Übersetzungen exportieren
Aus RI Wiki
Zur Navigation springen
Zur Suche springen
Einstellungen
Gruppe
Critical Entities‘ Resilience Directive (CER)
Cyber Resilience Act (CRA)
Cyber Security Act (CSA)
Cyber Solidarity Act
Cybersecurity
Digital Operational Resilienec Act (DORA)
Hauptseite
Network and Information Security Directive (NIS2-RL)
Sprache
aa - Afar
aae - Arbëresh
ab - Abkhazian
abs - Ambonese Malay
ace - Acehnese
acf - Saint Lucian Creole
acm - Iraqi Arabic
ady - Adyghe
ady-cyrl - Adyghe (Cyrillic script)
aeb - Tunisian Arabic
aeb-arab - Tunisian Arabic (Arabic script)
aeb-latn - Tunisian Arabic (Latin script)
af - Afrikaans
aln - Gheg Albanian
alt - Southern Altai
am - Amharic
ami - Amis
an - Aragonese
ang - Old English
ann - Obolo
anp - Angika
apc - Levantine Arabic
ar - Arabic
arc - Aramaic
arn - Mapuche
arq - Algerian Arabic
ary - Moroccan Arabic
arz - Egyptian Arabic
as - Assamese
ase - American Sign Language
ast - Asturian
atj - Atikamekw
av - Avaric
avk - Kotava
awa - Awadhi
ay - Aymara
az - Azerbaijani
azb - South Azerbaijani
ba - Bashkir
ban - Balinese
ban-bali - Balinese (Balinese script)
bar - Bavarian
bbc - Batak Toba
bbc-latn - Batak Toba (Latin script)
bcc - Southern Balochi
bci - Baoulé
bcl - Central Bikol
bdr - West Coast Bajau
be - Belarusian
be-tarask - Belarusian (Taraškievica orthography)
bew - Betawi
bg - Bulgarian
bgc - Haryanvi
bgn - Western Balochi
bh - Bhojpuri
bho - Bhojpuri
bi - Bislama
bjn - Banjar
blk - Pa'O
bm - Bambara
bn - Bangla
bo - Tibetan
bpy - Bishnupriya
bqi - Bakhtiari
br - Breton
brh - Brahui
bs - Bosnian
btm - Batak Mandailing
bto - Rinconada Bikol
bug - Buginese
bxr - Russia Buriat
ca - Catalan
cbk-zam - Chavacano
ccp - Chakma
cdo - Mindong
ce - Chechen
ceb - Cebuano
ch - Chamorro
chn - Chinook Jargon
cho - Choctaw
chr - Cherokee
chy - Cheyenne
ckb - Central Kurdish
co - Corsican
cps - Capiznon
cpx - Puxian
cpx-hans - Puxian (Simplified Han script)
cpx-hant - Puxian (Traditional Han script)
cpx-latn - Puxian (Latin script)
cr - Cree
crh - Crimean Tatar
crh-cyrl - Crimean Tatar (Cyrillic script)
crh-latn - Crimean Tatar (Latin script)
crh-ro - Dobrujan Tatar
cs - Czech
csb - Kashubian
cu - Church Slavic
cv - Chuvash
cy - Welsh
da - Danish
dag - Dagbani
de - German
de-at - Austrian German
de-ch - Swiss High German
de-formal - German (formal address)
dga - Southern Dagaare
din - Dinka
diq - Dimli
dsb - Lower Sorbian
dtp - Central Dusun
dty - Doteli
dua - Duala
dv - Divehi
dz - Dzongkha
ee - Ewe
efi - Efik
egl - Emilian
el - Greek
eml - Emiliano-Romagnolo
en - English
en-ca - Canadian English
en-gb - British English
eo - Esperanto
es - Spanish
es-419 - Latin American Spanish
es-formal - Spanish (formal address)
et - Estonian
eu - Basque
ext - Extremaduran
fa - Persian
fat - Fanti
ff - Fula
fi - Finnish
fit - Tornedalen Finnish
fj - Fijian
fo - Faroese
fon - Fon
fr - French
frc - Cajun French
frp - Arpitan
frr - Northern Frisian
fur - Friulian
fy - Western Frisian
ga - Irish
gaa - Ga
gag - Gagauz
gan - Gan
gan-hans - Gan (Simplified Han script)
gan-hant - Gan (Traditional Han script)
gcf - Guadeloupean Creole
gcr - Guianan Creole
gd - Scottish Gaelic
gl - Galician
gld - Nanai
glk - Gilaki
gn - Guarani
gom - Goan Konkani
gom-deva - Goan Konkani (Devanagari script)
gom-latn - Goan Konkani (Latin script)
gor - Gorontalo
got - Gothic
gpe - Ghanaian Pidgin
grc - Ancient Greek
gsw - Alemannic
gu - Gujarati
guc - Wayuu
gur - Frafra
guw - Gun
gv - Manx
ha - Hausa
hak - Hakka Chinese
hak-hans - Hakka (Simplified Han script)
hak-hant - Hakka (Traditional Han script)
