Network and Information Security Directive (NIS2-RL): Unterschied zwischen den Versionen

; Richtlinie (EU) 2022/2555
Titel:	Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148
Kurztitel:	NIS-2-Richtlinie
Bezeichnung:; (nicht amtlich)	NIS2-RL
Geltungsbereich:	EWR
Rechtsmaterie:	Binnenmarkt, Cybersicherheit
Grundlage:	AEUV, insbesondere Art. 114
Anzuwenden ab:	17. Oktober 2024 (Umsetzung, Fristverletzung)
Fundstelle:	ABl L 2022/333, 80
Volltext	Konsolidierte Fassung (nicht amtlich); Grundfassung
Regelung muss aktuell in nationales Recht umgesetzt werden.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

← Zum vorherigen Versionsunterschied

VisuellWikitext

Aktuelle Version vom 26. Februar 2025, 18:26 Uhr

Kurzübersicht

Ziele	Anwendungsbereich	Inhalt^[1]	Synergie	Konsequenzen
Aufbau von Cybersicherheitskapazitäten (ErwGr 1 NIS2-RL)	Anhang I (Sektoren mit hoher Kritikalität)	Pflicht für alle MS, nationale Cybersicherheitsstrategien zu verabschieden (Art 7 NIS2-RL)	Datenschutzmanagementsystem	Wesentliche Einrichtungen: Bußgelder mit Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus (Art 1 NIS2-RL)	Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach Art 2 Abs 1 des Anhangs der Empfehlung 2003/361/EG überschreiten	Pflicht für alle MS, diverse Zuständigkeiten zu regeln Aufsichts- und Durchsetzungspflichten für die MS (Art 31 ff NIS2-RL)	Sicherheit der Verarbeitung (Art 32 DSGVO)	Für wichtige Einrichtungen (also alle anderen Einrichtungen die in den Anwendungsbereich der NIS2-RL fallen) beträgt das höchstmögliche Bußgeld mindestens 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes. Für beide gilt der jeweils höhere Betrag.
Eindämmung von Bedrohungen in Schlüsselsektoren (ErwGr 1 NIS2-RL)	Ist von den MS bis zum 17. Oktober 2024 umzusetzen (nicht erfolgt)	Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (Art 20 ff NIS2-RL) sowie Berichtspflichten (Art 23 NIS2-RL) für betroffene Einrichtungen	Verschwiegenheitsklauseln	Behördliche Anweisungen und Anordnungen. Auch Anordnung der Aussetzung der Tätigkeit ist möglich. (Art 32 NIS2-RL)
		Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (Art 29 ff NIS2-RL)		Leitungsorgane können persönlich haften (Art 20 NIS2-RL)

Einführung

Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union^[2] (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union^[3] („NIS-RL“).

Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der Anwendungsbereich deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein Meldesystem bei Sicherheitsvorfällen gemacht und neue Haftungstatbestände geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2^[4] novelliert wird. Daneben ist die Durchführungsverordnung (EU) 2024/2690^[5] beachtlich.

Die NIS2-RL zielt darauf ab, eine robuste, dem risikobasierten Ansatz folgende Sicherheitsinfrastruktur für die EU zu schaffen. Der Fokus liegt nicht darauf, jedes Einzelgerät abzusichern, sondern die Resilienz wesentlicher und wichtiger Einrichtungen zu gewährleisten.

Der Nationalrat konnte in einer im Juli 2024 abgehaltenen Sitzung zwar eine einfache Mehrheit für das Umsetzungsgesetz (NISG-E) erreichen, da das Gesetz jedoch Verfassungsbestimmungen enthält, bedarf es einer breiteren Zweidrittelmehrheit welche nicht erreicht werden konnte. Hauptgrund für die Absage der Opposition war die Ansiedelung der nationalen Cybersicherheitsbehörde beim Innenministerium.^[6] Die Autoren erwarten keine wesentlichen Änderungen der unstrittigen Regelungspunkte in allfälligen Folgeentwürfen weshalb im Folgenden auf den Regelungsinhalten des vorliegenden Entwurfs (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)^[7] - im Folgenden NISG) aufgebaut wird.

Anwendungsbereich

NIS2-Richtlinie

Persönlicher/Sachlicher Anwendungsbereich

In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem größenabhängigen (Art 2 Abs 1 NIS2-RL) und dem größenunabhängigen (Art 2 Abs 3 NIS2-RL) Anwendungsbereich.

Größenabhängiger Anwendungsbereich

Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS2-RL zunächst an der Size-Cap-Rule an.

Hiernach gilt die NIS2-RL für Einrichtungen

welche mehr als 50 Mitarbeitende beschäftigen
oder mehr als 10 Mio Euro Jahresumsatz^[8] erzielen.

Kumulativ muss die Tätigkeit der Einrichtung in den Anhang I oder II der NIS2-RL fallen.

Anhang I nennt etwa folgende Einrichtungen:

Anhang II nennt etwa folgende Einrichtungen:

Größenunabhängiger Anwendungsbereich

Gemäß Art 2 und Art 3 der NIS2-RL können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS2-RL fallen.

Folgende Tätigkeiten sind hiervon umfasst:

Gemäß Art 2 Abs 2 lit a NIS2-RL Dienste von;

Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
Vertrauensdiensteanbietern
Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern.

Gemäß Art 2 Abs 2 lit b bis f iVm Art 3 Abs 1 lit e NIS2-RL

Dienste, welche die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind
Dienste, deren Störung sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte
Dienste, deren Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte
Einrichtungen, welche aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist
Bestimmte Einrichtungen der öffentlichen Verwaltung

Gemäß Art 2 Abs 3 und 4 NIS2-RL

Einrichtungen, welche nach der Richtlinie für Resilienz kritischer Einrichtungen (CER-RL) als kritisch eingestuft wurden
Domänennamenregistrierungsdienste

Wesentliche und Wichtige Einrichtungen

Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden durch Art 3 NIS2-RL in wesentliche und wichtige Einrichtungen eingeteilt.

Wesentliche Einrichtungen unterstehen einer proaktiven und reaktiven Aufsicht (Art 32 NIS2-RL).

Wichtige Einrichtungen unterliegen nur einer reaktiven Aufsicht (Art 33 NIS2-RL).^[9]

Daneben gelten verschiedene Sanktionsregime.

Territorialer Anwendungsbereich

Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL).

Nationaler Umsetzungsentwurf (NISG)

Persönlicher/Sachlicher Anwendungsbereich

Regelungsgegenstand des NISG sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Die Sektoren entsprechen denen der NIS2-RL und werden durch die Definition von Teilsektoren in den Anlagen 1^[10] und 2^[11] zum NISG ergänzt.

Eine "Einrichtung" iSd NISG ist gemäß § 3 Abs 10 NISG "eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann".

Anstelle eines zweistufigen Vorgehens, wie es in Art 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz ausschließlich § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist.

Größenabhängiger Anwendungsbereich

Große oder mittlere Unternehmen, die in den in den Anlagen 1 und 2 NISG genannten Sektoren tätig sind, gelten jedenfalls als wichtige Einrichtungen im Sinne des § 42 Abs 2 NISG.

Eine Teilmenge dieser Einrichtungen wird in § 24 Abs 1 NISG als wesentliche Einrichtung qualifiziert.

Von der Möglichkeit, bei der Umsetzung der NIS2-RL die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen in den Anwendungsbereich aufzunehmen, wurde abgesehen.^[12]

Größenunabhängiger Anwendungsbereich

Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 (CER-RL) ermittelt wurden gelten als wesentliche Einrichtungen.

Darüber hinaus fallen öffentliche Stellen unter die in § 25 Abs 3 NISG genannten Kriterien. Vereinfacht ausgedrückt sind dies Bundes- und Landeseinrichtungen ohne gewerblichen Auftrag, deren Entscheidungen individuelle Rechte im grenzüberschreitenden Verkehr berühren.

Ausnahmen

Einrichtungen welche aufgrund sektorspezifischer unionsrechtlicher Rechtsakte verpflichtet sind, entweder eigene Risikomanagementmaßnahmen zu ergreifen oder erhebliche Cybersicherheitsvorfälle zu melden, hiernach zumindest ein gleichwertiges Cybersicherheitsniveau gewährleisten müssen, und die Gleichwertigkeit per Verordnung festgestellt wurde (§ 27 NISG). Das könnte etwa auf Einrichtungen zutreffen welche der DORA unterworfen sind.

Einrichtungen im Sektor der öffentlichen Verwaltung, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, militärische Landesverteidigung oder Strafverfolgung ausgeübt werden sowie Einrichtungen des Universitäts-, Hochschul- und Schulwesens, Einrichtungen der Gerichtsbarkeit, Einrichtungen der Gesetzgebung, einschließlich der Parlamentsdirektion sowie der Österreichische Nationalbank gelten nicht als wesentliche oder wichtige Einrichtungen (§ 24 Abs 6 NISG).

Abgrenzungen

Einrichtungen, welche nicht unmittelbar in den Anwendungsbereich fallen, können im Rahmen vertraglicher Konstruktionen mit erfassten Einrichtungen zur Einhaltung der NIS2-RL verpflichtet werden. In diesen Fall sollte geprüft werden für welche Teile die Bestimmungen der so verpflichteten Einrichtung gelten sollten.

Territorialer Anwendungsbereich

Wesentliche und wichtige Einrichtungen sowie Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, unterliegen den Bestimmungen dieses Hauptstücks nur hinsichtlich jener Niederlassungen, die sich in Österreich befinden (§ 28 NISG).

Abweichende Regelungen gelten für Anbieter öffentlicher Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke.

Siehe im Detail § 28 NISG.

Zeitlicher Anwendungsbereich

Die NIS2-RL ist zum aktuellen Bearbeitungszeitpunkt noch nicht in nationales österreichisches Recht umgesetzt worden.

