Seit Verabschiedung der NIS 2 EU-Richtlinie gibt es auch bei Geschäftsführern mittelständischer Unternehmen eine gesteigerte Awareness für Cybersicherheit. Investitionen in diesen Bereich haben sich in den letzten Jahren deutlich erhöht, womit sich auch der Reifegrad der Unternehmen merklich verbessert hat. Das zeigt sich beispielsweise durch die Benennung von Informationssicherheitsverantwortlichen in vielen Unternehmen und die regelmäßigere Durchführung von technischen Audits“, betont Marc Nimmerrichter, Geschäftsführer des ausschließlich auf Cybersicherheit spezialisierten Unternehmens Certitude Consulting. 

 

Registrierungspflicht

Unternehmen müssen selbstständig anhand der drei kumulativ anzuwendenden Kriterien (Unternehmensgröße, anwendbarer Sektor, Territorialität) die Anwendbarkeit des NISG 2026 prüfen und sich innerhalb von drei Monaten nach Inkrafttreten (Ende des Jahres 2026) beim neuen Bundesamt für Cybersicherheit, das beim Innenministerium angesiedelt ist, registrieren.

„Bereits von NIS 1 betroffene Unternehmen haben sich frühzeitig mit NIS 2 auseinandergesetzt. Im Mittelstand bei den durch NIS 2 neu betroffenen Unternehmen wurde gezögert und die Verabschiedung des österreichischen Gesetzes abgewartet. Diese müssen jetzt handeln. Die Übergangsfrist von 9 Monaten ist für unvorbereitete Einrichtungen straff“, warnt Nimmerrichter.

 

Anwendungsbereich

Der Anwendungsbereich wird analog zu NIS 2 sektoral und entsprechend der Unternehmensgröße erweitert. Das Gesetz unterscheidet wie die Richtlinie zwischen wesentlichen und wichtigen Einrichtungen. Während besonders kritische Sektoren nun größenunabhängig erfasst sind, sind in weiteren Sektoren nur große (ab 250 Mitarbeiter oder über 50 Millionen Euro Jahresumsatz und über 43 Millionen Euro Bilanzsumme) und mittlere Unternehmen (ab 50 Mitarbeiter oder über zehn Millionen Euro Jahresumsatz und über zehn Millionen Euro Bilanzsumme) erfasst.

Aber auch andere Unternehmen, die nicht direkt vom Anwendungsbereich des NISG 2026 erfasst sind, werden z.T. indirekt betroffen sein, da wesentliche oder wichtige Einrichtungen aufgefordert sind, auch ihre Lieferkette abzusichern.

 

 

 

Selbstdeklaration 

Mit der Registrierung beim Bundesamt für Cybersicherheit beginnt gleichzeitig die Frist für die Selbstdeklaration. Wesentliche und wichtige Einrichtungen haben innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht der Cybersicherheitsbehörde – voraussichtlich Ende des Jahres 2027 – Informationen hinsichtlich umgesetzter Risikomanagementmaßnahmen sowie die Ergebnisse der durchgeführten Risikoanalyse und zur Sicherheit der Lieferketten zu übermitteln.

 

Risikomanagementmaßnahmen

Die wesentlichen und wichtigen Betreiber müssen angemessene und verhältnismäßige Risikomanagementmaßnahmen in technischer, operativer und organisatorischer Hinsicht ergreifen. „Derzeit lässt das Gesetz noch größeren Interpretationsspielraum hinsichtlich der Verhältnismäßigkeit von Maßnahmen zu. Eine Konkretisierung durch Verordnungen ist zu erwarten“, unterstreicht Marc Nimmerrichter.

