Zum Hauptinhalt springen

NIS-2 – Die neue Cybersicherheits-Richtlinie

Neue Anforderungen beim Thema Cybersicherheit für österreichische Unternehmen: Was ist zu tun?

Cybersicherheit hat in einer zunehmend digitalisierten Welt höchste Priorität. Unternehmen unterschiedlicher Größen und Branchen müssen sich mit dem Thema auseinandersetzen und auf den Ernstfall vorbereitet sein. Österreichischen Unternehmen steht eine weitere Herausforderung bevor: Die Anforderungen der NIS-2-Richtlinie. Der aktuelle Gesetzesentwurf hat im Parlament noch keine notwendige Zweidrittelmehrheit erhalten und wird überarbeitet. Fest steht allerdings: Aufgeschoben ist nicht aufgehoben. Die Richtlinie muss jedenfalls in österreichisches Recht umgesetzt werden und betroffene Unternehmen müssen konform sein. Wir unterstützen Sie gerne von Anfang an bei der Umsetzung sämtlicher Anforderungen und sorgen dafür, dass Sie NIS-2-fit sind.

Unser mulitdisziplinäres Expert:innen-Team unterstützt Unternehmen aus den verschiedensten Branchen bei der Umsetzung der NIS-2-Richtlinie. Wir entwickeln gemeinsam mit Ihnen maßgeschneiderte Lösungen für Ihr Unternehmen und holen Sie dort ab, wo Sie stehen. Wir decken alle Kompetenzbereiche, die zur Sicherstellung Ihrer umfassenden NIS-2-Compliance nötig sind, vollumfänglich ab.

NIS-2 - Ein Überblick

Die Abkürzung "NIS" steht für "Network and Information Systems" und bezieht sich auf die Sicherheit von Netzwerken und Informationssystemen. NIS-2 ist die zweite Version der EU-Richtlinie, die die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und digitale Diensteanbieter in der Europäischen Union regelt. Diese Richtlinie wurde entwickelt, um die Widerstandsfähigkeit und Sicherheit von kritischen Infrastrukturen und digitalen Diensten zu erhöhen.

Die umfangreichen Anforderungen von NIS-2 und der damit verbundene Umsetzungsaufwand mag für viele Unternehmen auf den ersten Blick abschreckend wirken. NIS-2 ist jedoch auch eine wertvolle Chance, sich auf sehr reale Cyber-Risiken vorzubereiten, allenfalls vorhandene Sicherheitsmaßnahmen kritisch zu hinterfragen und Prozesse zu optimieren. Dies führt langfristig zu einer sichereren, resilienteren und flexibleren Organisation.

Es wird geschätzt, dass in Österreich 3.500 bis 5.000 Unternehmen von NIS-2 betroffen sein werden. Das liegt daran, dass die Sektoren, welche als kritisch gelten, deutlich erweitert wurden. Neben den bekannten Sektoren wie Verkehr, Energie und Trinkwasserversorgung ist nun beispielsweise auch Handel, Produktion und Vertrieb von Lebensmitteln, chemischen Stoffen oder Maschinenbau umfasst. Betroffene Unternehmen müssen sich eigenständig binnen 3 Monaten nach Inkrafttreten der NIS-2 bei der Cybersicherheitsbehörde registrieren.

Die EU-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und soll von den EU-Mitgliedsstaaten bis spätestens 17. Oktober 2024 in nationales Recht umgesetzt werden. Die Anforderungen der NIS-2 werden mit dem österreichischen Gesetz schlagend, wobei der aktuelle Gesetzesentwurf im Parlament noch nicht die notwendige Zweidrittelmehrheit erhalten hat. Es steht jedoch fest, dass die Richtlinie jedenfalls in österreichisches Recht umgesetzt wird. Es ist vorgesehen, dass wesentliche und wichtige Einrichtungen innerhalb von sechs Monaten nach Aufforderung durch die Cybersicherheitsbehörde einen Nachweis über die Wirksamkeit der getroffenen Maßnahmen zu erbringen haben (Selbstdeklaration).
Die betroffenen Unternehmen haben nun eine einmalige Möglichkeit erhalten und sollten nun die „Verzögerung“ nutzen, um die Umsetzung der geforderten Maßnahmen voranzutreiben.

Die NIS-2 vereinheitlicht das Cybersicherheitsniveau innerhalb der EU, stärkt die Resilienz der betroffenen Unternehmen und verbessert die Reaktion auf Sicherheitsvorfälle. Betroffene Unternehmen haben nach Stand der Technik geeignete und verhältnismäßige technische, operative und organisatorische Risikomanagement-Maßnahmen in den definierten Bereichen umzusetzen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Cybersicherheits-Vorfällen zu verhindern bzw. zu minimieren.

Wie kann Deloitte bei der Umsetzung von NIS-2 unterstützen?

 

Der Deloitte NIS-2-Baukasten

Unser multidisziplinäres Expert:innen-Team unterstützt Sie gerne mit einem beratenden Gespräch, um eine individuelle NIS-2-Lösung zu schneidern. Für mittlere und teils große Unternehmen hat Deloitte einen NIS-2-Baukasten entwickelt, der als Ansatz für einen modularen Weg zur NIS-2-Konformität genutzt werden kann. Der Baukasten umfasst 23 Module, die dazu beitragen, NIS-2-Compliance zu erreichen.

 

NIS-2-Baukasten

Mehr Infos zu unserem Baukasten finden Sie in unserem Produktblatt.

Fazit

NIS-2 ist für die Europäische Union eine wichtige Weiterentwicklung in Sachen Cybersicherheit. Durch die Einhaltung der Richtlinie wird die Sicherheit ihrer digitalen Dienste gewährleistet und rechtliche Konsequenzen vermieden.

Handeln Sie jetzt und machen Sie Ihr Unternehmen NIS-2-fit!

Sie haben noch offene Fragen zu NIS-2, dem Anwendungsbereich oder der Umsetzung? Kontaktieren Sie uns, unsere Deloitte und Deloitte Legal Expert:innen bieten Unterstützung und maßgeschneiderte Beratungsdienste für Ihr Unternehmen.

Im Kontext der neuen Cybersicherheitsrichtlinie NIS-2 ist auch eine ganzheitliche Datenschutz-Compliance von entscheidender Bedeutung. Lesen Sie hier mehr darüber, wie wir Sie mit unserem multidisziplinären Ansatz unterstützen.