Welche Branchen sind von NIS-2 betroffen?

Der Anwendungsbereich von NIS-2 umfasst 18 Sektoren, die in zwei Klassen unterteilt sind. Zu den „ Sektoren mit hoher Kritikalität “ zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Zu den „ sonstigen kritischen Sektoren “ zählen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Welche Unternehmen sind von NIS-2 betroffen?

Betroffen sind große Unternehmen mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Jahresumsatz und über 43 Mio. Euro Jahresbilanzsumme sowie mittlere Unternehmen mit 50 bis 249 Beschäftigten oder zwischen 10 und 50 Mio. Euro Jahresumsatz bzw. zwischen 10 und 43 Mio. Euro Jahresbilanzsumme. Kleine Unternehmen sind grundsätzlich nicht im direkten Anwendungsbereich, können aber über Sonderbestimmungen im Anwendungsbereich oder über die Lieferkette betroffen sein.

Welche Maßnahmen erfordert NIS-2?

Betroffene Unternehmen und Organisationen müssen geeignete Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit, Verfügbarkeit und Integrität ihrer Netzwerke und IT-Systeme zu gewährleisten. Dazu gehören die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen, Maßnahmen, die zur Erkennung und Minimierung von Sicherheitsvorfällen beitragen, die Sicherstellung der Geschäftskontinuität durch Backup- und Krisenmanagementmaßnahmen, Maßnahmen zur Gewährleistung der Sicherheit der Lieferketten, Cyberhygieneverfahren sowie Schulungen, Fort- und Weiterbildungen im Bereich der Cybersicherheit, der Einsatz von Kryptografie und Verschlüsselungstechnologie, Personalsicherheit, Zugriffskontrollen und Management von Anlagen, Lösungen für Multi-Faktor-Authentifizierungen oder kontinuierliche Authentifizierungen sowie die Verwendung von sicherer Sprach-, Video- und Textkommunikation

Welche Sanktionen drohen bei Nichtbeachtung von NIS-2?

Mit NIS 2 kann die Geschäftsführung eines Unternehmens oder Leitungsorgane einer Organisation persönlich haftbar gemacht werden. Sie müssen die Umsetzung und Einhaltung der Risikomanagementmaßnahmen gewährleisten und überwachen. Verstöße gegen das NIS-2-Gesetz ziehen hohe Bußgelder nach sich: Für wesentliche Einrichtungen beträgt der Bußgeldrahmen bis zu 10 Mio. Euro oder bis zu 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist). Bei wichtigen Einrichtungen kann ein Bußgeld bis zu 7 Mio. Euro oder bis zu 1,4 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) schlagend werden.

NIS2 Richtlinie Österreich

Q: Was ist der Unterschied zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“?

Als wesentliche Einrichtungen gelten große Unternehmen, die einem der „Sektoren mit hoher Kritikalität“ zuzurechnen sind. Sie unterliegen regelmäßigen und gezielten Sicherheitsprüfungen ( ex-ante ) und Stichprobenkontrollen. Zu den wichtigen Einrichtungen zählen mittlere Unternehmen aus „Sektoren mit hoher Kritikalität“ sowie große und mittlere Unternehmen aus „sonstigen kritischen Sektoren“. Hier finden Überprüfungen vor Ort sowie externe nachträgliche Aufsichtsmaßnahmen nur bei begründetem Verdacht ( ex-post ) statt.

Q: Was ist bei Sicherheitsvorfällen zu tun?

Sobald ein Problem erkannt wurde, muss binnen 24 Stunden gemeldet werden, ob der Vorfall auf einer rechtswidrigen oder böswilligen Handlung beruht bzw. grenzübergreifende Auswirkungen haben kann (= Frühwarnung). Binnen 72 Stunden muss eine erste Einschätzung des Cybersicherheitsvorfalls abgegeben werden. Ein Monat nach der Meldung muss ein Zwischen- bzw. Abschlussbericht mit einer ausführlichen Beschreibung des Cybersicherheitsvorfalls übermittelt werden.

