Network and Information Security Directive (NIS2-RL): Unterschied zwischen den Versionen
| Zeile 15: | Zeile 15: | ||
|Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (<abbr>Art</abbr> 7 NIS2-RL) | |Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (<abbr>Art</abbr> 7 NIS2-RL) | ||
|Datenschutzmanagementsystem | |Datenschutzmanagementsystem | ||
| | |Wesentliche Einrichtungen: Bußgelder mit Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes | ||
|- | |- | ||
|Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus | |Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus | ||
| Zeile 23: | Zeile 23: | ||
Aufsichts- und Durchsetzungspflichten für die MS (<abbr>Art.</abbr> 31 ff NIS2-RL) | Aufsichts- und Durchsetzungspflichten für die MS (<abbr>Art.</abbr> 31 ff NIS2-RL) | ||
|Sicherheit der Verarbeitung (Art. 32 DSGVO) | |Sicherheit der Verarbeitung (Art. 32 DSGVO) | ||
| | |wichtige Einrichtungen (also alle | ||
anderen Einrichtungen die in den Anwendungsbereich der | |||
NIS2-RL fallen) beträgt das höchstmögliche Bußgeld mindestens | |||
7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes. | |||
Für beide gilt der jeweils höhere Betrag. | |||
|- | |- | ||
|Eindämmung von Begrohungen in Schlüsselsektoren (EG 1 NIS2-RL) | |Eindämmung von Begrohungen in Schlüsselsektoren (EG 1 NIS2-RL) | ||
| Zeile 29: | Zeile 36: | ||
|Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (<abbr>Art.</abbr> 20 ff NIS2-RL) sowie Berichtspflichten (<abbr>Art.</abbr> 23 NIS2-RL) für betroffene Einrichtungen | |Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (<abbr>Art.</abbr> 20 ff NIS2-RL) sowie Berichtspflichten (<abbr>Art.</abbr> 23 NIS2-RL) für betroffene Einrichtungen | ||
|Verschwiegenheitsklauseln | |Verschwiegenheitsklauseln | ||
| | |Behördliche Anweisungen und Anordnungen. Auch Anordnung der Aussetzung der Tätigkeit ist möglich. (Art 32 NIS2-RL) | ||
|- | |- | ||
| | | | ||
| Zeile 35: | Zeile 42: | ||
|Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (<abbr>Art</abbr> 29 ff NIS-2-RL) | |Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (<abbr>Art</abbr> 29 ff NIS-2-RL) | ||
| | | | ||
| | |Leitungsorgane können persönlich haften. (Art 20 NIS2-RL) | ||
|} | |} | ||
| Zeile 44: | Zeile 51: | ||
== Anwendungsbereich == | == Anwendungsbereich == | ||
=== Personeller Anwendungsbereich === | |||
In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem größenabhängigen (Art 2 Abs 1 NIS2-RL) und dem größenunabhängigen (Art 2 Abs 3 NIS2-RL) Anwendungsbereich. | |||
==== Größenabhängiger Geltungsbereich ==== | |||
Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS-2-Richtlinie zunächst an der [[Size-Cap-Rule]] an. Hiernach gilt die NIS2-RL für Einrichtungen welche mehr als 50 Mitarbeiter beschäftigen | |||
oder mehr als 10 Mio. Euro Jahresumsatz<ref>Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1</ref> erzielen. | |||
Kumulativ muss die Tätigkeit der Einrichtung in den Anhang I oder II der NIS2-RL Fallen. | |||
* ''Anhang I'' nennt etwa folgende Einrichtungen: | |||
Energie | Verkehr | Bankwesen | Finanzmarktinfrastrukturen | Gesundheitswesen | Trinkwasser | Abwasser | Digitale Infrastruktur | Verwaltung von IKT-Diensten (Business-to-Business) | öffentliche Verwaltung | Weltraum | |||
* ''Anhang II nennt etwa folgende Einrichtungen:'' | |||
Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung | |||
==== Größenunabhängiger Geltungsbereich ==== | |||
Gemäß <abbr>Art.</abbr> 2 und <abbr>Art.</abbr> 3 der NIS-2-Richtlinie können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-Richtlinie fallen. folgende t§tigkeiten sind hiervon umfasst: | |||
* Dienste welche die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind. | |||
* Dienste deren Störung sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte; | |||
* Dienste deren Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte; | |||
* Einrichtungen welche aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist | |||
* Einrichtungen, welche nach der Richtlinie für Resilienz kritischer Einrichtungen (CER-Richtlinie) als kritisch eingestuft wurden. | |||
==== Wesentliche und Wichtige Einrichtungen ==== | |||
Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden in wesentliche und wichtige Einrichtungen kategorisiert. Wesentliche Einrichtungen utnerstehen einer proaktiven und reaktiven Aufsicht (<abbr>Art</abbr> 32 NIS-2-RL). Wichtige Einrichtungen unterliege nur einer reaktiven Aufsicht (<abbr>Art</abbr> 33 NIS-2-RL) .<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref> Daneben gelten verschiedene Sanktionsregime. | |||
=== Geographischer Anwendungsbereich === | |||
Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL) | |||
== Fallbeispiele == | == Fallbeispiele == | ||
Version vom 20. September 2024, 09:54 Uhr
Langtitel:
Kurztitel: Konsolidierter Text: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR https://eur-lex.europa.eu/eli/dir/2022/2555
Kurzübersicht
| Ziele | Anwendungsbereich | Inhalt[1] | Synergie | Konsequenzen |
|---|---|---|---|---|
| Aufbau von Cybersicherheitskapazitäten (EG 1 NIS2-RL) | Anhäng I (Sektoren mit hoher Kritikalität) | Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (Art 7 NIS2-RL) | Datenschutzmanagementsystem | Wesentliche Einrichtungen: Bußgelder mit Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes |
| Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus
(Art 1 NIS2-LR) |
Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG überschreiten | Pflicht für alle Mitgliedstaaten, diverse Zuständigkeiten zu regeln
Aufsichts- und Durchsetzungspflichten für die MS (Art. 31 ff NIS2-RL) |
Sicherheit der Verarbeitung (Art. 32 DSGVO) | wichtige Einrichtungen (also alle
anderen Einrichtungen die in den Anwendungsbereich der NIS2-RL fallen) beträgt das höchstmögliche Bußgeld mindestens 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes. Für beide gilt der jeweils höhere Betrag. |
| Eindämmung von Begrohungen in Schlüsselsektoren (EG 1 NIS2-RL) | Ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen | Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (Art. 20 ff NIS2-RL) sowie Berichtspflichten (Art. 23 NIS2-RL) für betroffene Einrichtungen | Verschwiegenheitsklauseln | Behördliche Anweisungen und Anordnungen. Auch Anordnung der Aussetzung der Tätigkeit ist möglich. (Art 32 NIS2-RL) |
| Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (Art 29 ff NIS-2-RL) | Leitungsorgane können persönlich haften. (Art 20 NIS2-RL) |
Einführung
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union[2] (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union[3] („NIS-RL“). Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der Anwendungsbereich deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein Meldesystem bei Sicherheitsvorfällen gemacht und neue Haftungstatbestände geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2[4] novelliert wird.
Anwendungsbereich
Personeller Anwendungsbereich
In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem größenabhängigen (Art 2 Abs 1 NIS2-RL) und dem größenunabhängigen (Art 2 Abs 3 NIS2-RL) Anwendungsbereich.
Größenabhängiger Geltungsbereich
Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS-2-Richtlinie zunächst an der Size-Cap-Rule an. Hiernach gilt die NIS2-RL für Einrichtungen welche mehr als 50 Mitarbeiter beschäftigen
oder mehr als 10 Mio. Euro Jahresumsatz[5] erzielen.
Kumulativ muss die Tätigkeit der Einrichtung in den Anhang I oder II der NIS2-RL Fallen.
- Anhang I nennt etwa folgende Einrichtungen:
Energie | Verkehr | Bankwesen | Finanzmarktinfrastrukturen | Gesundheitswesen | Trinkwasser | Abwasser | Digitale Infrastruktur | Verwaltung von IKT-Diensten (Business-to-Business) | öffentliche Verwaltung | Weltraum
- Anhang II nennt etwa folgende Einrichtungen:
Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung
Größenunabhängiger Geltungsbereich
Gemäß Art. 2 und Art. 3 der NIS-2-Richtlinie können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-Richtlinie fallen. folgende t§tigkeiten sind hiervon umfasst:
- Dienste welche die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind.
- Dienste deren Störung sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;
- Dienste deren Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte;
- Einrichtungen welche aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist
- Einrichtungen, welche nach der Richtlinie für Resilienz kritischer Einrichtungen (CER-Richtlinie) als kritisch eingestuft wurden.
Wesentliche und Wichtige Einrichtungen
Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden in wesentliche und wichtige Einrichtungen kategorisiert. Wesentliche Einrichtungen utnerstehen einer proaktiven und reaktiven Aufsicht (Art 32 NIS-2-RL). Wichtige Einrichtungen unterliege nur einer reaktiven Aufsicht (Art 33 NIS-2-RL) .[6] Daneben gelten verschiedene Sanktionsregime.
Geographischer Anwendungsbereich
Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL)
Fallbeispiele
Synergien
Konsequenzen/Strafen
Weiterführende Literatur
Überblicksartikel
- Löffler, NIS-2. Ein Überblick, dako 2024, 76
Einführungswerke
Kommentare
Sammelwerke
- Ditttrich/Dochow/Ippach (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
- Hornung/Schallbruch (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024, iE)
- Kipker (Hrsg), Cybersecurity. Rechtshandbuch2 (2023)
Weiterführende Links
- ↑ https://www.nis.gv.at/nis-2-richtlinie.html
- ↑ Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022
- ↑ Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194/1 vom 19. Juli 2016
- ↑ https://www.parlament.gv.at/gegenstand/XXVII/ME/326
- ↑ Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1
- ↑ https://www.nis.gv.at/nis-2-richtlinie.html