Zentrale Inhalte

Risikomanagementmaßnahmen

NIS2 Richtlinie

Bei der Regulierung von Risikomanagement-Maßnahmen wird ein risikobasierter Ansatz verfolgt, der die Verhältnismäßigkeit berücksichtigt.^[13] Das bedeutet, dass Unternehmen bei der Implementierung von Sicherheitsmaßnahmen folgende Faktoren beachten müssen:

Den aktuellen Stand der Technik
Die Kosten für die Einrichtung der Maßnahmen
Die Größe der Einrichtung
Die Wahrscheinlichkeit von Sicherheitsrisiken
Weitere individuelle Faktoren

Die NIS2-RL definiert in Art 21 Absatz 2 zehn konkrete Maßnahmen und Mindeststandards, deren Implementierung nationale Gesetzgeber fordern müssen.

Diese umfassen:

Richtlinien zur Risikoanalyse und Informationssystemsicherheit
Vorfallbehandlung
Geschäftskontinuität
Lieferkettenmanagement
Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
Verwendung von Kryptografie und Verschlüsselung
Personalsicherheit
Zugriffskontrollen und Vermögensverwaltung
Schulungen zur Cybersicherheit
Sicherheit bei der Anschaffung
Entwicklung und Wartung von Netzwerk- und Informationssystemen
Gesicherte Authentifizierung und Kommunikation

Nationaler Umsetzungsentwurf (NISG)

Mit § 32 NISG wird Art 21 NIS2-RL umgesetzt.

§ 32 Abs 1 NISG verweist auf Anlage 3^[14] zum Gesetz, welches eine mit Blick auf Art 21 NIS2-RL verfeinerte Liste an umzusetzenden Maßnahmen enthält. Hierbei hat sicher der Gesetzgeber stark an Ausarbeitungen auf europäischer Ebene im Rahmen der NIS-Kooperationsgruppe angelehnt.^[15] Gefordert werden organisatorische, technische und operative Maßnahmen.^[16]

§ 32 Abs 2 NISG legt den betroffenen Einrichtungen auf, ein dem bestehenden Risiko angemessenes Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, was den risikobasierten Ansatz bei der Umsetzung von Risikomanagementmaßnahmen unterstreicht.

Bei der Umsetzung von Risikomanagementmaßnahmen sind zu berücksichtigen:

Der Stand der Technik (§ 32 Abs 2 Z 1 lit a NISG)
Einschlägige nationale, europäische und internationale Normen (zB VO (EU) 1025/2012)
Best-Practices (bewährte Verfahren und Methoden)

Die Kosten für die Umsetzung der Maßnahmen sollen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz- und Informationssystem ausgesetzt ist (§ 32 Abs 2 Z 1 lit b NISG).^[17] Es sollen keine unverhältnismäßigen finanziellen und administrativen Belastungen entstehen.

Die Maßnahmen sollen auf einem gefahrenübergreifenden Ansatz beruhen und sowohl die Cybersicherheit als auch die physische Sicherheit berücksichtigen (§ 32 Abs 2 Z 2 NISG).

Dies umfasst:

Schutz vor Systemfehlern, menschlichen Fehlern, böswilligen Handlungen und natürlichen Phänomenen
Sicherheit des Personals
Angemessene Zugangskontrollkonzepte

Besonderer Fokus liegt auf dem Risikomanagement in der Lieferkette (§ 32 Abs 2 Z 3 NISG):

Bewertung von Schwachstellen bei Lieferanten und Anbietern
Berücksichtigung der Gesamtqualität und Widerstandsfähigkeit von Produkten und Diensten
Überprüfung der Cybersicherheitsverfahren und Entwicklungsprozesse von Lieferanten

Einrichtungen müssen Risiken und Abhängigkeiten in Beziehungen zu Dienstleistern identifizieren, bewerten und behandeln.

Prüfgegenstand sind Produkte und Dienste unmittelbarer Lieferanten und Anbieter. Soweit ein Produkt oder Dienst stark auf Subdienstleistern aufbaut, müssen diese notwendigerweise auch in den Prüfumfang fallen. Die Regelungen sind sowohl bei der Auswahl neuer Lieferanten oder Dienstleister als auch bei bestehenden vertraglichen Vereinbarungen zu beachten.^[18]

Einrichtungen können verpflichtet werden, der Cybersicherheitsbehörde eine Liste der implementierten Risikomanagementmaßnahmen zu übermitteln. Einrichtungen können verpflichtet werden, eine Prüfung durch eine unabhängige Stelle nachzuweisen, deren Prüfbericht durch ein Leitungsorgan zu zeichnen ist. Für wichtige Einrichtungengilt dies nur unter bestimmten Voraussetzungen (§ 33 NISG).

Governance-Verpflichtung und Haftung der Leitungsorgane

NIS2-Richtlinie

Die NIS2-RL führt spezifische Governance-Verpflichtungen ein, die sich auf die Leitungs- und Führungsebene beziehen und deren aktive Rolle unterstreicht.

Zu den Hauptaspekten gehören:

Verantwortlichkeit: Die Unternehmensleitung (zB Vorstand, Geschäftsführung) ist für die Billigung und Überwachung der Umsetzung von Risikomanagement-Verpflichtungen verantwortlich.
Persönliche Haftung: Bei Verstößen gegen diese Verpflichtungen können Leitungsorgane persönlich zur Verantwortung gezogen werden.
Schulungspflicht: Leitungsorgane sind verpflichtet, an Cybersicherheitsschulungen teilzunehmen und diese auch ihren Mitarbeitenden anzubieten.
Kompetenzerweiterung: Ziel der Schulungen ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Cybersicherheitsrisiken sowie entsprechende Managementpraktiken zu vermitteln.
Präventiver Ansatz: Durch die Stärkung der Kompetenzen auf Leitungsebene soll Gefahren im Bereich der Cybersicherheit vorgebeugt werden.

Nationaler Umsetzungsentwurf (NISG)

Begriff Leitungsorgan

Der Begriff "Leitungsorgans" beschreibe eine oder mehrere natürliche Personen welche nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung oder innerhalb der Einrichtung zur Überwachung der Geschäftsführung berufen sind (§ 3 Abs 1 Z 11 NISG). Einrichtung und Leitungsorgan können eine Personeneinheit bilden, so etwa ein*e Bundesminister*in.^[19] Die Definition zielt darauf ab, die tatsächliche Leitungs- und Geschäftsführungsebene zu erfassen (grundsätzlich Vorstand, Geschäftsführer*in oder Aufsichtsrat). Vertretungsbefugnis etabliert sohin kein Leitungsorgan.^[20]

Pflichten des Leitungsorgans

Das NISG legt den Leitungsorganen von wesentlichen und wichtigen Einrichtungen mehrere Pflichten auf:

Implementierung von Maßnahmen: Leitungsorgane müssen die Cybersicherheitsmaßnahmen ihrer Einrichtung genehmigen.^[21]

Aufsicht über die Umsetzung: Leitungsorgane sind verpflichtet, die Umsetzung der Cybersicherheitsmaßnahmen zu beaufsichtigen. Sie müssen sicherstellen, dass die beschlossenen Maßnahmen effektiv implementiert und eingehalten werden.^[22] Die Leitungsorgane müssen dafür Sorge tragen, dass Cybersicherheitsmaßnahmen ihrer Einrichtung sohin regelmäßig geprüft und aktuell gehalten werden. Es liegt in der Verantwortung der Leitungsorgane, ausreichende Ressourcen für die Umsetzung der erforderlichen Cybersicherheitsmaßnahmen bereitzustellen. Dies umfasst sowohl finanzielle als auch personelle Ressourcen. Die Verantwortung für die Ressourcenbereitstellung wird dahingehend konkretisiert, dass Leitungsorgane einen detaillierten Plan für die Zuweisung von finanziellen und personellen Ressourcen zur Cybersicherheit erstellen und regelmäßig aktualisieren müssen. Die Leitungsorgane sind für die Überwachung und Steuerung der Cybersicherheitsrisiken ihrer Einrichtung verantwortlich. Sie müssen sicherstellen, dass angemessene Risikobeurteilungen durchgeführt und entsprechende Maßnahmen ergriffen werden. Die Risikomanagementpflicht wird dahingehend konkretisiert, dass Leitungsorgane eine umfassende und detaillierte Bewertung der Cybersicherheitsrisiken ihrer Einrichtung durchführen müssen. Dies beinhaltet die Identifizierung kritischer Systeme und Prozesse sowie die Einschätzung potenzieller Auswirkungen von Cybervorfällen. Die Leitungsorgane müssen aktiv in die Entwicklung und regelmäßige Überprüfung von Notfallplänen für Cybervorfälle eingebunden sein. Sie tragen die Verantwortung für die Genehmigung dieser Pläne und müssen sicherstellen, dass diese regelmäßig getestet werden.
Schulungen: Leitungsorgane müssen an Schulungen zur Cybersicherheit teilnehmen, um sich Wissen und Fähigkeiten Bereich der Cybersicherheit anzueignen. Die Einrichtung hat dafür Sorge zu tragen, dass Mitarbeitende ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie gegebenenfalls Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben.
Rechenschaftspflicht: Die Leitungsorgane tragen die Verantwortung für die Einhaltung der Cybersicherheitsverpflichtungen ihrer Einrichtung. Eine Verletzung dieser Pflichten hat die schadenersatzrechtliche Haftung für schuldhaft verursachten Schaden, der der Einrichtung dadurch entstanden ist, zur Folge,^[23] sofern nicht ohnehin eine Haftung nach dem Organhaftpflichtgesetz (OrgHG), BGBl 181/1967 besteht.
Ressourcenbereitstellung: Durch diese Pflichten und Verantwortlichkeiten soll sichergestellt werden, dass Cybersicherheit als strategische Priorität auf höchster Managementebene verankert wird und die notwendige Aufmerksamkeit und Unterstützung erhält.

Meldeverpflichtungen

NIS2-Richtlinie

Die NIS2-RL sieht verschiedene Meldepflichten für Sicherheitsvorfälle vor, die entweder 24 Stunden, 72 Stunden oder einen Monat betragen. Die Fristen sind grundsätzlich als Höchstfristen angelegt, in den meisten Fällen wird eine unverzügliche Meldung gefordert.

Innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung an die zuständige nationale Behörde erfolgen. Diese soll Informationen darüber enthalten, ob kriminelle Hintergründe vermutet werden oder grenzüberschreitende Auswirkungen zu befürchten sind.
Nach 72 Stunden ist ein ausführlicherer Bericht fällig, der aktuelle Informationen, eine erste Bewertung, die Auswirkungen und gegebenenfalls Kompromittierungsindikatoren enthält.
Innerhalb eines Monats nach der ersten Meldung muss ein Abschlussbericht übermittelt werden. Dieser soll eine detaillierte Beschreibung des Vorfalls, seine Klassifizierung, Schweregrad und Auswirkungen, sowie die getroffenen Abhilfemaßnahmen und mögliche grenzüberschreitende Auswirkungen umfassen.

Neben diesen Verpflichtungen zur Meldung besteht auch die Möglichkeit, in Bezug auf Sicherheitsvorfälle, Cyberbedrohungen und Beinahe-Vorfälle freiwillig Meldung an das CSIRT zu erstatten. Diese Option steht auch nicht wichtigen und nicht wesentlichen Einrichtungen zur Verfügung. Solche freiwilligen Meldungen können auch anonym erfolgen.

Nationaler Umsetzungsentwurf (NISG)

Meldung von Vorfällen an CSIRT

Meldepflichten werden durch §§ 34, 35, 37 NISG umgesetzt.

§ 34 Abs 1 NISG regelt die grundsätzliche Pflicht wesentlicher und wichtiger Einrichtungen dem für sie zuständigen sektorenspezifischen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall (§ 35) zu melden. Eine Liste der CSIRTS iSd NISG unterhält aktuell das Bundeskanzleramt.

Die Meldung unverzüglich, spätestens jedoch binnen 24 Stunden als Frühwarnung erfolgen, gefolgt von einer detaillierteren Meldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats nach der Meldung. Sofern einen Monats nach der Meldung der Cybersicherheitsvorfall noch andauert, ist der Abschlussbericht als Fortschrittsbericht zu formulieren und der Abschlussbericht einen Monat nach Bewältigung des Cybersicherheitsvorfalls zu übermitteln.

Inhalte der Meldungen:

Frühwarnung: Angabe ob der Verdacht besteht, dass der erhebliche Cybersicherheitsvorfall auf rechtswidrige und schuldhafte Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte
Meldung: Aktualisierung der Frühwarnung und erste Bewertung des erheblichen Cybersicherheitsvorfalls (Schweregrads und seiner Auswirkungen, sowie gegebenenfalls der Kompromittierungsindikatoren)
Abschlussbericht: Ausführliche Beschreibung des Cybersicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, Angaben zur Art der Bedrohung und zugrundeliegender Ursachen, die wahrscheinlich den Cybersicherheitsvorfall ausgelöst hat; Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; gegebenenfalls die grenzüberschreitenden Auswirkungen des Cybersicherheitsvorfalls.

Weiterleitungen einer Alarmierung an den Betreiber stellt keine Meldung (freiwillig oder verpflichtend) eines Cybersicherheitsvorfalls iSd § 34 NISG dar.^[24]

Meldung von Vorfällen an Betroffene

Soweit ein erheblicher Cybersicherheitsvorfall die Erbringung des jeweiligen Dienstes der betroffenen Einrichtung beeinträchtigt, unterrichtet die Einrichtung die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Cybersicherheitsvorfall und teilt, soweit möglich, alle Maßnahmen oder Abhilfemaßnahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.

Erheblicher Cybersicherheitsvorfall

Ein Cybersicherheitsvorfall gilt nach § 35 NISG als erheblich, wenn der Sicherheitsvorfall:

Schwerwiegende Betriebsstörungen der erbrachten Dienste oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann

oder

andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Zudem sind die betroffenen Netz- und Informationssysteme und deren Bedeutung für die Erbringung der Dienste der jeweiligen Einrichtung, die Schwere und die technischen Merkmale der Cyberbedrohung und sämtliche zugrundeliegende Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Vorfällen zu berücksichtigen.

Folgende weitere Kriterien sind in § 35 Abs 2 und 3 NISG beschrieben:

Ausmaß der Abhängigkeit;
die möglichen Auswirkungen von Cybersicherheitsvorfälle;
Marktanteil der jeweiligen Einrichtung mit Bezug auf den betroffenen Dienst;
das betroffene geografische Gebiet;
unternehmens- und sektorspezifischen Faktoren.
Soweit vorhanden: Verordnung der*des Bundesminister(s)*in für Inneres kann weitere Kriterien normieren.

Eine gewisse Auslegungshilfe bietet auch ErwGr 101 NIS2-RL.

Daneben definiert die Durchführungsverordnung (EU) 2024/2690 für bestimmte Einrichtungen was als erheblicher Sicherheitsvorfall zu qualifizieren ist.

Fallbeispiel

Das Unternehmen NisExperts AG ist ein Anbieter von IT-Diensten mit Sitz in der Steiermark, beschäftigt 66 Mitarbeitende und erzielt eine Jahresbilanzsumme von neun Millionen Euro. NisExperts AG betreibt mehrere Rechenzentren, in welchen die IT-Infrastruktur für mehrere österreichische Krankenhäuser und das Netzleitsystem eines wichtigen steirischen Netzbetreibers untergebracht ist. Freitagnachmittag um 16:00 Uhr registriert das Security Operations Center (SOC) von NisExperts AG eine ungewöhnlich hohe Anzahl von Anfragen, die gegen die Firewalls eines Rechenzentrums gerichtet sind. Nach einer Analyse stellt sich heraus, dass es sich um eine DDoS-Attacke (Distributed Denial of Service) handelt, die eine zentrale Plattform des Unternehmens ins Visier nimmt.

Die Angreifer*innen setzen sogenannte Botnets ein, um die Ressourcen des Rechenzentrums zu überlasten. Trotz bestehender DDoS-Abwehrmaßnahmen gelingt es den Angreifer*innen, die Last zeitweise so hoch zu treiben, dass folgende Auswirkungen auftreten:

Zwischen 17:00 Uhr und 20:00 Uhr kommt es zu wiederholten Ausfällen eines zentralen Zugriffsdienstes, der von Kunden genutzt wird, um Anwendungen in auszuführen.
Kunden berichten von Verbindungsabbrüchen, langsamen Ladezeiten und der Unfähigkeit, kritische Daten zu verarbeiten und müssen Notfallpläne aktivieren.

Anwendungsbereich:

Gemäß § 24 Abs 2 NISG gelten Einrichtungen welche ein mittleres Unternehmen das in einem Sektor mit hoher Kritikalität gemäß den Anlagen 1 und 2 zum NISG tätig ist betriben als wichtige Einrichtungen. Eine Einrichtung gilt gemäß § 25 NISG unter anderem als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeitende beschäftigt. Die NisExperts AG beschäftigt mehr als 50 Mitarbeitende und ist in einem Sektor mit hoher Kritikalität (Digitale Infrastruktur - Rechenzentrumsdienste) gemäß Z 8 Anlage 1 NISG tätig. Ob der Kund*innenstruktur könnte sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung und die öffentliche Gesundheit auswirken, das bewirkt aber für sich keine Qualifizierung als "wesentliche Einrichtung". Die NisExperts AG ist sohin als wichtige Einrichtung iSd NISG zu qualifizieren.

Meldung:

Wichtige Einrichtungen haben gemäß § 34 NISG dem für sie zuständigen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall zu melden. Bei der Beurteilung, ob ein Cybersicherheitsvorfall als erheblich im Sinne des einzustufen ist, sind gemäß § 35 Abs 2 lit b NISG unter anderem die möglichen Auswirkungen auf die öffentliche Ordnung und Sicherheit und die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises zu berücksichtigen. Da die NisExperts AG ein kritischer Dienstleister für mehrere Krankenhäuser und der Ausfall die Aktivierung von Notfallplänen bedingt hat liegt wohl ein erheblicher Sicherheitsvorfall iSd § 35 NISG vor. Gemäß Art 8 Durchführungsverordnung (EU) 2024/2690 liegt ein erheblicher Sicherheitsvorfall dann vor, wenn Verfügbarkeit eines Rechenzentrumsdienstes eines vom Anbieter betriebenen Rechenzentrums ist für eine Dauer von mehr als einer Stunde eingeschränkt. Das liegt vor, weshalb jedenfalls ein erheblicher Sicherheitsvorfall vorliegt. In Ermangelung eines sektoralen CSIRT setzt NisExperts AG gemäß § 34 NISG folgende Meldungen an das nationale CSIRT (cert.at) ab.

Erstmeldung innerhalb von 24 Stunden:

Inhalt: Beschreibung des Vorfalls, erste Bewertung der Auswirkungen auf Verfügbarkeit und Integrität, und die initial ergriffenen Maßnahmen.
Technische Details: Einschätzung der Angriffsart (DDoS), betroffene Systeme und die mögliche Angriffsquelle.

Aktualisierung innerhalb von 72 Stunden:

Vertiefte Analyse: Klärung der Ursachen, präzise Darstellung der Schäden und der geplanten weiteren Schritte zur Eindämmung und Wiederherstellung.
Bewertung der Auswirkungen: Spezifikation der Kundengruppen und ihrer Ausfälle.

Abschlussbericht innerhalb eines Monats:

Ergebnisse: Dokumentation des gesamten Incident-Management-Prozesses.
Lessons Learned: Empfohlene Präventionsmaßnahmen und zukünftige Strategien.

Synergien

Meldepflichten

Die Meldepflichten der Datenschutz-Grundverordnung (DSGVO) und der NIS2-RL überschneiden sich, da beide Regelwerke Anforderungen an die Meldung von Sicherheitsvorfällen oder Datenschutzverletzungen enthalten, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wesentlichen Punkte, in denen sich die Meldepflichten beider Regelwerke überschneiden und voneinander unterscheiden:

Art der betroffenen Daten

DSGVO: Nur relevant, wenn personenbezogene Daten kompromittiert werden (zB unbefugter Zugriff, Verlust oder Diebstahl von Daten).
NIS2: Relevanz auch für Vorfälle, die die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen betreffen, unabhängig davon, ob personenbezogene Daten betroffen sind. Es geht also um die Sicherstellung der allgemeinen IT-Sicherheit.