hak-latn - Hakka (Latin script)
haw - Hawaiian
he - Hebrew
hi - Hindi
hif - Fiji Hindi
hif-latn - Fiji Hindi (Latin script)
hil - Hiligaynon
hno - Northern Hindko
ho - Hiri Motu
hr - Croatian
hrx - Hunsrik
hsb - Upper Sorbian
hsn - Xiang
ht - Haitian Creole
hu - Hungarian
hu-formal - Hungarian (formal address)
hy - Armenian
hyw - Western Armenian
hz - Herero
ia - Interlingua
iba - Iban
ibb - Ibibio
id - Indonesian
ie - Interlingue
ig - Igbo
igl - Igala
ii - Sichuan Yi
ik - Inupiaq
ike-cans - Eastern Canadian (Aboriginal syllabics)
ike-latn - Eastern Canadian (Latin script)
ilo - Iloko
inh - Ingush
io - Ido
is - Icelandic
isv-cyrl - Interslavic (Cyrillic script)
isv-latn - Interslavic (Latin script)
it - Italian
iu - Inuktitut
ja - Japanese
jam - Jamaican Creole English
jbo - Lojban
jut - Jutish
jv - Javanese
ka - Georgian
kaa - Kara-Kalpak
kab - Kabyle
kai - Karekare
kbd - Kabardian
kbd-cyrl - Kabardian (Cyrillic script)
kbp - Kabiye
kcg - Tyap
kea - Kabuverdianu
kg - Kongo
kge - Komering
khw - Khowar
ki - Kikuyu
kiu - Kirmanjki
kj - Kuanyama
kjh - Khakas
kjp - Eastern Pwo
kk - Kazakh
kk-arab - Kazakh (Arabic script)
kk-cn - Kazakh (China)
kk-cyrl - Kazakh (Cyrillic script)
kk-kz - Kazakh (Kazakhstan)
kk-latn - Kazakh (Latin script)
kk-tr - Kazakh (Turkey)
kl - Kalaallisut
km - Khmer
kn - Kannada
knc - Central Kanuri
ko - Korean
ko-kp - Korean (North Korea)
koi - Komi-Permyak
kr - Kanuri
krc - Karachay-Balkar
kri - Krio
krj - Kinaray-a
krl - Karelian
ks - Kashmiri
ks-arab - Kashmiri (Arabic script)
ks-deva - Kashmiri (Devanagari script)
ksh - Colognian
ksw - S'gaw Karen
ku - Kurdish
ku-arab - Kurdish (Arabic script)
ku-latn - Kurdish (Latin script)
kum - Kumyk
kus - Kusaal
kv - Komi
kw - Cornish
ky - Kyrgyz
la - Latin
lad - Ladino
lb - Luxembourgish
lbe - Lak
lez - Lezghian
lfn - Lingua Franca Nova
lg - Ganda
li - Limburgish
lij - Ligurian
liv - Livonian
lki - Laki
lld - Ladin
lmo - Lombard
ln - Lingala
lo - Lao
loz - Lozi
lrc - Northern Luri
lt - Lithuanian
ltg - Latgalian
lua - Luba-Lulua
lus - Mizo
luz - Southern Luri
lv - Latvian
lzh - Literary Chinese
lzz - Laz
mad - Madurese
mag - Magahi
mai - Maithili
map-bms - Banyumasan
mdf - Moksha
mg - Malagasy
mh - Marshallese
mhr - Eastern Mari
mi - Māori
min - Minangkabau
mk - Macedonian
ml - Malayalam
mn - Mongolian
mnc - Manchu
mnc-latn - Manchu (Latin script)
mnc-mong - Manchu (Mongolian script)
mni - Manipuri
mnw - Mon
mo - Moldovan
mos - Mossi
mr - Marathi
mrh - Mara
mrj - Western Mari
ms - Malay
ms-arab - Malay (Jawi script)
mt - Maltese
mui - Musi
mus - Muscogee
mwl - Mirandese
my - Burmese
myv - Erzya
mzn - Mazanderani
na - Nauru
nah - Nahuatl
nan - Minnan
nan-hant - Minnan (Traditional Han script)
nan-latn-pehoeji - Minnan (Pe̍h-ōe-jī)
nan-latn-tailo - Minnan (Tâi-lô)
nap - Neapolitan
nb - Norwegian Bokmål
nds - Low German
nds-nl - Low Saxon
ne - Nepali
new - Newari
ng - Ndonga
nia - Nias
nit - Southeastern Kolami
niu - Niuean
nl - Dutch
nl-informal - Dutch (informal address)
nmz - Nawdm
nn - Norwegian Nynorsk
no - Norwegian
nod - Northern Thai
nog - Nogai
nov - Novial
nqo - N’Ko
nr - South Ndebele
nrm - Norman
nso - Northern Sotho
nup - Nupe
nv - Navajo
ny - Nyanja
nyn - Nyankole
nyo - Nyoro
nys - Nyungar
oc - Occitan
ojb - Northwestern Ojibwa
olo - Livvi-Karelian
om - Oromo
or - Odia
os - Ossetic
pa - Punjabi
pag - Pangasinan
pam - Pampanga
pap - Papiamento
pcd - Picard
pcm - Nigerian Pidgin
pdc - Pennsylvania German
pdt - Plautdietsch
pfl - Palatine German
pi - Pali
pih - Pitcairn-Norfolk
pl - Polish
pms - Piedmontese
