Network and Information Security Directive (NIS2-RL): Unterschied zwischen den Versionen

Aus RI Wiki
Zur Navigation springenZur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Jhospes (Diskussion | Beiträge)
110 Bearbeitungen
Jhospes (Diskussion | Beiträge)
110 Bearbeitungen
Zeile 46: Zeile 46:


== Einführung ==
== Einführung ==
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union<ref>Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022</ref> (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union<ref>''Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union,'' ABl. L 194/1 vom 19. Juli 2016</ref> („NIS-RL“). Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der Anwendungsbereich deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein Meldesystem bei Sicherheitsvorfällen gemacht und neue Haftungstatbestände geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2<ref>https://www.parlament.gv.at/gegenstand/XXVII/ME/326</ref> novelliert wird.
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union<ref>Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022</ref> (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union<ref>''Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union,'' ABl. L 194/1 vom 19. Juli 2016</ref> („NIS-RL“). Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der Anwendungsbereich deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein Meldesystem bei Sicherheitsvorfällen gemacht und neue Haftungstatbestände geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2<ref>Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)


https://www.parlament.gv.at/gegenstand/XXVII/ME/326</ref> novelliert wird.


Der Nationalrat konnte in einer im Juli 2024 abgehaltenen Sitzung zwar eine einfache Mehrheit für das Umsetzungsgesetz (NISG-E) erreichen, da das Gesetz jedoch Verfassungsbestimmungen berührt, bedarf es einer breiteren Zweidrittelmehrheit welche nicht erreicht werden konnte.Hauptgrund für die Absage der Opposition ist die Ansiedelung der nationalen Cybersicherheitsbehörde beim Innenministerium.<ref>https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785</ref> Die Autoren erwarten keine wensentlichen Änderungen der unstrittigen Regelungspunkte in allfälligen Folgeentwürfen weshalb im Folgenden auf den Regelungsinhalten des vorliegenden Entwurfs (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)<ref>Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden.https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621118.pdf</ref> - im Folgenden NISG) aufgebaut wird.


== Anwendungsbereich ==
== Anwendungsbereich ==


=== Personeller Anwendungsbereich ===
=== NIS2 Richtlinie ===
 
==== Persönlicher / Sachlicher Anwendungsbereich ====
In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem größenabhängigen (Art 2 Abs 1 NIS2-RL) und dem größenunabhängigen (Art 2 Abs 3 NIS2-RL)  Anwendungsbereich.
In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem größenabhängigen (Art 2 Abs 1 NIS2-RL) und dem größenunabhängigen (Art 2 Abs 3 NIS2-RL)  Anwendungsbereich.


==== Größenabhängiger Geltungsbereich ====
====== Größenabhängiger Anwendungsbereich ======
Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS-2-Richtlinie zunächst an der [[Size-Cap-Rule]] an. Hiernach gilt die NIS2-RL für Einrichtungen welche mehr als 50 Mitarbeiter beschäftigen
Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS-2-Richtlinie zunächst an der [[Size-Cap-Rule]] an. Hiernach gilt die NIS2-RL für Einrichtungen welche mehr als 50 Mitarbeiter beschäftigen


Zeile 70: Zeile 74:
Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung
Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung


==== Größenunabhängiger Geltungsbereich ====
====== Größenunabhängiger Anwendungsbereich ======
Gemäß <abbr>Art.</abbr> 2 und <abbr>Art.</abbr> 3 der NIS-2-Richtlinie können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-Richtlinie fallen. folgende t§tigkeiten sind hiervon umfasst:  
Gemäß <abbr>Art.</abbr> 2 und <abbr>Art.</abbr> 3 der NIS-2-Richtlinie können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-Richtlinie fallen. folgende t§tigkeiten sind hiervon umfasst:  


Zeile 79: Zeile 83:
* Einrichtungen, welche nach der Richtlinie für Resilienz kritischer Einrichtungen (CER-Richtlinie) als kritisch eingestuft wurden.
* Einrichtungen, welche nach der Richtlinie für Resilienz kritischer Einrichtungen (CER-Richtlinie) als kritisch eingestuft wurden.


==== Wesentliche und Wichtige Einrichtungen ====
====== Wesentliche und Wichtige Einrichtungen ======
Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden in wesentliche und wichtige Einrichtungen kategorisiert. Wesentliche Einrichtungen utnerstehen einer proaktiven und reaktiven Aufsicht (<abbr>Art</abbr> 32 NIS-2-RL). Wichtige Einrichtungen unterliege nur einer reaktiven Aufsicht (<abbr>Art</abbr> 33 NIS-2-RL) .<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref> Daneben gelten verschiedene Sanktionsregime.
Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden in wesentliche und wichtige Einrichtungen kategorisiert. Wesentliche Einrichtungen utnerstehen einer proaktiven und reaktiven Aufsicht (<abbr>Art</abbr> 32 NIS-2-RL). Wichtige Einrichtungen unterliege nur einer reaktiven Aufsicht (<abbr>Art</abbr> 33 NIS-2-RL).<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref> Daneben gelten verschiedene Sanktionsregime.