Bedingungen für die Meldung

DSGVO: Eine Meldung ist erforderlich, wenn die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
NIS2-RL: Meldepflichten gelten bei signifikanten Vorfällen, die wesentliche Auswirkungen auf die Bereitstellung essenzieller Dienste haben könnten. Die Beurteilung eines Vorfalls als signifikant erfolgt auf Basis von Faktoren wie der Anzahl betroffener Nutzer*innen, der Dauer des Vorfalls und des verursachten wirtschaftlichen Schadens.

Überschneidungen

Beide Regelwerke verlangen Meldungen bei Vorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit betreffen.
Bei Sicherheitsvorfällen, die sowohl IT-Systeme als auch personenbezogene Daten betreffen, kann eine doppelte Meldepflicht bestehen: einmal an die zuständige Datenschutzbehörde (DSGVO) und einmal an die Cybersicherheitsbehörde (NIS2).
Bei Betreibern wesentlicher Dienste, die personenbezogene Daten verarbeiten, könnten somit Vorfälle unter beide Regelungen fallen, was bedeutet, dass sowohl die Datenschutzverletzung als auch der Sicherheitsvorfall gemeldet werden müssen.

Die Meldepflichten der DSGVO und der NIS2-RL überschneiden sich in Fällen, in denen personenbezogene Daten durch Sicherheitsvorfälle gefährdet sind.

Risikomanagement

Die Risikomanagementanforderungen der Datenschutz-Grundverordnung (DSGVO) und der NIS2-RL überschneiden sich in bestimmten Bereichen, insbesondere wenn es um den Schutz von Daten und IT-Systemen geht. Beide Regelwerke erfordern von Organisationen, dass sie Maßnahmen zum Schutz von Informationen und zur Risikominimierung implementieren, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wichtigsten Überschneidungen und Unterschiede der Risikomanagementanforderungen:

DSGVO: Der Fokus liegt auf dem Schutz personenbezogener Daten und den Rechten natürlicher Personen. Risikomanagement unter der DSGVO zielt darauf ab, das Risiko für die Rechte und Freiheiten von Einzelpersonen, die durch die Verarbeitung ihrer personenbezogenen Daten betroffen sind, zu minimieren.
NIS2-RL: Die NIS2-RL konzentriert sich auf die Cybersicherheit und den Schutz der Netz- und Informationssysteme in kritischen Sektoren (zB Energie, Gesundheit, Verkehr). Risikomanagement hier zielt darauf ab, die Resilienz von IT-Systemen und kritischen Infrastrukturen gegen Cyberbedrohungen zu stärken.

Risikobasierter Ansatz

Beide Regelwerke verlangen von den betroffenen Unternehmen, dass sie risikobasierte Ansätze verfolgen, um Sicherheitsmaßnahmen zu planen und umzusetzen.

DSGVO: Die DSGVO verpflichtet Unternehmen dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, die dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sind. Dies bedeutet, dass Unternehmen die potenziellen Risiken für personenbezogene Daten bewerten und basierend darauf Schutzmaßnahmen wie Verschlüsselung, Pseudonymisierung, Zugriffskontrollen und Datensicherungen implementieren. (Art 24, 32 DSGVO)
NIS2-RL: NIS2-RL verlangt von Unternehmen, ein Risikomanagement für ihre Netz- und Informationssysteme zu betreiben, das sich an den potenziellen Cyberrisiken orientiert. Es geht um die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Systemen und Informationen. Organisationen müssen Maßnahmen wie Netzwerksicherheitskontrollen, Bedrohungserkennungssysteme und Notfallpläne implementieren. (Art 21 NIS2-RL)

Konkrete Sicherheitsmaßnahmen

DSGVO: Die DSGVO fordert spezifische Sicherheitsmaßnahmen für den Schutz personenbezogener Daten, einschließlich der Pseudonymisierung und Verschlüsselung, und verlangt, dass Unternehmen Maßnahmen zur Wiederherstellung der Datenverfügbarkeit nach einem physischen oder technischen Vorfall haben (Art 32 DSGVO). Die Anforderungen zielen direkt auf den Schutz von personenbezogenen Daten ab.
NIS2: Die NIS2-RL legt Wert auf Cybersicherheitsmaßnahmen und operative Resilienz. Hierzu gehören Maßnahmen zur Sicherung der Netzwerk- und Informationssysteme gegen Bedrohungen, die Implementierung von Überwachungssystemen zur Bedrohungserkennung und die Sicherstellung von Redundanzen und Kontinuität der Dienste. Diese Maßnahmen sind breiter gefasst und betreffen nicht nur personenbezogene Daten, sondern die gesamte IT-Infrastruktur eines Unternehmens.

Risikobewertung und Dokumentation

DSGVO: Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Dies umfasst eine detaillierte Bewertung der Risiken und die Implementierung von Maßnahmen zur Risikominimierung. (Art 35 DSGVO)
NIS2-RL: Organisationen müssen regelmäßig eine Risikobewertung ihrer Netz- und Informationssysteme durchführen, um potenzielle Cybersicherheitsrisiken zu identifizieren und entsprechend darauf zu reagieren. Diese Risikobewertungen müssen umfassender sein, da sie alle potenziellen Risiken für die kritischen IT-Infrastrukturen eines Unternehmens berücksichtigen.

Betroffene Unternehmen

DSGVO: Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist verpflichtet, entsprechende Sicherheitsmaßnahmen und ein Risikomanagement zu implementieren. Hierbei handelt es sich um eine breite Anforderung, die nahezu alle Organisationen betrifft.
NIS2-RL: Die NIS2-RL gilt nur für Betreiber wesentlicher und wichtiger Dienste in kritischen Sektoren, wie Energieversorgung, Verkehr, Banken und Gesundheitswesen. Das Risikomanagement richtet sich hier primär an Organisationen, die für die Sicherheit von Infrastrukturen von großer Bedeutung verantwortlich sind.

Technische und organisatorische Maßnahmen

Beide Regelwerke fordern angemessene technische und organisatorische Maßnahmen, um Risiken zu minimieren, jedoch mit unterschiedlichen Schwerpunkten:

DSGVO: Der Fokus liegt auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten. Unternehmen müssen Maßnahmen ergreifen, um unbefugten Zugriff auf Daten zu verhindern, Datensicherheit sicherzustellen und Maßnahmen zur Datenwiederherstellung bei Zwischenfällen zu implementieren.
NIS2-RL: Hier liegt der Fokus auf dem Schutz der IT-Systeme selbst, mit besonderem Augenmerk auf der Gewährleistung der Dienstverfügbarkeit und der Widerstandsfähigkeit gegen Cyberangriffe. Dies beinhaltet auch regelmäßige Sicherheitsüberprüfungen, Schwachstellenmanagement und Notfallmaßnahmen.

Überschneidungen

Risikobewertung: Beide Regelungen verlangen eine risikobasierte Einschätzung und eine darauf basierende Umsetzung von Schutzmaßnahmen. Das Risikomanagement in beiden Fällen erfordert die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Implementierung geeigneter Maßnahmen.
Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen zur Minimierung von Risiken für IT-Systeme und Datenverarbeitung sind in beiden Regelwerken gefordert, insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit.
Dokumentationspflichten: Sowohl die DSGVO als auch die NIS2-RL fordern eine umfassende Dokumentation der Sicherheitsmaßnahmen und Risikobewertungen, um im Falle von Prüfungen oder Vorfällen nachweisen zu können, dass die Anforderungen erfüllt wurden.

Die Risikomanagementanforderungen der DSGVO und NIS2-RL überschneiden sich in Bezug auf die Notwendigkeit, Risiken zu bewerten und angemessene Schutzmaßnahmen zu implementieren, insbesondere wenn personenbezogene Daten durch Sicherheitsvorfälle oder Cyberangriffe bedroht sind. Unternehmen, die sowohl unter die DSGVO als auch unter NIS2 fallen, müssen ihre Risikomanagementstrategien so gestalten, dass sie beiden Regelwerken gerecht werden. Während die DSGVO den Schutz von personenbezogenen Daten betont, legt NIS2 den Fokus auf die Resilienz der IT-Systeme und die allgemeine Cybersicherheit. Dennoch ist eine Schnittmenge der Risiken in beiden Bereichen einschlägig. So ist es zu prüfen, ob in einem Bereich erhobene Risiken auch im anderen Bereich relevant sein können.

Sanktionen

NIS2-Richtlinie

Die Höhe der Bußgelder unterscheidet sich je nach Einstufung des Unternehmens:

Sanktionen für wesentliche Einrichtungen: Wesentliche Einrichtungen müssen bei Verstößen mit Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist.
Sanktionen für wichtige Einrichtungen: Für wichtige Einrichtungen beträgt das maximale Bußgeld bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, wobei auch hier der höhere Betrag maßgeblich ist.

Neben den Geldstrafen kann die zuständige Behörde weitere Schritte einleiten:

Erteilung verbindlicher Anweisungen zur Einhaltung der Richtlinie
Vorübergehende Aussetzung der Geschäftstätigkeit bei Nichtbefolgung von Anweisungen
Temporäres Tätigkeitsverbot für Personen in Leitungsfunktionen
Leitungsorgane von Unternehmen, wie Vorstände oder Geschäftsführer*innen, können persönlich für die Einhaltung der Cybersicherheitsmaßnahmen haftbar gemacht werden.

Nationaler Umsetzungsentwurf (NISG)

Wird der Cybersicherheitsbehörde im Zuge ihrer Aufsicht erkennbar, dass eine wesentliche oder wichtige Einrichtung ihren Verpflichtungen nach diesem Bundesgesetz nicht nachkommt hat diese entsprechend § 39 Abs 1 bis 4 vorzugehen.

Die Einrichtung ist zunächst darauf hinzuweisen, bestimmte spezifische Umsetzungsmaßnahmen oder Adaptierungen im Bereich konkreter Risikomanagementmaßnahmen und bezüglich der Einhaltung von Berichtspflichten oder sonstigen Pflichten zu treffen.