Die geforderten Maßnahmen umfassen:

 

·       Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme

·       Prozesse zum Umgang mit Sicherheitsvorfällen (Vorbeugung, Erkennung und Reaktion auf Vorfälle)

·       Vorkehrungen zur Geschäftskontinuität (Backup-Management und Wiederherstellung nach einem Notfall) und zum Krisenmanagement

·       Verfahren in Bezug auf die Sicherheit der Lieferkette

·       Prozesse zur Sicherheit bei Erwerb, Entwicklung und Instandhaltung von Netzwerk- und Informationssystemen einschließlich Handhabung und Offenlegung von Schwachstellen

·       Erstellung der Richtlinien und Verfahren (Testen und Auditieren) zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen 

·       Sicherheit des Personals, Konzepte für die Zugriffskontrolle von Anlagen

·       Awareness-Schulungen für Mitarbeiter, Verfahren für „Cyberhygiene“ 

·       Prozesse für die Verwendung von Kryptografie und Verschlüsselung

·       Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung

·       gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

 

Externe Audits

Das Bundesamt für Cybersicherheit kann wesentliche und wichtige Einrichtungen zusätzlich zur Selbstdeklaration auch externen Audits zur Überprüfung der technischen, operativen und organisatorischen Umsetzung der Risikomanagementmaßnamen auffordern. Der Nachweis muss binnen 2 Jahren ab Aufforderung erfolgen. Davon abweichend müssen wesentliche Einrichtungen den Nachweis für operative und organisatorische Risikomanagementmaßnahmen bereits binnen 2 Monaten erbringen. Dies heißt de-facto, dass wesentliche Einrichtungen entsprechende Audits regelmäßig durchführen müssen, um eine solche First einhalten zu können. Ein Nachweis der operativen sowie organisatorischen Umsetzung kann dabei auch durch einschlägige gültige Zertifikate, wie bspw. einem ISO 270001 Zertifikat, erfolgen. Für die Umsetzung der technischen Maßnahmen muss hingegen ein entsprechender Prüfbericht an die Cybersicherheitsbehörde übermittelt werden. Die erstmalige Aufforderung für eine externe Überprüfung kann frühestens zwei Jahren ab Inkrafttreten des Gesetzes im Herbst 2028 erfolgen. „Das Gesetz ist grundsätzlich ein richtiger und wichtiger Schritt und die Berücksichtigung des Feedbacks der Wirtschaft hat das neue Gesetz praktikabler gemacht. Zum Beispiel die Anerkennung einschlägiger Zertifikate vermeidet Doppelarbeiten und Kosten bei den betroffenen Unternehmen“, ist der Geschäftsführer von Certitude überzeugt.

 

Meldepflichten

Ab Inkrafttreten des Gesetzes im Herbst 2026 sind betroffene Unternehmen verpflichtet, erhebliche Sicherheitsvorfälle in einem dreistufigen System zu melden: Frühwarnungen sind spätestens binnen 24 Stunden zu erstatten. Binnen 72 Stunden muss eine Meldung mit einer strukturierten Bewertung der Auswirkungen und eingeleiteten Gegenmaßnahmen erfolgen. Spätestens einen Monat nach dem Vorfall erfolgt ein Abschlussbericht mit einer Analyse der wahrscheinlichen Ursachen und Angaben zu den getroffenen und laufenden Abhilfemaßnahmen. Ein Sicherheitsvorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung oder andere natürliche oder juristische Personen verursachen kann.

 

Schulungen

Die Leitungsorgane von betroffenen Unternehmen müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen. Die Einrichtungen müssen zudem den Mitarbeitern regelmäßig sowohl Schulungen für Managementpraktiken im Bereich der Informationssicherheit als auch allgemeine Awareness-Schulungen anbieten, um die Fähigkeiten zur Erkennung und Bewertung von Risiken zu verbessern.

Sanktionen

 

Die Nichteinhaltung der Vorschriften durch die Betreiber kann in Form von Bußgeldern – Strafen von zumindest EUR 10 Mio., bzw. wenn höher, 2% des weltweiten Umsatzes für das vergangene Geschäftsjahr – bestraft werden. Darüber hinaus haften Leitungsorgane persönlich für Schäden, die dem Unternehmen durch eine schuldhafte Pflichtverletzung entstanden sind.

 

Über Certitude Consulting GmbH

Certitude ist ein international tätiger Spezialist für Informationssicherheit und betreut Unternehmen aller Branche in der Prävention von Cyber-Angriffen oder unterstützt diese im Ernstfall. Certitude ist bereits bisher, u.a. als vom BMI akkreditierte Qualifizierte Stelle (QuaSte bzw. NIS-Prüfer) im Sinne des NIS1-Gesetzes, intensiv im Bereich der österreichischen kritischen Infrastruktur beschäftigt und führte NIS-Audits kritischer Einrichtungen durch.