pnb - Western Punjabi
pnt - Pontic
prg - Prussian
ps - Pashto
pt - Portuguese
pt-br - Brazilian Portuguese
pwn - Paiwan
qqq - Message documentation
qu - Quechua
qug - Chimborazo Highland Quichua
rgn - Romagnol
rif - Riffian
rki - Arakanese
rm - Romansh
rmc - Carpathian Romani
rmy - Vlax Romani
rn - Rundi
ro - Romanian
roa-tara - Tarantino
rsk - Pannonian Rusyn
ru - Russian
rue - Rusyn
rup - Aromanian
ruq - Megleno-Romanian
ruq-cyrl - Megleno-Romanian (Cyrillic script)
ruq-latn - Megleno-Romanian (Latin script)
rut - Rutul
rw - Kinyarwanda
ryu - Okinawan
sa - Sanskrit
sah - Yakut
sat - Santali
sc - Sardinian
scn - Sicilian
sco - Scots
sd - Sindhi
sdc - Sassarese Sardinian
sdh - Southern Kurdish
se - Northern Sami
se-fi - Northern Sami (Finland)
se-no - Northern Sami (Norway)
se-se - Northern Sami (Sweden)
sei - Seri
ses - Koyraboro Senni
sg - Sango
sgs - Samogitian
sh - Serbo-Croatian
sh-cyrl - Serbo-Croatian (Cyrillic script)
sh-latn - Serbo-Croatian (Latin script)
shi - Tachelhit
shi-latn - Tachelhit (Latin script)
shi-tfng - Tachelhit (Tifinagh script)
shn - Shan
shy - Shawiya
shy-latn - Shawiya (Latin script)
si - Sinhala
simple - Simple English
sjd - Kildin Sami
sje - Pite Sami
sk - Slovak
skr - Saraiki
skr-arab - Saraiki (Arabic script)
sl - Slovenian
sli - Lower Silesian
sm - Samoan
sma - Southern Sami
smn - Inari Sami
sms - Skolt Sami
sn - Shona
so - Somali
sq - Albanian
sr - Serbian
sr-ec - Serbian (Cyrillic script)
sr-el - Serbian (Latin script)
srn - Sranan Tongo
sro - Campidanese Sardinian
ss - Swati
st - Southern Sotho
stq - Saterland Frisian
sty - Siberian Tatar
su - Sundanese
sv - Swedish
sw - Swahili
syl - Sylheti
szl - Silesian
szy - Sakizaya
ta - Tamil
tay - Atayal
tcy - Tulu
tdd - Tai Nuea
te - Telugu
tet - Tetum
tg - Tajik
tg-cyrl - Tajik (Cyrillic script)
tg-latn - Tajik (Latin script)
th - Thai
ti - Tigrinya
tig - Tigre
tk - Turkmen
tl - Tagalog
tly - Talysh
tly-cyrl - Talysh (Cyrillic script)
tn - Tswana
to - Tongan
tok - Toki Pona
tpi - Tok Pisin
tr - Turkish
tru - Turoyo
trv - Taroko
ts - Tsonga
tt - Tatar
tt-cyrl - Tatar (Cyrillic script)
tt-latn - Tatar (Latin script)
ttj - Tooro
tum - Tumbuka
tw - Twi
ty - Tahitian
tyv - Tuvinian
tzm - Central Atlas Tamazight
udm - Udmurt
ug - Uyghur
ug-arab - Uyghur (Arabic script)
ug-latn - Uyghur (Latin script)
uk - Ukrainian
ur - Urdu
uz - Uzbek
uz-cyrl - Uzbek (Cyrillic script)
uz-latn - Uzbek (Latin script)
ve - Venda
vec - Venetian
vep - Veps
vi - Vietnamese
vls - West Flemish
vmf - Main-Franconian
vmw - Makhuwa
vo - Volapük
vot - Votic
vro - Võro
wa - Walloon
wal - Wolaytta
war - Waray
wls - Wallisian
wo - Wolof
wuu - Wu
wuu-hans - Wu (Simplified Han script)
wuu-hant - Wu (Traditional Han script)
xal - Kalmyk
xh - Xhosa
xmf - Mingrelian
xsy - Saisiyat
yi - Yiddish
yo - Yoruba
yrl - Nheengatu
yue - Cantonese
yue-hans - Cantonese (Simplified Han script)
yue-hant - Cantonese (Traditional Han script)
za - Zhuang
zea - Zeelandic
zgh - Standard Moroccan Tamazight
zgh-latn - Standard Moroccan Tamazight (Latin script)
zh - Chinese
zh-cn - Chinese (China)
zh-hans - Simplified Chinese
zh-hant - Traditional Chinese
zh-hk - Chinese (Hong Kong)
zh-mo - Chinese (Macau)
zh-my - Chinese (Malaysia)
zh-sg - Chinese (Singapore)
zh-tw - Chinese (Taiwan)
zu - Zulu
Format
Für die Offline-Übersetzung exportieren
Im systemeigenen Format exportieren
Im CSV-Format exportieren
Hole
