhand dieses Bundesgesetzes werden Maßnahmen festgelegt, mit denen ein hohes Cybersicherheitsniveau, insbesondere von wesentlichen und wichtigen Einrichtungen in den von dem Gesetz festgelegten Sektoren und den zugehörigen Teilsektoren erreicht werden soll.
Die wesentlichsten Punkte der Gesetzgebung sind:
- Umsetzung eines EU-weit einheitlichen Cybersicherheitsniveaus und einer damit verbundenen erhöhten Cyberresilienz.
- Erweiterung des Anwendungsbereichs auf große Teile der Wirtschaft, inkl. kleine, mittlere und große Unternehmen, die in definierten Branchen tätig sind.
- Organisationen müssen Risikomanagementmaßnahmen umsetzen, um ein dem Risiko angemessenes Cybersicherheitsniveau zu gewährleisten, unter Berücksichtigung des Stands der Technik, einschlägigen Normen und Best-Practices, den Kosten und der Verhältnismäßigkeit.
- Betroffene Einrichtungen müssen sich auch um die Cybersicherheit ihrer Lieferanten (Lieferkette) kümmern und mit ihnen Risikomanagementmaßnahmen im Bereich Cybersicherheit vertraglich festlegen.
- Dadurch müssen auch nicht direkt von der Gesetzgebung betroffene Einrichtungen definierte Sicherheitsanforderungen erfüllen.
- Leitungsorgane unterliegen strengen Haftungsregelungen. Sie sind für die Umsetzung der gesetzlichen Vorgaben verantwortlich und müssen sich unter anderem geeigneten Schulungen zum Thema Cybersicherheit unterziehen und auch den Mitarbeiter:innen entsprechende Schulungsmaßnahmen anbieten.
Anlage 1 des Gesetzes listet die Sektoren mit hoher Kritikalität, Anlage 2 die sonstigen kritischen Sektoren auf. In Anlage 3 sind 13 Risikomanagementmaßnahmen-Bereiche angeführt, für die die betroffenen Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Risikomanagementmaßnahmen umsetzen müssen. Hinweis: Es handelt sich um einen Gesetzesentwurf in Begutachtung. Nach Ende der Begutachtung und etwaiger Änderungen muss das Gesetz vom Parlament verabschiedet werden.
Hinweis: Es handelt sich um einen Gesetzesentwurf in Begutachtung. Nach Ende der Begutachtung und etwaiger Änderungen muss das Gesetz vom Parlament verabschiedet werden.
Wesentliche und wichtige Einrichtungen
Für eine Einrichtung (z.B. Unternehmen, Behörde, sonstige Organisation) gibt es folgende Möglichkeiten:
- Das Unternehmen wird als wesentliche Einrichtung eingestuft und unterliegt somit strengeren Regulierungen
- Das Unternehmen wird als wichtige Einrichtung eingestuft.
- Das Unternehmen fällt weder unter wichtige noch unter wesentliche Einrichtung und ist somit nicht direkt vom NIS2-Gesetz betroffen. Eine Betroffenheit kann sich indirekt über die Verpflichtung von Kunden, die unter das NIS2-Gestz fallen, ihre Lieferketten zu überprüfen, ergeben.
| Größenklasse | Beschäftigte | Jahresumsatz | Jahresbilanzsumme |
| Kleines Unternehmen | <50 und | <= 10 Mio € oder | <= 10 Mio € |
| Mittleres Unternehmen | < 250 und | <= 50 Mio € oder | <= 43 Mio € |
| Großes Unternehmen | >= 250 oder | > 50 Mio € und | > 43 Mio € |
Abhängig von Unternehmensgröße, Branche (siehe Anlage 1 und Anlage 2) und Tätigkeitsbereich ergibt sich die Einstufung als wesentliche oder wichtige Einrichtung.
Wesentliche Einrichtungen sind:
- Einrichtungen der Branchen gemäß Anlage 1, die große Unternehmen sind
- Einrichtungen, die mittlere Unternehmen sind und Anbieter öffentlicher Kommunikationsnetze oder Kommunikationsdienste sind
- Unabhängig von der Unternehmensgröße:
- qualifizierte Vertrauensdiensteanbieter
- Namenregister der Domäne oberster Stufe (TLD Namenregister)
- Domänennamensystem-Diensteanbieter
- Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene
- Einrichtungen, die als kritische Einrichtungen im Sinne der Richtlinie (EU) 2022/2557) ermittelt wurden
Wichtige Einrichtungen sind (sofern sie nicht bereits wesentliche Einrichtungen sind):
- Einrichtungen der in Anlage 1 und Anlage 2 genannten Branchen, die ein großes oder mittleres Unternehmen sind
- Einrichtungen der öffentlichen Verwaltung auf Landesebene
- Unabhängig von der Unternehmensgröße
- Anbieter öffentlicher Kommunikationsnetze oder öffentlicher Kommunikationsdienste
- Vertrauensdiensteanbieter
Die nationale Cybersicherheitsbehörde kann Einrichtungen der Branchen aus Anlage 1 oder Anlage 2 unabhängig von deren Größe auch per Bescheid als wesentliche oder wichtige Einrichtung einstufen. Dies hat z.B. dann zu erfolgen, wenn die Einrichtung einen besonders kritischen Dienst erbringt, dessen Störung zu einem wesentlichen Systemrisiko führen könnte.