Wird dem nicht nachgekommen, hat dies zur Folge, dass die angeordnete Maßnahme, wie etwa die (vollständige) Umsetzung jeweiliger Risikomanagementmaßnahmen durch die Cybersicherheitsbehörde mit Bescheid angeordnet werden.

Kommt eine wesentliche Einrichtung dem Bescheid nicht fristgerecht und nachweislich nach, ist die Cybersicherheitsbehörde befugt,

zuständige Behörden zu ersuchen, die Zertifizierung oder Genehmigung für einen Teil oder alle von der Einrichtung erbrachten einschlägigen Dienste (einschließlich der Cybersicherheitszertifizierung gemäß Art 58 der Verordnung (EU) 2019/881) oder Tätigkeiten vorübergehend auszusetzen

oder

einem Leitungsorgan der Einrichtung mit Bescheid untersagen, seine Leitungsaufgaben in dieser wesentlichen Einrichtung wahrzunehmen. Dieser Bescheid ist in einer allgemeinen Weise zu veröffentlichen, die geeignet erscheint, einen möglichst weiten Personenkreis zu erreichen.

Private Einrichtungen

§ 45 Abs 1 bis 3 NISG enthält einen Katalog an Verwaltungsübertretungen welche folgendermaßen zu sanktionieren sind:

Verwaltungsübertretung wesentlicher Einrichtung: Geldstrafe in Höhe von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, je nachdem, welcher Betrag höher ist.

Verwaltungsübertretung wichtiger Einrichtung: Geldstrafe in Höhe von bis zu 7 000 000 EUR oder bis zu 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, je nachdem, welcher Betrag höher ist.

§ 45 Abs 4 NISG enthält einen zusätzlichen Katalog an Verwaltungsübertretungen (insb. Missachtung von Duldungs und Dokumentationspflichten) welche folgendermaßen zu sanktionieren sind:

Geldstrafe bis zu 50 000 EUR und im Wiederholungsfall bis zu 100 000 EUR .

Öffentliche Einrichtungen

§ 46 NISG sieht die Anzeige der Nichteinhaltung bei zuständiger Bezirksverwaltungsbehörde durch Bundesminister*in für Inneres und Feststellung der Rechtswidrigkeit durch Bezirksverwaltungsbehörde vor. Entsprechende Feststellungsbescheide sind zu veröffentlichen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit darstellt. Der Sanktionscharakter dieser Bestimmung soll in dem durch die Veröffentlichung entstehenden öffentlichen und politischen Druck auf die jeweilige Behörde zum Ausdruck kommen.^[25]

Weiterführende Literatur

Überblicksartikel

Burgstaller, Aktuelle Ereignisse und Entwicklungen zum Informationsrecht, ZIIR 2023/140/2.
Gutbrunner, Pflichten aus der NIS-2-RL, LexisNexis, 05/2024.
Hessel/Callewaert/Schneider, Die NIS-2-Richtlinie aus Unternehmensperspektive, RDi 2024, 208.
Löffler, NIS-2. Ein Überblick, dako 2024, 76.
Pollirer, Checkliste NIS-2, dako 2024, 43.
Schmidt, Neue europäische Anforderungen im Cybersicherheitsrecht - die NIS2-Richtlinie im Überblick, KuR 2023, 705.
Stadler/Drolz, Cyberregeln treffen auch Lieferanten, Der Standard 2024/18/01.
Staffler, Morgendämmerung der EU-Cybersicherheit-Compliance, JSt 2023/328/4.
Tretzmüller, Die Umsetzung des NIS-Gesetzes, Report 2019, https://www.kt.at/wp-content/uploads/2019/09/31-Kommentar-Tretzm%C3%BCller_Energie-Report-Sept-2019.pdf.

Schwerpunktartikel

Dittrich, IT-Sicherheit und Krisenresilienz bei Energieversorgern und Energieanlagen MMR 2022, 1039.
Knyrim/Briegl, NIS-2: die Anwendung im Konzern, Dako 2024/39.
Neuwirth, Vom "wesentlichen Dienst" zur "wesentlichen" beziehungsweise "wichtigen" Einrichtung - und weitere ausgewählte Aspekte zur NIS-2-Richtlinie, jusIT 2024/2/5.
Reiter, Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, Medien und Recht 2023/188/4.
Reiter/Heidinger/Gstrein, Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, MR 2023, 188.
Schiefer/Wieser, NIS-2-RL. Wer trägt die Verantwortung im Unternehmen? ecolex 2023/568.
Wegmann, Too much of a good thing? Erweiterung und Verschärfung von Cybersicherheitsplichten durch die NIS2-Richtlinie, BB 2023, 835.
Werner, Anwendbarkeit der NIS-2 im chemischen Sektor, DSB 2024, 175.

Einführungswerke

Kipker, Textsammlung Cybersecurity (2023).

Sammelwerke

Anderl (Hrsg), #Cybercrime. Handbuch für die Praxis (2023)
Ditttrich/Dochow/Ippach (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024).
Hornung/Schallbruch (Hrsg), IT-Sicherheitsrecht. Praxishandbuch² (2024, iE).
Kipker (Hrsg), Cybersecurity. Rechtshandbuch² (2023).

Kommentare

Anderl/Heußler/Mayer/Müller, Netz- und Informationssystemsicherheitsgesetz NISG (2019) [zum Stand der ersten NIS-RL]

Einzelnachweise

↑ https://www.nis.gv.at/nis-2-richtlinie.html
↑ Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022
↑ Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1 vom 19. Juli 2016
↑ Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME) https://www.parlament.gv.at/gegenstand/XXVII/ME/326
↑ Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690
↑ https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785
↑ Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden.https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621118.pdf
↑ Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1
↑ https://www.nis.gv.at/nis-2-richtlinie.html
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf
↑ ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf
↑ https://www.handelsverband.at/fileadmin/content/Presse_Publikationen/Presseaussendungen/2024/03_Mar/2024-03_HV_NIS2-Leitfaden_extra.pdf
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_3 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621122.pdf
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33
↑ Als Beispiel für eine organisatorsiche Maßnahme nennen die Erwägungsgründe eine in Kraft gesetze Richtlinie. Unter einer technischen Maßnahme werden Firewalls verstanden, das Vorsehen einer fachkundigen Betriebsmannschaft ist eine operative Maßnahme. 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 6
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 7
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 21
↑ 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 42

[1] ttps://www.nis.gv.at/nis-2-richtlinie.html

[2] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022

[3] Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1 vom 19. Juli 2016

[4] Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME) https://www.parlament.gv.at/gegenstand/XXVII/ME/326

[5] Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690

[6] ttps://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785

[7] Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden.https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621118.pdf

[8] Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1

[9] ttps://www.nis.gv.at/nis-2-richtlinie.html

[10] 326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf

[11] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf

[12] ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf

[13] ttps://www.handelsverband.at/fileadmin/content/Presse_Publikationen/Presseaussendungen/2024/03_Mar/2024-03_HV_NIS2-Leitfaden_extra.pdf

[14] 326/ME XXVII. GP - Ministerialentwurf - Anlage_3 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621122.pdf

[15] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33

[16] Als Beispiel für eine organisatorsiche Maßnahme nennen die Erwägungsgründe eine in Kraft gesetze Richtlinie. Unter einer technischen Maßnahme werden Firewalls verstanden, das Vorsehen einer fachkundigen Betriebsmannschaft ist eine operative Maßnahme. 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33

