NIS 2 Update: Cybersicherheit nun per Gesetz vorgegeben

Das EU-Parlament hat am 10. November 2022 mit einer überwältigenden Mehrheit von 577 Stimmen zu 6 Gegenstimmen und 31 Enthaltungen den NIS 2 Entwurf abgesegnet. „Ransomware und andere Cyber-Bedrohungen haben Europa schon viel zu lange heimgesucht. Wir müssen handeln, um unsere Unternehmen, Regierungen und die Gesellschaft widerstandsfähiger gegen feindliche Cyberoperationen zu machen“, sagte der federführende Europaabgeordnete Bart Groothuis. Österreich hat nun 21 Monate Zeit, diese Richtlinie in ein nationales Gesetz zu überführen.

Was bedeutet das für österreichische Unternehmen?

Die NIS 2 erweitert die betroffenen Branchen deutlich, nämlich auf 11 essential und 7 important Sektoren. Spätestens ab August 2024 werden Unternehmen aus der Industrie (Manufacturing – konkret Medizingeräte, Computer, Elektronik, Optik, Elektrik, Maschinenbau, Automobile und Transport) mit mehr als 50 Mitarbeiter:innen oder mehr als 10 Mio. EUR jährlichen Umsatz mit zahlreichen Cyber Security Pflichten belegt.

Unternehmen und Organisationen benötigen aktiv einen verbesserten Risikomanagementansatz. Auch Lieferketten und Abhängigkeiten von Partnerunternehmen müssen betrachtet und inkludiert werden. Bei significant incidents muss binnen 24 Stunden eine Frühwarnung und binnen 72 Stunden eine Einschätzung an die Behörde erfolgen. Für Verstöße gegen Artikel 21 oder 23 (Cyber Security Maßnahmen und Meldungen) liegen die Sanktionen für Betriebe aus den important Sektoren bei 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes.

Quellen

Autor

Andreas Willert, CMSE®

Consulting Services | Competence Center Industrial Security bei Pilz Österreich