Cybersicherheitsbehörde
Als Cybersicherheitsbehörde fungiert das Bundesministerium für Inneres. Diese Behörde hat unter anderem folgende Aufgaben:
- Koordination der Erstellung der Österreichischen Strategie für Cybersicherheit
- Leitung der Koordinierungsstrukturen (CSS, IKDOK und OpKoord)
- Regelmäßige Erstellung und Weiterleitung von Lagebildern und zusätzlich relevanter Informationen
- Erstellung und Weitergabe von zur Gewährleistung der Sicherheit von Netz- und Informationssystemen relevanten Informationen zur Vorbeugung von Cybersicherheitsvorfällen
- Das Management von Cybersicherheitsvorfällen großen Ausmaßes sowie Ausübung der Funktion des Nationalen Koordinierungszentrums für Cybersicherheit
- Konsultation und Zusammenarbeit mit den zuständigen Behörden anderer Mitgliedstaaten der Europäischen Union
- Betrieb der zentralen Anlaufstelle und des GovCERT
- Ermächtigung sowie Beaufsichtigung von CSIRTs
- Zulassung sowie Kontrolle der Einhaltung der Erfordernisse unabhängiger Stellen und unabhängiger Prüfer
- Ausübung der Aufsichts- und Durchsetzungsmaßnahmen gegenüber wesentlichen und wichtigen Einrichtungen
Unabhängige Stellen und unabhängige Prüfer
Von Seiten der Cybersicherheitsbehörde können sog. unabhängige Stellen (juristische Person oder eingetragene Personengesellschaft mit Niederlassung in Österreich) definiert werden. Diese sind zur Prüfung der Umsetzung der Risikomanagementmaßnahmen wesentlicher und wichtiger Einrichtungen ermächtigt. Diese Stelle muss zumindest einen von der Cybersicherheitsbehörde zugelassenen unabhängigen Prüfer einsetzen.
Governance
Die Leitungsorgane (bspw. Geschäftsführung bei GmbHs, Vorstände bei Aktiengesellschaften) wesentlicher und wichtiger Einrichtungen haben die Einhaltung die Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen.
Leitungsorgane, die ihre Pflichten nach Abs. 1 verletzen, haften der Einrichtung für den schuldhaft verursachten Schaden. Sie müssen an für diese Zielgruppe spezifisch gestalteten Cybersicherheitsschulungen teilnehmen. Die Einrichtungen haben den Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, damit diese ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben können.
Risikomanagementmaßnahmen
Wesentliche und wichtige Einrichtungen haben geeignete und verhältnismäßige technische, operative und organisatorische Risikomanagementmaßnahmen in den Bereichen umzusetzen, die in Anlage 3 aufgelistet sind. Ziel dieser Maßnahmen ist es die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Cybersicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten. Bei der Bewertung der Verhältnismäßigkeit der Risikomanagementmaßnahmen sind
- das Ausmaß der Risikoexposition der Einrichtung sowie ihrer Dienste,
- die Größe der Einrichtung,
- die Wahrscheinlichkeit des Eintretens von Cybersicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen,
gebührend zu berücksichtigen. Per Verordnung legt der Bundesminister für Inneres technische, operative und organisatorische Anforderungen für die umzusetzenden Risikomanagementmaßnahmen fest. Diese Anforderungen können auch sektorspezifisch festlegt werden.
Nachweis der Wirksamkeit von Maßnahmen
Wesentliche und wichtige Einrichtungen haben innerhalb von sechs Monaten nach Aufforderung durch die Cybersicherheitsbehörde dieser eine Aufstellung umgesetzter Risikomanagementmaßnahmen zu übermitteln (Selbstdeklaration).
Wesentliche Einrichtungen haben gegenüber der Cybersicherheitsbehörde innerhalb von drei Jahren nach Aufforderung zur Selbstdeklaration, frühestens jedoch sechs Monate vor Ablauf dieser Frist, die Umsetzung der Risikomanagementmaßnamen mittels einer Prüfung durch eine unabhängige Stelle nachzuweisen. Für bereits im Scope des NIS1 Gesetzes liegende wesentliche Einrichtungen beginnt die dreijährige Frist bereits mit dem Zeitpunkt des letzten Nachweises.