[17] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34

[18] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34

[19] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 6

[20] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 7

[21] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33

[22] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33

[23] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33

[24] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 21

[25] 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 42

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

@@ Zeile 53: / Zeile 53: @@
 == Anwendungsbereich ==
-=== NIS2 Richtlinie ===
+=== NIS2-Richtlinie ===
-==== Persönlicher / Sachlicher Anwendungsbereich ====
+==== Persönlicher/Sachlicher Anwendungsbereich ====
 In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem '''größenabhängigen''' (Art 2 Abs 1 NIS2-RL) und dem '''größenunabhängigen''' (Art 2 Abs 3 NIS2-RL)  Anwendungsbereich.
@@ Zeile 64: / Zeile 64: @@
 * welche mehr als 50 Mitarbeitende beschäftigen
-* oder mehr als 10 Mio. Euro Jahresumsatz<ref>Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1</ref> erzielen.
+* oder mehr als 10 Mio Euro Jahresumsatz<ref>Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1</ref> erzielen.
-Kumulativ muss die Tätigkeit der Einrichtung in den '''Anhang I''' oder '''II''' der NIS2-RL Fallen.
+Kumulativ muss die Tätigkeit der Einrichtung in den '''Anhang I''' oder '''II''' der NIS2-RL fallen.
 * ''Anhang I'' nennt etwa folgende Einrichtungen:
@@ Zeile 78: / Zeile 78: @@
 ====== Größenunabhängiger Anwendungsbereich ======
-Gemäß <abbr>Art</abbr> 2 und <abbr>Art</abbr> 3 der NIS2-RL können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-RL fallen.
+Gemäß <abbr>Art</abbr> 2 und <abbr>Art</abbr> 3 der NIS2-RL können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS2-RL fallen.
 Folgende Tätigkeiten sind hiervon umfasst:
@@ Zeile 114: / Zeile 114: @@
 === Nationaler Umsetzungsentwurf (NISG) ===
 [[Datei:Nis ii wichtige einrichtungen ri.png|mini|Wichtige Einrichtungen - CC BY 4.0]]
-==== Persönlicher / Sachlicher Anwendungsbereich ====
+==== Persönlicher/Sachlicher Anwendungsbereich ====
 Regelungsgegenstand des NISG sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Die Sektoren entsprechen denen der NIS2-RL und werden durch die Definition von '''Teilsektoren''' in den Anlagen 1<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf</ref> und 2<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</ref> zum NISG ergänzt.
 Eine "'''Einrichtung'''" iSd NISG ist gemäß § 3 Abs 10 NISG "eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann".
-Anstelle eines zweistufigen Vorgehens, wie es in Art 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz ausschließlich § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist.
+Anstelle eines zweistufigen Vorgehens, wie es in Art 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz '''ausschließlich''' § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist.
 ====== Größenabhängiger Anwendungsbereich ======
-[[Datei:Nis ii wesentliche einrichtungen ri.png|mini|Wesentliche Einrichtungen - CC BY 4.0]][[Großes oder mittleres Unternehmen iSd NISG|Große oder mittlere Unternehmen]], die in den in den Anlagen 1 und 2 NISG genannten Sektoren tätig sind, gelten jedenfalls als wichtige Einrichtungen im Sinne des § 42 Abs. 2 NISG.
+[[Datei:Nis ii wesentliche einrichtungen ri.png|mini|Wesentliche Einrichtungen - CC BY 4.0]][[Großes oder mittleres Unternehmen iSd NISG|Große oder mittlere Unternehmen]], die in den in den Anlagen 1 und 2 NISG genannten Sektoren tätig sind, gelten jedenfalls als wichtige Einrichtungen im Sinne des § 42 Abs 2 NISG.
 Eine '''Teilmenge''' dieser Einrichtungen wird in § 24 Abs 1 NISG als wesentliche Einrichtung qualifiziert.
-Von der Möglichkeit, bei der Umsetzung der NIS-2-Richtlinie die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen un den Anwendungsbereich aufzunehmen, wurde abgesehen.<ref>ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf</ref>
+Von der Möglichkeit, bei der Umsetzung der NIS2-RL die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen in den Anwendungsbereich aufzunehmen, wurde abgesehen.<ref>ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf</ref>
 ====== Größenunabhängiger Anwendungsbereich ======
-Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 ermittelt wurden gelten als wesentliche Einrichtungen.
+Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 ([[Critical Entities‘ Resilience Directive (CER)|CER-RL]]) ermittelt wurden gelten als wesentliche Einrichtungen.
 Darüber hinaus fallen öffentliche Stellen unter die in § 25 Abs 3 NISG genannten Kriterien. Vereinfacht ausgedrückt sind dies Bundes- und Landeseinrichtungen ohne gewerblichen Auftrag, deren Entscheidungen individuelle Rechte im grenzüberschreitenden Verkehr berühren.
@@ Zeile 165: / Zeile 165: @@
-Die NIS2-Richtlinie definiert in Art 21 Absatz 2 zehn konkrete Maßnahmen und Mindeststandards, deren Implementierung nationale Gesetzgeber fordern müssen.
+Die NIS2-RL definiert in Art 21 Absatz 2 zehn konkrete '''Maßnahmen und Mindeststandards''', deren Implementierung nationale Gesetzgeber fordern müssen.
 Diese umfassen:
@@ Zeile 221: / Zeile 222: @@
 === Governance-Verpflichtung und Haftung der Leitungsorgane ===
-==== NIS2 Richtlinie ====
+==== NIS2-Richtlinie ====
-Die NIS2-Richtlinie führt spezifische Governance-Verpflichtungen ein, die sich auf die Leitungs- und Führungsebene beziehen und deren aktive Rolle unterstreicht.
+Die NIS2-RL führt spezifische Governance-Verpflichtungen ein, die sich auf die Leitungs- und Führungsebene beziehen und deren aktive Rolle unterstreicht.
 Zu den Hauptaspekten gehören:
@@ Zeile 244: / Zeile 245: @@
 * '''Aufsicht über die Umsetzung''': Leitungsorgane sind verpflichtet, die Umsetzung der Cybersicherheitsmaßnahmen zu beaufsichtigen. Sie müssen sicherstellen, dass die beschlossenen Maßnahmen effektiv implementiert und eingehalten werden.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Die Leitungsorgane müssen dafür Sorge tragen, dass Cybersicherheitsmaßnahmen ihrer Einrichtung sohin regelmäßig geprüft und aktuell gehalten werden. Es liegt in der Verantwortung der Leitungsorgane, ausreichende Ressourcen für die Umsetzung der erforderlichen Cybersicherheitsmaßnahmen bereitzustellen. Dies umfasst sowohl finanzielle als auch personelle Ressourcen. Die Verantwortung für die Ressourcenbereitstellung wird dahingehend konkretisiert, dass Leitungsorgane einen detaillierten Plan für die Zuweisung von finanziellen und personellen Ressourcen zur Cybersicherheit erstellen und regelmäßig aktualisieren müssen. Die Leitungsorgane sind für die Überwachung und Steuerung der Cybersicherheitsrisiken ihrer Einrichtung verantwortlich. Sie müssen sicherstellen, dass angemessene Risikobeurteilungen durchgeführt und entsprechende Maßnahmen ergriffen werden. Die Risikomanagementpflicht wird dahingehend konkretisiert, dass Leitungsorgane eine umfassende und detaillierte Bewertung der Cybersicherheitsrisiken ihrer Einrichtung durchführen müssen. Dies beinhaltet die Identifizierung kritischer Systeme und Prozesse sowie die Einschätzung potenzieller Auswirkungen von Cybervorfällen. Die Leitungsorgane müssen aktiv in die Entwicklung und regelmäßige Überprüfung von Notfallplänen für Cybervorfälle eingebunden sein. Sie tragen die Verantwortung für die Genehmigung dieser Pläne und müssen sicherstellen, dass diese regelmäßig getestet werden.
 * '''Schulungen''': Leitungsorgane müssen an Schulungen zur Cybersicherheit teilnehmen, um sich Wissen und Fähigkeiten Bereich der Cybersicherheit anzueignen. Die Einrichtung hat dafür Sorge zu tragen, dass Mitarbeitende ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie gegebenenfalls Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben.
-* '''Rechenschaftspflicht''': Die Leitungsorgane tragen die Verantwortung für die Einhaltung der Cybersicherheitsverpflichtungen ihrer Einrichtung. Eine Verletzung dieser Pflichten hat die schadenersatzrechtliche Haftung für schuldhaft verursachten Schaden, der der Einrichtung dadurch entstanden ist, zur Folge,<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 33</ref> sofern nicht ohnehin eine Haftung nach dem Organhaftpflichtgesetz (OrgHG), BGBl. Nr. 181/1967 besteht.
+* '''Rechenschaftspflicht''': Die Leitungsorgane tragen die Verantwortung für die Einhaltung der Cybersicherheitsverpflichtungen ihrer Einrichtung. Eine Verletzung dieser Pflichten hat die schadenersatzrechtliche Haftung für schuldhaft verursachten Schaden, der der Einrichtung dadurch entstanden ist, zur Folge,<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 33</ref> sofern nicht ohnehin eine Haftung nach dem Organhaftpflichtgesetz (OrgHG), BGBl 181/1967 besteht.
 * '''Ressourcenbereitstellung''': Durch diese Pflichten und Verantwortlichkeiten soll sichergestellt werden, dass Cybersicherheit als strategische Priorität auf höchster Managementebene verankert wird und die notwendige Aufmerksamkeit und Unterstützung erhält.
 === Meldeverpflichtungen ===
-==== NIS2 Richtlinie ====
+==== NIS2-Richtlinie ====
-Die NIS 2 Richtlinie sieht verschiedene Meldepflichten für Sicherheitsvorfälle vor, die entweder 24 Stunden, 72 Stunden oder einen Monat betragen. Die Fristen sind grundsätzlich als Höchstfristen angelegt, in den meisten Fällen wird eine unverzügliche Meldung gefordert.
+Die NIS2-RL sieht verschiedene Meldepflichten für Sicherheitsvorfälle vor, die entweder 24 Stunden, 72 Stunden oder einen Monat betragen. Die Fristen sind grundsätzlich als Höchstfristen angelegt, in den meisten Fällen wird eine unverzügliche Meldung gefordert.
 * Innerhalb von '''24 Stunden''' nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung an die zuständige nationale Behörde erfolgen. Diese soll Informationen darüber enthalten, ob kriminelle Hintergründe vermutet werden oder grenzüberschreitende Auswirkungen zu befürchten sind.
@@ Zeile 309: / Zeile 310: @@
 '''Anwendungsbereich:'''
-Gemäß § 24 Abs 2 NISG gelten Einrichtungen welche ein mittleres Unternehmen das in einem Sektor mit hoher Kritikalität gemäß den Anlagen 1 und 2 zum NISG tätig ist betriben als wichtige Einrichtungen. Eine Einrichtung gilt gemäß § 25 NISG unter anderem als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeitende beschäftigt. Die NisExperts AG beschäftigt mehr als 50 Mitarbeitende und ist in einem Sektor mit hoher Kritikalität (Digitale Infrastruktur - Rechenzentrumsdienste) gemäß Ziffer 8 Anlage 1 NISG tätig. Ob der Kund*innenstruktur könnte sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung und die öffentliche Gesundheit auswirken, das bewirkt aber für sich keine Qualifizierung als "wesentliche Einrichtung". Die NisExperts AG ist sohin als wichtige Einrichtung iSd NISG zu qualifizieren.
+Gemäß § 24 Abs 2 NISG gelten Einrichtungen welche ein mittleres Unternehmen das in einem Sektor mit hoher Kritikalität gemäß den Anlagen 1 und 2 zum NISG tätig ist betriben als wichtige Einrichtungen. Eine Einrichtung gilt gemäß § 25 NISG unter anderem als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeitende beschäftigt. Die NisExperts AG beschäftigt mehr als 50 Mitarbeitende und ist in einem Sektor mit hoher Kritikalität (Digitale Infrastruktur - Rechenzentrumsdienste) gemäß Z 8 Anlage 1 NISG tätig. Ob der Kund*innenstruktur könnte sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung und die öffentliche Gesundheit auswirken, das bewirkt aber für sich keine Qualifizierung als "wesentliche Einrichtung". Die NisExperts AG ist sohin als wichtige Einrichtung iSd NISG zu qualifizieren.
 '''Meldung:'''
-Wichtige Einrichtungen haben gemäß § 34 NISG dem für sie zuständigen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall zu melden. Bei der Beurteilung, ob ein Cybersicherheitsvorfall als erheblich im Sinne des einzustufen ist, sind gemäß § 35 Abs 2 lit b NISG unter anderem die möglichen Auswirkungen auf die öffentliche Ordnung und Sicherheit und die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises zu berüchsichtigen. Da die NisExperts AG ein kritischer Dienstleister für mehrere Krankenhäuser und der Ausfall die Aktivierung von Notfallplänen bedingt hat liegt wohl ein erheblicher Sicherheitsvorfall iSd § 35 NISG vor. Gemäß Art 8 [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] liegt ein erheblicher Sicherheitsvorfall dann vor, wenn Verfügbarkeit eines Rechenzentrumsdienstes eines vom Anbieter betriebenen Rechenzentrums ist für eine Dauer von mehr als einer Stunde eingeschränkt. Das liegt vor, weshalb jedenfalls ein erheblicher Sicherheitsvorfall vorliegt. In Ermangelung eines sektoralen CSIRT setzt NisExperts AG gemäß § 34 NISG folgende Meldungen an das nationale CSIRT (cert.at) ab.
+Wichtige Einrichtungen haben gemäß § 34 NISG dem für sie zuständigen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall zu melden. Bei der Beurteilung, ob ein Cybersicherheitsvorfall als erheblich im Sinne des einzustufen ist, sind gemäß § 35 Abs 2 lit b NISG unter anderem die möglichen Auswirkungen auf die öffentliche Ordnung und Sicherheit und die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises zu berücksichtigen. Da die NisExperts AG ein kritischer Dienstleister für mehrere Krankenhäuser und der Ausfall die Aktivierung von Notfallplänen bedingt hat liegt wohl ein erheblicher Sicherheitsvorfall iSd § 35 NISG vor. Gemäß Art 8 [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] liegt ein erheblicher Sicherheitsvorfall dann vor, wenn Verfügbarkeit eines Rechenzentrumsdienstes eines vom Anbieter betriebenen Rechenzentrums ist für eine Dauer von mehr als einer Stunde eingeschränkt. Das liegt vor, weshalb jedenfalls ein erheblicher Sicherheitsvorfall vorliegt. In Ermangelung eines sektoralen CSIRT setzt NisExperts AG gemäß § 34 NISG folgende Meldungen an das nationale CSIRT (cert.at) ab.
 '''Erstmeldung innerhalb von 24 Stunden:'''
@@ Zeile 333: / Zeile 334: @@