Wir begleiten Ihr Unternehmen bei der Erfüllung der rechtlichen und technischen Anforderungen der NIS2-Richtlinie. Durch fachkundige Beratung und strategische Lösungen verbessern wir nachhaltig die Cybersicherheit in Ihren relevanten Netzwerk- und Informationssystemen. So stellen wir sicher, dass Ihr Betrieb optimal auf NIS2 ausgerichtet und vorbereitet ist.

NIS2 ist die zweite Version der Richtlinie zur Netz- und Informationssicherheit, welche die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und digitale Diensteanbieter in der Europäischen Union regelt. Sie erweitert den bisherigen NIS-Geltungsbereich wesentlich, stellt umfangreichere Anforderungen an das Risikomanagement sowie die Meldung von Vorfällen und sieht strengere Maßnahmen zur Durchsetzung vor. NIS2 tritt ab dem 17. Oktober 2024 für österreichische Unternehmen in Kraft.

Bereiten Sie Ihr Unternehmen auf die neuen NIS2 Standards vor

Vereinbaren Sie einen individuellen Termin, um Ihre Fragen mit unseren NIS2 Spezialist:innen zu besprechen.

Kontaktieren Sie uns

SEC Consult & Eviden - NIS2 Beratung aus einer Hand

Die moderne Landschaft der Gesetze und Vorschriften zur Informationssicherheit kann überwältigend sein, insbesondere für kleinere Organisationen. Wir unterstützen Sie dabei, Cybersicherheitsanforderungen zu verstehen und damit verbundene Maßnahmen zu ermitteln, damit die Einhaltung der NIS2-Vorschriften gewährleistet wird.

Nachdem wir gemeinsam den Umfang des Projekts definiert haben, wird eine gründliche Lückenbewertung in Bezug auf die NIS2-Anforderungen und Branchenstandards durchgeführt. Anschließend wird eine maßgeschneiderte Konformitätsstrategie entwickelt, gefolgt von der Erstellung eines detaillierten Projektplans mit Cybersicherheitsmaßnahmen.

Wir bieten Ihnen fortlaufende Unterstützung, einschließlich des Zugangs zu Vorlagen, durch unsere Cybersicherheitsexpert:innen. Interne oder "QuaSte"-Audits stellen die laufende Einhaltung der Vorschriften sicher, ergänzt durch Due-Diligence-Prüfungen von professionellen Rechtsexpert:innen. Durch diese Schritte können Sie Ihre Cybersicherheitslage effizient verbessern und Ihre NIS2-Verpflichtungen erfüllen.

Unsere Leistungen umfassen

Angriffssimulation
Readiness Assessment
Umsetzungsbegleitung
Security Trainings
Security Assessments
Security Services
Beratung für Ihr Supplier Management
Auditierung als QuaSte
Rechtsberatung

Erfahren Sie mehr über unser NIS2 Leistungen

Unser Angebot für Ihr Unternehmen im Überblick

Download

Langjährige Erfahrung

SEC Consult und Eviden verfügen über umfangreiche Kenntnisse in der Implementierung und Auditierung von Informationssicherheits-Managementsystemen nach gängigen Standards wie ISO 27001 oder VDA ISA 5.x und 6.x. Damit Ihr Unternehmen die besten Ergebnisse erzielt, werden unsere Leistungen genau auf Ihre Bedürfnisse zugeschnitten.

Multidisziplinäres Expert:innenteam

Unser Team bietet Expert:innen aus allen Bereichen der Cybersicherheit: Infrastruktur, Governance, Risiko und Compliance, Anwendungen, OT- oder IoT-Systeme, SAP oder Incident Response. Das ermöglicht es uns, die besten Ergebnisse für unsere Kunden zu gewährleisten.