=== Geographischer Anwendungsbereich ===
====== Ausnahmen ======
 
==== Geographischer Anwendungsbereich ====
       Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL)
       Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL)
=== Nationaler Umsetzungsentwurf (NISG) ===
==== Persönlicher / Sachlicher Anwendungsbereich ====
Regelungsgegenstand des NISG können sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Regelungsgegenstand des NISG sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Die Sektoren entsprechen denen der NIS2-RL und werden durch die Definition von Teilsektoren in den Anlagen 1<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf</ref> und 2<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</ref> zum NISG ergänzt.
Eine "Einrichtung" iSd NISG ist gemäß § 3 Abs 10 NISG "eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann".
Anstelle eines zweistufigen Vorgehens, wie es in Art. 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz ausschließlich § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist.
====== Größenabhängiger Anwendungsbereich ======
Einrichtungen der in den Anlagen 1 und 2 NISG, die ein [[Großes oder mittleres Unternehmen iSd NISG|großes oder mittleres Unternehmen]] betreiben gelten nach § 42 Abs 2 NISG jedenfalls als wichtige Einrichtungen. Eine Teilmenge dieser Einrichtungen wird in § 24 Abs 1 NISG als wesentliche Einrichtung qualifiziert. Von der Möglichkeit bei der Umsetzung der NIS-2-Richtlinie die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen un den Anwendungsbereich aufzunehmen wurde abgesehen.<ref>ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf</ref>
====== Größenunabhängiger Anwendungsbereich ======
Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs. 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 ermittelt wurden.
Darüber hinaus fallen öffentliche Stellen unter die in § 25 Abs. 3 NISG genannten Kriterien. Vereinfacht ausgedrückt sind dies Bundes- und Landeseinrichtungen ohne gewerblichen Auftrag, deren Entscheidungen individuelle Rechte im grenzüberschreitenden Verkehr berühren.
Ausnahmen


== Fallbeispiele ==
== Fallbeispiele ==

Version vom 20. September 2024, 13:20 Uhr

Langtitel:

Kurztitel: Konsolidierter Text: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR https://eur-lex.europa.eu/eli/dir/2022/2555

Kurzübersicht

Ziele Anwendungsbereich Inhalt[1] Synergie Konsequenzen
Aufbau von Cybersicherheitskapazitäten (EG 1 NIS2-RL) Anhäng I (Sektoren mit hoher Kritikalität) Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (Art 7 NIS2-RL) Datenschutzmanagementsystem Wesentliche Einrichtungen: Bußgelder mit Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus

(Art 1 NIS2-LR)

Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG überschreiten Pflicht für alle Mitgliedstaaten, diverse Zuständigkeiten zu regeln

Aufsichts- und Durchsetzungspflichten für die MS (Art. 31 ff NIS2-RL)

Sicherheit der Verarbeitung (Art. 32 DSGVO) wichtige Einrichtungen (also alle

anderen Einrichtungen die in den Anwendungsbereich der

NIS2-RL fallen) beträgt das höchstmögliche Bußgeld mindestens

7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Für beide gilt der jeweils höhere Betrag.

Eindämmung von Begrohungen in Schlüsselsektoren (EG 1 NIS2-RL) Ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (Art. 20 ff NIS2-RL) sowie Berichtspflichten (Art. 23 NIS2-RL) für betroffene Einrichtungen Verschwiegenheitsklauseln Behördliche Anweisungen und Anordnungen. Auch Anordnung der Aussetzung der Tätigkeit ist möglich. (Art 32 NIS2-RL)
Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (Art 29 ff NIS-2-RL) Leitungsorgane können persönlich haften. (Art 20 NIS2-RL)

Einführung

Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union[2] (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union[3] („NIS-RL“). Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der Anwendungsbereich deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein Meldesystem bei Sicherheitsvorfällen gemacht und neue Haftungstatbestände geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2[4] novelliert wird.

Der Nationalrat konnte in einer im Juli 2024 abgehaltenen Sitzung zwar eine einfache Mehrheit für das Umsetzungsgesetz (NISG-E) erreichen, da das Gesetz jedoch Verfassungsbestimmungen berührt, bedarf es einer breiteren Zweidrittelmehrheit welche nicht erreicht werden konnte.Hauptgrund für die Absage der Opposition ist die Ansiedelung der nationalen Cybersicherheitsbehörde beim Innenministerium.[5] Die Autoren erwarten keine wensentlichen Änderungen der unstrittigen Regelungspunkte in allfälligen Folgeentwürfen weshalb im Folgenden auf den Regelungsinhalten des vorliegenden Entwurfs (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)[6] - im Folgenden NISG) aufgebaut wird.