 === Meldepflichten ===
-Die Meldepflichten der Datenschutz-Grundverordnung (DSGVO) und der NIS2-Richtlinie überschneiden sich, da beide Regelwerke Anforderungen an die Meldung von Sicherheitsvorfällen oder Datenschutzverletzungen enthalten, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wesentlichen Punkte, in denen sich die Meldepflichten beider Regelwerke überschneiden und voneinander unterscheiden:
+Die Meldepflichten der Datenschutz-Grundverordnung (DSGVO) und der NIS2-RL überschneiden sich, da beide Regelwerke Anforderungen an die Meldung von Sicherheitsvorfällen oder Datenschutzverletzungen enthalten, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wesentlichen Punkte, in denen sich die Meldepflichten beider Regelwerke überschneiden und voneinander unterscheiden:
 ====== Art der betroffenen Daten ======
@@ Zeile 343: / Zeile 344: @@
 * DSGVO: Eine Meldung ist erforderlich, wenn die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
-* NIS2: Meldepflichten gelten bei signifikanten Vorfällen, die wesentliche Auswirkungen auf die Bereitstellung essenzieller Dienste haben könnten. Die Beurteilung eines Vorfalls als signifikant erfolgt auf Basis von Faktoren wie der Anzahl betroffener Nutzer*innen, der Dauer des Vorfalls und des verursachten wirtschaftlichen Schadens.
+* NIS2-RL: Meldepflichten gelten bei signifikanten Vorfällen, die wesentliche Auswirkungen auf die Bereitstellung essenzieller Dienste haben könnten. Die Beurteilung eines Vorfalls als signifikant erfolgt auf Basis von Faktoren wie der Anzahl betroffener Nutzer*innen, der Dauer des Vorfalls und des verursachten wirtschaftlichen Schadens.
 ====== Überschneidungen ======
@@ Zeile 351: / Zeile 352: @@
 * Bei Betreibern wesentlicher Dienste, die personenbezogene Daten verarbeiten, könnten somit Vorfälle unter beide Regelungen fallen, was bedeutet, dass sowohl die Datenschutzverletzung als auch der Sicherheitsvorfall gemeldet werden müssen.
-Die Meldepflichten der DSGVO und der NIS2 überschneiden sich in Fällen, in denen personenbezogene Daten durch Sicherheitsvorfälle gefährdet sind.
+Die Meldepflichten der DSGVO und der NIS2-RL überschneiden sich in Fällen, in denen personenbezogene Daten durch Sicherheitsvorfälle gefährdet sind.
 === Risikomanagement ===
-Die Risikomanagementanforderungen der Datenschutz-Grundverordnung (DSGVO) und der NIS2-Richtlinie überschneiden sich in bestimmten Bereichen, insbesondere wenn es um den Schutz von Daten und IT-Systemen geht. Beide Regelwerke erfordern von Organisationen, dass sie Maßnahmen zum Schutz von Informationen und zur Risikominimierung implementieren, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wichtigsten Überschneidungen und Unterschiede der Risikomanagementanforderungen:
+Die Risikomanagementanforderungen der Datenschutz-Grundverordnung (DSGVO) und der NIS2-RL überschneiden sich in bestimmten Bereichen, insbesondere wenn es um den Schutz von Daten und IT-Systemen geht. Beide Regelwerke erfordern von Organisationen, dass sie Maßnahmen zum Schutz von Informationen und zur Risikominimierung implementieren, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wichtigsten Überschneidungen und Unterschiede der Risikomanagementanforderungen:
 * DSGVO: Der Fokus liegt auf dem Schutz personenbezogener Daten und den Rechten natürlicher Personen. Risikomanagement unter der DSGVO zielt darauf ab, das Risiko für die Rechte und Freiheiten von Einzelpersonen, die durch die Verarbeitung ihrer personenbezogenen Daten betroffen sind, zu minimieren.
-* NIS2: Die NIS2-Richtlinie konzentriert sich auf die Cybersicherheit und den Schutz der Netz- und Informationssysteme in kritischen Sektoren (zB Energie, Gesundheit, Verkehr). Risikomanagement hier zielt darauf ab, die Resilienz von IT-Systemen und kritischen Infrastrukturen gegen Cyberbedrohungen zu stärken.
+* NIS2-RL: Die NIS2-RL konzentriert sich auf die Cybersicherheit und den Schutz der Netz- und Informationssysteme in kritischen Sektoren (zB Energie, Gesundheit, Verkehr). Risikomanagement hier zielt darauf ab, die Resilienz von IT-Systemen und kritischen Infrastrukturen gegen Cyberbedrohungen zu stärken.
 ====== Risikobasierter Ansatz ======
@@ Zeile 363: / Zeile 364: @@
 * DSGVO: Die DSGVO verpflichtet Unternehmen dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, die dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sind. Dies bedeutet, dass Unternehmen die potenziellen Risiken für personenbezogene Daten bewerten und basierend darauf Schutzmaßnahmen wie Verschlüsselung, Pseudonymisierung, Zugriffskontrollen und Datensicherungen implementieren. (Art 24, 32 DSGVO)
-* NIS2: NIS2 verlangt von Unternehmen, ein Risikomanagement für ihre Netz- und Informationssysteme zu betreiben, das sich an den potenziellen Cyberrisiken orientiert. Es geht um die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Systemen und Informationen. Organisationen müssen Maßnahmen wie Netzwerksicherheitskontrollen, Bedrohungserkennungssysteme und Notfallpläne implementieren. (Art 21 NIS2-RL)
+* NIS2-RL: NIS2-RL verlangt von Unternehmen, ein Risikomanagement für ihre Netz- und Informationssysteme zu betreiben, das sich an den potenziellen Cyberrisiken orientiert. Es geht um die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Systemen und Informationen. Organisationen müssen Maßnahmen wie Netzwerksicherheitskontrollen, Bedrohungserkennungssysteme und Notfallpläne implementieren. (Art 21 NIS2-RL)
 ====== Konkrete Sicherheitsmaßnahmen ======
 * DSGVO: Die DSGVO fordert spezifische Sicherheitsmaßnahmen für den Schutz personenbezogener Daten, einschließlich der Pseudonymisierung und Verschlüsselung, und verlangt, dass Unternehmen Maßnahmen zur Wiederherstellung der Datenverfügbarkeit nach einem physischen oder technischen Vorfall haben (Art 32 DSGVO). Die Anforderungen zielen direkt auf den Schutz von personenbezogenen Daten ab.
-* NIS2: Die NIS2-Richtlinie legt Wert auf Cybersicherheitsmaßnahmen und operative Resilienz. Hierzu gehören Maßnahmen zur Sicherung der Netzwerk- und Informationssysteme gegen Bedrohungen, die Implementierung von Überwachungssystemen zur Bedrohungserkennung und die Sicherstellung von Redundanzen und Kontinuität der Dienste. Diese Maßnahmen sind breiter gefasst und betreffen nicht nur personenbezogene Daten, sondern die gesamte IT-Infrastruktur eines Unternehmens.
+* NIS2: Die NIS2-RL legt Wert auf Cybersicherheitsmaßnahmen und operative Resilienz. Hierzu gehören Maßnahmen zur Sicherung der Netzwerk- und Informationssysteme gegen Bedrohungen, die Implementierung von Überwachungssystemen zur Bedrohungserkennung und die Sicherstellung von Redundanzen und Kontinuität der Dienste. Diese Maßnahmen sind breiter gefasst und betreffen nicht nur personenbezogene Daten, sondern die gesamte IT-Infrastruktur eines Unternehmens.
 ====== Risikobewertung und Dokumentation ======
 * DSGVO: Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Dies umfasst eine detaillierte Bewertung der Risiken und die Implementierung von Maßnahmen zur Risikominimierung. (Art 35 DSGVO)
-* NIS2: Organisationen müssen regelmäßig eine Risikobewertung ihrer Netz- und Informationssysteme durchführen, um potenzielle Cybersicherheitsrisiken zu identifizieren und entsprechend darauf zu reagieren. Diese Risikobewertungen müssen umfassender sein, da sie alle potenziellen Risiken für die kritischen IT-Infrastrukturen eines Unternehmens berücksichtigen.
+* NIS2-RL: Organisationen müssen regelmäßig eine Risikobewertung ihrer Netz- und Informationssysteme durchführen, um potenzielle Cybersicherheitsrisiken zu identifizieren und entsprechend darauf zu reagieren. Diese Risikobewertungen müssen umfassender sein, da sie alle potenziellen Risiken für die kritischen IT-Infrastrukturen eines Unternehmens berücksichtigen.
 ====== Betroffene Unternehmen ======
 * DSGVO: Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist verpflichtet, entsprechende Sicherheitsmaßnahmen und ein Risikomanagement zu implementieren. Hierbei handelt es sich um eine breite Anforderung, die nahezu alle Organisationen betrifft.
-* NIS2: Die NIS2-Richtlinie gilt nur für Betreiber wesentlicher und wichtiger Dienste in kritischen Sektoren, wie Energieversorgung, Verkehr, Banken und Gesundheitswesen. Das Risikomanagement richtet sich hier primär an Organisationen, die für die Sicherheit von Infrastrukturen von großer Bedeutung verantwortlich sind.
+* NIS2-RL: Die NIS2-RL gilt nur für Betreiber wesentlicher und wichtiger Dienste in kritischen Sektoren, wie Energieversorgung, Verkehr, Banken und Gesundheitswesen. Das Risikomanagement richtet sich hier primär an Organisationen, die für die Sicherheit von Infrastrukturen von großer Bedeutung verantwortlich sind.
 ====== Technische und organisatorische Maßnahmen ======
@@ Zeile 384: / Zeile 385: @@
 * DSGVO: Der Fokus liegt auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten. Unternehmen müssen Maßnahmen ergreifen, um unbefugten Zugriff auf Daten zu verhindern, Datensicherheit sicherzustellen und Maßnahmen zur Datenwiederherstellung bei Zwischenfällen zu implementieren.
-* NIS2: Hier liegt der Fokus auf dem Schutz der IT-Systeme selbst, mit besonderem Augenmerk auf der Gewährleistung der Dienstverfügbarkeit und der Widerstandsfähigkeit gegen Cyberangriffe. Dies beinhaltet auch regelmäßige Sicherheitsüberprüfungen, Schwachstellenmanagement und Notfallmaßnahmen.
+* NIS2-RL: Hier liegt der Fokus auf dem Schutz der IT-Systeme selbst, mit besonderem Augenmerk auf der Gewährleistung der Dienstverfügbarkeit und der Widerstandsfähigkeit gegen Cyberangriffe. Dies beinhaltet auch regelmäßige Sicherheitsüberprüfungen, Schwachstellenmanagement und Notfallmaßnahmen.
 ====== Überschneidungen ======
@@ Zeile 390: / Zeile 391: @@
 * Risikobewertung: Beide Regelungen verlangen eine risikobasierte Einschätzung und eine darauf basierende Umsetzung von Schutzmaßnahmen. Das Risikomanagement in beiden Fällen erfordert die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Implementierung geeigneter Maßnahmen.
 * Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen zur Minimierung von Risiken für IT-Systeme und Datenverarbeitung sind in beiden Regelwerken gefordert, insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit.
-* Dokumentationspflichten: Sowohl die DSGVO als auch die NIS2 fordern eine umfassende Dokumentation der Sicherheitsmaßnahmen und Risikobewertungen, um im Falle von Prüfungen oder Vorfällen nachweisen zu können, dass die Anforderungen erfüllt wurden.
+* Dokumentationspflichten: Sowohl die DSGVO als auch die NIS2-RL fordern eine umfassende Dokumentation der Sicherheitsmaßnahmen und Risikobewertungen, um im Falle von Prüfungen oder Vorfällen nachweisen zu können, dass die Anforderungen erfüllt wurden.
-Die Risikomanagementanforderungen der DSGVO und NIS2 überschneiden sich in Bezug auf die Notwendigkeit, Risiken zu bewerten und angemessene Schutzmaßnahmen zu implementieren, insbesondere wenn personenbezogene Daten durch Sicherheitsvorfälle oder Cyberangriffe bedroht sind. Unternehmen, die sowohl unter die DSGVO als auch unter NIS2 fallen, müssen ihre Risikomanagementstrategien so gestalten, dass sie beiden Regelwerken gerecht werden. Während die DSGVO den Schutz von personenbezogenen Daten betont, legt NIS2 den Fokus auf die Resilienz der IT-Systeme und die allgemeine Cybersicherheit. Dennoch ist eine Schnittmenge der Risiken in beiden Bereichen einschlägig. So ist es zu prüfen, ob in einem Bereich erhobene Risiken auch im anderen Bereich relevant sein können.
+Die Risikomanagementanforderungen der DSGVO und NIS2-RL überschneiden sich in Bezug auf die Notwendigkeit, Risiken zu bewerten und angemessene Schutzmaßnahmen zu implementieren, insbesondere wenn personenbezogene Daten durch Sicherheitsvorfälle oder Cyberangriffe bedroht sind. Unternehmen, die sowohl unter die DSGVO als auch unter NIS2 fallen, müssen ihre Risikomanagementstrategien so gestalten, dass sie beiden Regelwerken gerecht werden. Während die DSGVO den Schutz von personenbezogenen Daten betont, legt NIS2 den Fokus auf die Resilienz der IT-Systeme und die allgemeine Cybersicherheit. Dennoch ist eine Schnittmenge der Risiken in beiden Bereichen einschlägig. So ist es zu prüfen, ob in einem Bereich erhobene Risiken auch im anderen Bereich relevant sein können.
 == Sanktionen ==
-=== NIS2 Richtlinie ===
+=== NIS2-Richtlinie ===
 Die Höhe der Bußgelder unterscheidet sich je nach Einstufung des Unternehmens:
@@ Zeile 449: / Zeile 450: @@
 * ''Stadler/Drolz'', Cyberregeln treffen auch Lieferanten, Der Standard 2024/18/01.
 * ''Staffler'', Morgendämmerung der EU-Cybersicherheit-Compliance, JSt 2023/328/4.
-* ''Tretzmüller'', Die Umsetzung des NIS-Gesetzes.
+* ''Tretzmüller'', Die Umsetzung des NIS-Gesetzes, Report 2019, https://www.kt.at/wp-content/uploads/2019/09/31-Kommentar-Tretzm%C3%BCller_Energie-Report-Sept-2019.pdf.
 === Schwerpunktartikel ===
@@ Zeile 457: / Zeile 458: @@
 * ''Reiter'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, Medien und Recht 2023/188/4.
 * ''Reiter/Heidinger/Gstrein'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, MR 2023, 188.
-* ''Schiefer/Wieser'', NIS-2-RL: Wer trägt die Verantwortung im Unternehmen?, ecolex 2023/568.
+* ''Schiefer/Wieser'', NIS-2-RL. Wer trägt die Verantwortung im Unternehmen? ecolex 2023/568.
 * ''Wegmann'', Too much of a good thing? Erweiterung und Verschärfung von Cybersicherheitsplichten durch die NIS2-Richtlinie, BB 2023, 835.
 * ''Werner'', Anwendbarkeit der NIS-2 im chemischen Sektor, DSB 2024, 175.
@@ Zeile 467: / Zeile 468: @@
 === Sammelwerke ===
+* ''Anderl'' (Hrsg), #Cybercrime. Handbuch für die Praxis (2023)
 * ''Ditttrich/Dochow/Ippach'' (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024).
 * ''Hornung/Schallbruch'' (Hrsg), IT-Sicherheitsrecht. Praxishandbuch<sup>2</sup> (2024, iE).
@@ Zeile 472: / Zeile 474: @@
 === Kommentare ===
+* ''Anderl/Heußler/Mayer/Müller'', Netz- und Informationssystemsicherheitsgesetz NISG (2019) [zum Stand der ersten NIS-RL]
 == Einzelnachweise ==