Die Kosten von Prüfungen durch unabhängige Stellen sind von der geprüften Einrichtung zu tragen. Wesentliche und wichtige Einrichtungen haben der Cybersicherheitsbehörde geplante Prüfungen spätestens ein Monat vor Beginn derer Durchführung durch Übermittlung eines Prüfplans bekannt zu geben.
Berichtspflichten
Dem zuständigen CSIRT (Cybersecurity Incident Response Team) sind erhebliche Cybersicherheitsvorfall unverzüglich zu melden. Das CSIRT leitet die Meldung unverzüglich an die Cybersicherheitsbehörde weiter.
Zu melden sind:
- unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Cybersicherheitsvorfalls, eine Frühwarnung, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Cybersicherheitsvorfall auf rechtswidrige und schuldhafte Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
- unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Cybersicherheitsvorfalls, eine Meldung über den Cybersicherheitsvorfall, in der gegebenenfalls die Informationen aktualisiert werden und eine erste Bewertung des erheblichen Cybersicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;
- auf Ersuchen eines CSIRT oder gegebenenfalls der Cybersicherheitsbehörde einen Zwischenbericht über relevante Statusaktualisierungen;
- spätestens einen Monat nach Übermittlung der Meldung des Cybersicherheitsvorfalls einen Abschlussbericht
Aufsichtsmaßnahmen und Durchsetzungsmaßnahmen
Die Cybersicherheitsbehörde ist unter anderem dazu befugt bei den betroffenen Einrichtungen vor Ort Kontrollen und Sicherheitsscans durchzuführen. Weiters kann diese Informationen für die Bewertung umgesetzter Risikomanagementmaßnahmen und den Zugang zu Daten, Dokumenten und sonstigen Informationen anfordern, die zur Erfüllung der Aufsichtsaufgaben erforderlich sind. Nicht zuletzt kann diese auch Ad-hoc-Prüfung aufgrund eines erheblichen Cybersicherheitsvorfalls, eines Verstoßes gegen dieses Bundesgesetz oder der Überprüfung einer übermittelten Selbstdeklaration durchführen. Die Durchsetzung dieser Befugnisse kann per Bescheid unter Angabe von Fristen für die nachweisliche Maßnahmenumsetzung angeordnet werden. Kommen Einrichtungen dem Bescheid nicht nach, ist die Cybersicherheitsbehörde dazu befugt die Zertifizierung oder Genehmigung für die von der Einrichtung erbrachten Dienste oder Tätigkeiten vorübergehend auszusetzen. Außerdem kann Leitungsorganen vorübergehend die Wahrnehmung von Leitungsaufgaben in dieser wesentlichen Einrichtung untersagt werden.
Strafen und Haftung
Das Leitungsorgan haften schadenersatzrechtlich, wenn dem Unternehmen durch die Nichteinhaltung ein schuldhaft verursachter Schaden entstanden ist. Das Leitungsorgan ist dazu verpflichtet, die notwendigen Fähigkeiten im Bereich Cybersicherheit durch Schulungsmaßnahmen anzueignen. Bei Nichterfüllung des NIS2-Gesetzes drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen (je nachdem, welcher Betrag höher ist).
Inkrafttreten & Registrierpflicht
Im Gesetz ist kein Termin für das Inkrafttreten genannt. Es wird angenommen, dass das Gesetz mit 18. Oktober 2024 in Kraft tritt. Dies ist der auf die Umsetzungsfrist der NIS2 EU-Richtlinie folgende Tag. Im Gegensatz zum bisher bestehenden österreichischen NIS1-Gesetz, in dem betroffene Organisationen per Bescheid informiert wurden, ist im NIS2-Entwurf eine Registrierung durch die betroffenen Organisationen innerhalb von 3 Monate ab Inkrafttreten selbst durchzuführen.
Certitude Consulting ist Ihr kompetenter Partner
Sie benötigen Unterstützung, um die Anforderungen des NIS2 Gesetzes adäquat und fristgerecht zu erfüllen? Certitude Consulting ist bereits bisher intensiv im Bereich der österreichischen kritischen Infrastruktur beschäftigt und auch Qualifizierte Stelle (QuaSte bzw. NIS-Prüfer) im Sinne des NIS1-Gesetzes.
Wir führen gerne ein unverbindliches Gespräch mit Ihnen!
Kontaktieren Sie uns unter office@certitude.consulting
Anhänge
Autoren: Markus Hefler, Marc Nimmerrichter
[1] https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=d89675d0-5bd0-491e-890e-abdb8483a42f&Position=1&SkipToDocumentPage=True&Abfrage=Begut&Einbringer=&Titel=&DatumBegutachtungsfrist=03.04.2024&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ImRisSeitChangeSet=Undefined&ImRisSeitForRemotion=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9