Anwendungsbereich

NIS2 Richtlinie

Persönlicher / Sachlicher Anwendungsbereich

In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem größenabhängigen (Art 2 Abs 1 NIS2-RL) und dem größenunabhängigen (Art 2 Abs 3 NIS2-RL) Anwendungsbereich.

Größenabhängiger Anwendungsbereich

Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS-2-Richtlinie zunächst an der Size-Cap-Rule an. Hiernach gilt die NIS2-RL für Einrichtungen welche mehr als 50 Mitarbeiter beschäftigen

oder mehr als 10 Mio. Euro Jahresumsatz[7] erzielen.

Kumulativ muss die Tätigkeit der Einrichtung in den Anhang I oder II der NIS2-RL Fallen.

  • Anhang I nennt etwa folgende Einrichtungen:

Energie | Verkehr | Bankwesen | Finanzmarktinfrastrukturen | Gesundheitswesen | Trinkwasser | Abwasser | Digitale Infrastruktur | Verwaltung von IKT-Diensten (Business-to-Business) | öffentliche Verwaltung | Weltraum

  • Anhang II nennt etwa folgende Einrichtungen:

Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung

Größenunabhängiger Anwendungsbereich

Gemäß Art. 2 und Art. 3 der NIS-2-Richtlinie können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-Richtlinie fallen. folgende t§tigkeiten sind hiervon umfasst:

  • Dienste welche die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind.
  • Dienste deren Störung sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;
  • Dienste deren Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte;
  • Einrichtungen welche aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist
  • Einrichtungen, welche nach der Richtlinie für Resilienz kritischer Einrichtungen (CER-Richtlinie) als kritisch eingestuft wurden.
Wesentliche und Wichtige Einrichtungen

Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden in wesentliche und wichtige Einrichtungen kategorisiert. Wesentliche Einrichtungen utnerstehen einer proaktiven und reaktiven Aufsicht (Art 32 NIS-2-RL). Wichtige Einrichtungen unterliege nur einer reaktiven Aufsicht (Art 33 NIS-2-RL).[8] Daneben gelten verschiedene Sanktionsregime.

Ausnahmen

Geographischer Anwendungsbereich

       Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL)

Nationaler Umsetzungsentwurf (NISG)

Persönlicher / Sachlicher Anwendungsbereich

Regelungsgegenstand des NISG können sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Regelungsgegenstand des NISG sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Die Sektoren entsprechen denen der NIS2-RL und werden durch die Definition von Teilsektoren in den Anlagen 1[9] und 2[10] zum NISG ergänzt.

Eine "Einrichtung" iSd NISG ist gemäß § 3 Abs 10 NISG "eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann".

Anstelle eines zweistufigen Vorgehens, wie es in Art. 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz ausschließlich § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist.

Größenabhängiger Anwendungsbereich

Einrichtungen der in den Anlagen 1 und 2 NISG, die ein großes oder mittleres Unternehmen betreiben gelten nach § 42 Abs 2 NISG jedenfalls als wichtige Einrichtungen. Eine Teilmenge dieser Einrichtungen wird in § 24 Abs 1 NISG als wesentliche Einrichtung qualifiziert. Von der Möglichkeit bei der Umsetzung der NIS-2-Richtlinie die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen un den Anwendungsbereich aufzunehmen wurde abgesehen.[11]

Größenunabhängiger Anwendungsbereich

Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs. 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 ermittelt wurden.

Darüber hinaus fallen öffentliche Stellen unter die in § 25 Abs. 3 NISG genannten Kriterien. Vereinfacht ausgedrückt sind dies Bundes- und Landeseinrichtungen ohne gewerblichen Auftrag, deren Entscheidungen individuelle Rechte im grenzüberschreitenden Verkehr berühren.


Ausnahmen

Fallbeispiele

Synergien

Konsequenzen/Strafen

Weiterführende Literatur

Überblicksartikel

  • Löffler, NIS-2. Ein Überblick, dako 2024, 76

Einführungswerke

Kommentare

Sammelwerke

  • Ditttrich/Dochow/Ippach (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
  • Hornung/Schallbruch (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024, iE)
  • Kipker (Hrsg), Cybersecurity. Rechtshandbuch2 (2023)

Weiterführende Links

  1. https://www.nis.gv.at/nis-2-richtlinie.html
  2. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022
  3. Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1 vom 19. Juli 2016
  4. Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME) https://www.parlament.gv.at/gegenstand/XXVII/ME/326
  5. https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785
  6. Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden.https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621118.pdf
  7. Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1
  8. https://www.nis.gv.at/nis-2-richtlinie.html
  9. 326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf
  10. 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf
  11. ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf
Abgerufen von „https://wiki.atlaws.eu/index.php?title=Network_and_Information_Security_Directive_(NIS2-RL)&oldid=644