Network and Information Security Directive (NIS2-RL): Unterschied zwischen den Versionen

Aktuelle Version vom 26. Februar 2025, 18:26 Uhr

Kurzübersicht

Einführung

Anwendungsbereich

NIS2-Richtlinie

Persönlicher/Sachlicher Anwendungsbereich

Größenabhängiger Anwendungsbereich

Größenunabhängiger Anwendungsbereich

Wesentliche und Wichtige Einrichtungen

Territorialer Anwendungsbereich

Nationaler Umsetzungsentwurf (NISG)

Persönlicher/Sachlicher Anwendungsbereich

Größenabhängiger Anwendungsbereich

Größenunabhängiger Anwendungsbereich

Ausnahmen

Abgrenzungen

Territorialer Anwendungsbereich

Zeitlicher Anwendungsbereich

Zentrale Inhalte

Risikomanagementmaßnahmen

NIS2 Richtlinie

Nationaler Umsetzungsentwurf (NISG)

Governance-Verpflichtung und Haftung der Leitungsorgane

NIS2-Richtlinie

Nationaler Umsetzungsentwurf (NISG)

Begriff Leitungsorgan

Pflichten des Leitungsorgans

Meldeverpflichtungen

NIS2-Richtlinie

Nationaler Umsetzungsentwurf (NISG)

Meldung von Vorfällen an CSIRT

Inhalte der Meldungen:

Meldung von Vorfällen an Betroffene

Erheblicher Cybersicherheitsvorfall

Fallbeispiel

Synergien

Meldepflichten

Art der betroffenen Daten

Bedingungen für die Meldung

Überschneidungen

Risikomanagement

Risikobasierter Ansatz

Konkrete Sicherheitsmaßnahmen

Risikobewertung und Dokumentation

Betroffene Unternehmen

Technische und organisatorische Maßnahmen

Überschneidungen

Sanktionen

NIS2-Richtlinie

Nationaler Umsetzungsentwurf (NISG)

Private Einrichtungen

Öffentliche Einrichtungen

Weiterführende Literatur

Überblicksartikel

Schwerpunktartikel

Einführungswerke

Sammelwerke

Kommentare

Einzelnachweise

Navigationsmenü

Suche