QuaSte

Seit 2021 ist SEC Consult als "Qualifizierte Stelle" akkreditiert und hat seither zahlreiche Audits in unterschiedlichsten Branchen durchgeführt. Durch enge Kommunikation mit Behörden und Interessenvertretungen können wir unsere Dienstleistungen optimal auf das gesetzeskonforme Niveau ausrichten.

Was Sie über NIS2 wissen sollten

Der Anwendungsbereich von NIS-2 umfasst 18 Sektoren, die in zwei Klassen unterteilt sind.

Zu den „Sektoren mit hoher Kritikalität“ zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum.
Zu den „sonstigen kritischen Sektoren“ zählen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Betroffen sind

große Unternehmen mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Jahresumsatz und über 43 Mio. Euro Jahresbilanzsumme sowie
mittlere Unternehmen mit 50 bis 249 Beschäftigten oder zwischen 10 und 50 Mio. Euro Jahresumsatz bzw. zwischen 10 und 43 Mio. Euro Jahresbilanzsumme.
Kleine Unternehmen sind grundsätzlich nicht im direkten Anwendungsbereich, können aber über Sonderbestimmungen im Anwendungsbereich oder über die Lieferkette betroffen sein.

Als wesentliche Einrichtungen gelten große Unternehmen, die einem der „Sektoren mit hoher Kritikalität“ zuzurechnen sind. Sie unterliegen regelmäßigen und gezielten Sicherheitsprüfungen (ex-ante) und Stichprobenkontrollen. Zu den wichtigen Einrichtungen zählen mittlere Unternehmen aus „Sektoren mit hoher Kritikalität“ sowie große und mittlere Unternehmen aus „sonstigen kritischen Sektoren“. Hier finden Überprüfungen vor Ort sowie externe nachträgliche Aufsichtsmaßnahmen nur bei begründetem Verdacht (ex-post) statt.

Betroffene Unternehmen und Organisationen müssen geeignete Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit, Verfügbarkeit und Integrität ihrer Netzwerke und IT-Systeme zu gewährleisten. Dazu gehören

die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen,
Maßnahmen, die zur Erkennung und Minimierung von Sicherheitsvorfällen beitragen,
die Sicherstellung der Geschäftskontinuität durch Backup- und Krisenmanagementmaßnahmen,
Maßnahmen zur Gewährleistung der Sicherheit der Lieferketten,
Cyberhygieneverfahren sowie Schulungen, Fort- und Weiterbildungen im Bereich der Cybersicherheit,
der Einsatz von Kryptografie und Verschlüsselungstechnologie,
Personalsicherheit, Zugriffskontrollen und Management von Anlagen,
Lösungen für Multi-Faktor-Authentifizierungen oder kontinuierliche Authentifizierungen sowie
die Verwendung von sicherer Sprach-, Video- und Textkommunikation

Sobald ein Problem erkannt wurde, muss binnen 24 Stundengemeldet werden, ob der Vorfall auf einer rechtswidrigen oder böswilligen Handlung beruht bzw. grenzübergreifende Auswirkungen haben kann (= Frühwarnung).

Binnen 72 Stunden muss eine erste Einschätzung des Cybersicherheitsvorfalls abgegeben werden.

Ein Monat nach der Meldung muss ein Zwischen- bzw. Abschlussbericht mit einer ausführlichen Beschreibung des Cybersicherheitsvorfalls übermittelt werden.

Mit NIS 2 kann die Geschäftsführung eines Unternehmens oder Leitungsorgane einer Organisation persönlich haftbar gemacht werden. Sie müssen die Umsetzung und Einhaltung der Risikomanagementmaßnahmen gewährleisten und überwachen.

Verstöße gegen das NIS-2-Gesetz ziehen hohe Bußgelder nach sich:

Für wesentliche Einrichtungen beträgt der Bußgeldrahmen bis zu 10 Mio. Euro oder bis zu 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist).
Bei wichtigen Einrichtungen kann ein Bußgeld bis zu 7 Mio. Euro oder bis zu 1,4 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) schlagend werden.