<languages/> {{Infobox Rechtsakt (EU)|Typ=Richtlinie|Jahr=2022|Nummer=2555|Vertrag=EU|EWR=ja|Titel=Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148|Kurztitel=NIS-2-Richtlinie|Bezeichnung=NIS2-RL|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}} <div lang="de" dir="ltr" class="mw-content-ltr"> |Fundstelle=ABl L 2022/333, 80|Anzuwenden=17. Oktober 2024 (Umsetzung, Fristverletzung)|Gültig=umsetzung}} </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Kurzübersicht == </div> <div lang="de" dir="ltr" class="mw-content-ltr"> {| class="wikitable" !Ziele !Anwendungsbereich !Inhalt<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref> !Synergie !Konsequenzen |- |Aufbau von Cybersicherheitskapazitäten (ErwGr 1 NIS2-RL) |Anhang I (Sektoren mit hoher Kritikalität) |Pflicht für alle MS, nationale Cybersicherheitsstrategien zu verabschieden (<abbr>Art</abbr> 7 NIS2-RL) |Datenschutzmanagementsystem |Wesentliche Einrichtungen: Bußgelder mit Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes |- |Schaffung eines hohen gemeinsamen Cybersicherheitsniveaus (Art 1 NIS2-RL) |Anhang II (Sonstige kritische Sektoren) soweit sie Obergrenzen nach <abbr>Art</abbr> 2 <abbr>Abs</abbr> 1 des Anhangs der Empfehlung 2003/361/EG überschreiten |Pflicht für alle MS, diverse Zuständigkeiten zu regeln Aufsichts- und Durchsetzungspflichten für die MS (<abbr>Art</abbr> 31 ff NIS2-RL) |Sicherheit der Verarbeitung (Art 32 DSGVO) |Für wichtige Einrichtungen (also alle anderen Einrichtungen die in den Anwendungsbereich der NIS2-RL fallen) beträgt das höchstmögliche Bußgeld mindestens 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Für beide gilt der jeweils höhere Betrag. |- |Eindämmung von Bedrohungen in Schlüsselsektoren (ErwGr 1 NIS2-RL) |Ist von den MS bis zum 17. Oktober 2024 umzusetzen (nicht erfolgt) |Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (<abbr>Art</abbr> 20 ff NIS2-RL) sowie Berichtspflichten (<abbr>Art</abbr> 23 NIS2-RL) für betroffene Einrichtungen |Verschwiegenheitsklauseln |Behördliche Anweisungen und Anordnungen. Auch Anordnung der Aussetzung der Tätigkeit ist möglich. (Art 32 NIS2-RL) |- | | |Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (<abbr>Art</abbr> 29 ff NIS2-RL) | |Leitungsorgane können persönlich haften (Art 20 NIS2-RL) |} </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Einführung == </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union<ref>Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl L 333/80 vom 27.12.2022</ref> (kurz: „NIS2-RL“) ist die Nachfolgeregelung der ersten Cybersicherheitsrichtlinie der Europäischen Union<ref>''Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union,'' ABl. L 194/1 vom 19. Juli 2016</ref> („NIS-RL“). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Bereits durch die erste NIS-RL und deren nationale Umsetzung im NISG wurden bestimmte Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet. Mit der Nachfolgeregelung, der NIS2-RL, wird der '''Anwendungsbereich''' deutlich erweitert, um auch große Teile der bisher nicht erfassten Unternehmen zu bedarfsgerechten Sicherheitsmaßnahmen zu verpflichten. Darüber hinaus werden insbesondere konkrete Vorgaben für ein '''Meldesystem''' bei Sicherheitsvorfällen gemacht und neue '''Haftungstatbestände''' geschaffen. Die NIS-RL wurde in Österreich im Netz- und Informationssystemsicherheitsgesetz (kurz: „NISG“) umgesetzt, das derzeit (Stand: Oktober 2024) zur Umsetzung der NIS2<ref>Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME) </div> <div lang="de" dir="ltr" class="mw-content-ltr"> https://www.parlament.gv.at/gegenstand/XXVII/ME/326</ref> novelliert wird. Daneben ist die Durchführungsverordnung (EU) 2024/2690<ref>Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690</ref> beachtlich. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die NIS2-RL zielt darauf ab, eine robuste, dem risikobasierten Ansatz folgende '''Sicherheitsinfrastruktur''' für die EU zu schaffen. Der Fokus liegt nicht darauf, jedes Einzelgerät abzusichern, sondern die Resilienz wesentlicher und wichtiger Einrichtungen zu gewährleisten. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Der Nationalrat konnte in einer im Juli 2024 abgehaltenen Sitzung zwar eine einfache Mehrheit für das Umsetzungsgesetz (NISG-E) erreichen, da das Gesetz jedoch Verfassungsbestimmungen enthält, bedarf es einer breiteren Zweidrittelmehrheit welche nicht erreicht werden konnte. Hauptgrund für die Absage der Opposition war die Ansiedelung der nationalen Cybersicherheitsbehörde beim Innenministerium.<ref>https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785</ref> Die Autoren erwarten keine wesentlichen Änderungen der unstrittigen Regelungspunkte in allfälligen Folgeentwürfen weshalb im Folgenden auf den Regelungsinhalten des vorliegenden Entwurfs (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz, Gesundheitstelematikgesetz, Änderung (326/ME)<ref>Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden.https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621118.pdf</ref> - im Folgenden '''NISG''') aufgebaut wird. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Anwendungsbereich == </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === NIS2-Richtlinie === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Persönlicher/Sachlicher Anwendungsbereich ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> In den Anwendungsbereich können öffentliche oder private Einrichtungen fallen. Die NIS2-RL unterscheidet grundsätzlich zwischen dem '''größenabhängigen''' (Art 2 Abs 1 NIS2-RL) und dem '''größenunabhängigen''' (Art 2 Abs 3 NIS2-RL) Anwendungsbereich. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Größenabhängiger Anwendungsbereich ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Um den größenabhängigen Geltungsbereich zu definieren, setzt die NIS2-RL zunächst an der [[Special:MyLanguage/Size-Cap-Rule|Size-Cap-Rule]] an. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Hiernach gilt die NIS2-RL für Einrichtungen </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * welche mehr als 50 Mitarbeitende beschäftigen * oder mehr als 10 Mio Euro Jahresumsatz<ref>Die Berechnung der Größenschwellen für Unternehmen nach der EU-Empfehlung 2003/361/EG ist nicht einfach. Sie berücksichtigt auch indirekte Verbindungen und Vertragsbeziehungen, wie bei verbundenen Unternehmen oder Tochtergesellschaften. Besonders bei großen Konzernen ist es ratsam, jeden Fall einzeln zu prüfen. Die Europäische Kommission hat zwar eine ausführliche Anleitung zur Berechnung veröffentlicht, aber es ist trotzdem empfehlenswert, professionelle rechtliche Beratung einzuholen. Dies gilt besonders für Unternehmen mit komplexen Strukturen, um zu klären, ob die NIS2-Richtlinie für sie gilt: https://op.europa.eu/de/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1</ref> erzielen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Kumulativ muss die Tätigkeit der Einrichtung in den '''Anhang I''' oder '''II''' der NIS2-RL fallen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * ''Anhang I'' nennt etwa folgende Einrichtungen: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Energie | Verkehr | Bankwesen | Finanzmarktinfrastrukturen | Gesundheitswesen | Trinkwasser | Abwasser | Digitale Infrastruktur | Verwaltung von IKT-Diensten (Business-to-Business) | öffentliche Verwaltung | Weltraum </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * ''Anhang II nennt etwa folgende Einrichtungen:'' </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Post- und Kurierdienste | Abfallbewirtschaftung | Produktion, Herstellung und Handel mit chemischen Stoffen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln | Verarbeitendes Gewerbe | Herstellung von Waren | Anbieter digitaler Dienste | Forschung </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Größenunabhängiger Anwendungsbereich ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Gemäß <abbr>Art</abbr> 2 und <abbr>Art</abbr> 3 der NIS2-RL können Einrichtungen auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS2-RL fallen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Folgende Tätigkeiten sind hiervon umfasst: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Gemäß Art 2 Abs 2 lit a NIS2-RL Dienste von; </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten * Vertrauensdiensteanbietern * Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Gemäß Art 2 Abs 2 lit b bis f iVm Art 3 Abs 1 lit e NIS2-RL </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Dienste, welche die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind * Dienste, deren Störung sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte * Dienste, deren Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte * Einrichtungen, welche aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist * Bestimmte Einrichtungen der öffentlichen Verwaltung Gemäß Art 2 Abs 3 und 4 NIS2-RL </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Einrichtungen, welche nach der [[Special:MyLanguage/Critical Entities‘ Resilience Directive (CER)|Richtlinie für Resilienz kritischer Einrichtungen (CER-RL)]] als kritisch eingestuft wurden * Domänennamenregistrierungsdienste </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Wesentliche und Wichtige Einrichtungen ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Im Anwendungsbereich der Richtlinie stehende Einrichtungen werden durch Art 3 NIS2-RL in wesentliche und wichtige Einrichtungen eingeteilt. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> '''Wesentliche''' '''Einrichtungen''' unterstehen einer proaktiven und reaktiven Aufsicht (<abbr>Art</abbr> 32 NIS2-RL). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> '''Wichtige Einrichtungen''' unterliegen nur einer reaktiven Aufsicht (<abbr>Art</abbr> 33 NIS2-RL).<ref>https://www.nis.gv.at/nis-2-richtlinie.html</ref> </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Daneben gelten verschiedene Sanktionsregime. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Territorialer Anwendungsbereich ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Einrichtungen, die in der EU ansässig sind oder ihre Dienste in der EU erbringen (Art 2 NIS2-RL). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Nationaler Umsetzungsentwurf (NISG) === </div> [[Datei:Nis ii wichtige einrichtungen ri.png|mini|<span lang="de" dir="ltr" class="mw-content-ltr">Wichtige Einrichtungen - CC BY 4.0</span>]] <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Persönlicher/Sachlicher Anwendungsbereich ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Regelungsgegenstand des NISG sind gemäß § 2 NISG wesentliche und wichtige Einrichtungen in den definierten Sektoren. Die Sektoren entsprechen denen der NIS2-RL und werden durch die Definition von '''Teilsektoren''' in den Anlagen 1<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_1 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621120.pdf</ref> und 2<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</ref> zum NISG ergänzt. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Eine "'''Einrichtung'''" iSd NISG ist gemäß § 3 Abs 10 NISG "eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann". </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Anstelle eines zweistufigen Vorgehens, wie es in Art 2 und 3 der NIS-2-Richtlinie vorgesehen ist, ist für die Einstufung als wesentliche oder wichtige Einrichtung nach diesem Bundesgesetz '''ausschließlich''' § 24 NISG maßgeblich. Auch hier wird unterschieden zwischen Anlagen, die erst ab einer bestimmten Größe in den Anwendungsbereich fallen, und solchen, bei denen dies nicht der Fall ist. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Größenabhängiger Anwendungsbereich ====== </div> [[Datei:Nis ii wesentliche einrichtungen ri.png|mini|Wesentliche Einrichtungen - CC BY 4.0]][[Special:MyLanguage/Großes oder mittleres Unternehmen iSd NISG|<span lang="de" dir="ltr" class="mw-content-ltr">Große oder mittlere Unternehmen</span>]] <div lang="de" dir="ltr" class="mw-content-ltr"> , die in den in den Anlagen 1 und 2 NISG genannten Sektoren tätig sind, gelten jedenfalls als wichtige Einrichtungen im Sinne des § 42 Abs 2 NISG. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Eine '''Teilmenge''' dieser Einrichtungen wird in § 24 Abs 1 NISG als wesentliche Einrichtung qualifiziert. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Von der Möglichkeit, bei der Umsetzung der NIS2-RL die bisherigen „Betreiber wesentlicher Dienste“ pauschal als wesentliche Einrichtungen einzustufen, oder Gemeinden und Bildungseinrichtungen in den Anwendungsbereich aufzunehmen, wurde abgesehen.<ref>ErlRV 326/ME XXVII. GP https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621119.pdf</ref> </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Größenunabhängiger Anwendungsbereich ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Unabhängig von der Größe der Einrichtung gelten gemäß § 24 Abs 1 Z 1 NISG qualifizierte Vertrauensdiensteanbieter, Namenregister der Domäne oberster Stufe (TLD Namenregister), Domänennamensystem-Diensteanbieter, Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene, Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs 1) sowie Einrichtungen, die als kritische Einrichtungen iSd Richtlinie (EU) 2022/2557 ([[Special:MyLanguage/Critical Entities‘ Resilience Directive (CER)|CER-RL]]) ermittelt wurden gelten als wesentliche Einrichtungen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Darüber hinaus fallen öffentliche Stellen unter die in § 25 Abs 3 NISG genannten Kriterien. Vereinfacht ausgedrückt sind dies Bundes- und Landeseinrichtungen ohne gewerblichen Auftrag, deren Entscheidungen individuelle Rechte im grenzüberschreitenden Verkehr berühren. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Ausnahmen ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Einrichtungen welche aufgrund sektorspezifischer unionsrechtlicher Rechtsakte verpflichtet sind, entweder eigene Risikomanagementmaßnahmen zu ergreifen oder erhebliche Cybersicherheitsvorfälle zu melden, hiernach zumindest ein gleichwertiges Cybersicherheitsniveau gewährleisten müssen, und die Gleichwertigkeit per Verordnung festgestellt wurde (§ 27 NISG). Das könnte etwa auf Einrichtungen zutreffen welche der [[Special:MyLanguage/Digital Operational Resilienec Act (DORA)|DORA]] unterworfen sind. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Einrichtungen im Sektor der öffentlichen Verwaltung, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, militärische Landesverteidigung oder Strafverfolgung ausgeübt werden sowie Einrichtungen des Universitäts-, Hochschul- und Schulwesens, Einrichtungen der Gerichtsbarkeit, Einrichtungen der Gesetzgebung, einschließlich der Parlamentsdirektion sowie der Österreichische Nationalbank gelten nicht als wesentliche oder wichtige Einrichtungen (§ 24 Abs 6 NISG). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Abgrenzungen ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Einrichtungen, welche nicht unmittelbar in den Anwendungsbereich fallen, können im Rahmen vertraglicher Konstruktionen mit erfassten Einrichtungen zur Einhaltung der NIS2-RL verpflichtet werden. In diesen Fall sollte geprüft werden für welche Teile die Bestimmungen der so verpflichteten Einrichtung gelten sollten. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Territorialer Anwendungsbereich ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Wesentliche und wichtige Einrichtungen sowie Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, unterliegen den Bestimmungen dieses Hauptstücks nur hinsichtlich jener Niederlassungen, die sich in Österreich befinden (§ 28 NISG). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Abweichende Regelungen gelten für Anbieter öffentlicher Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Siehe im Detail § 28 NISG. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Zeitlicher Anwendungsbereich ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die NIS2-RL ist zum aktuellen Bearbeitungszeitpunkt noch nicht in nationales österreichisches Recht umgesetzt worden. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Zentrale Inhalte == </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Risikomanagementmaßnahmen === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== NIS2 Richtlinie ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Bei der Regulierung von Risikomanagement-Maßnahmen wird ein risikobasierter Ansatz verfolgt, der die Verhältnismäßigkeit berücksichtigt.<ref>https://www.handelsverband.at/fileadmin/content/Presse_Publikationen/Presseaussendungen/2024/03_Mar/2024-03_HV_NIS2-Leitfaden_extra.pdf</ref> Das bedeutet, dass Unternehmen bei der Implementierung von Sicherheitsmaßnahmen folgende Faktoren beachten müssen: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Den aktuellen Stand der Technik * Die Kosten für die Einrichtung der Maßnahmen * Die Größe der Einrichtung * Die Wahrscheinlichkeit von Sicherheitsrisiken * Weitere individuelle Faktoren </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die NIS2-RL definiert in Art 21 Absatz 2 zehn konkrete '''Maßnahmen und Mindeststandards''', deren Implementierung nationale Gesetzgeber fordern müssen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Diese umfassen: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Richtlinien zur Risikoanalyse und Informationssystemsicherheit * Vorfallbehandlung * Geschäftskontinuität * Lieferkettenmanagement * Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen * Verwendung von Kryptografie und Verschlüsselung * Personalsicherheit * Zugriffskontrollen und Vermögensverwaltung * Schulungen zur Cybersicherheit * Sicherheit bei der Anschaffung * Entwicklung und Wartung von Netzwerk- und Informationssystemen * Gesicherte Authentifizierung und Kommunikation </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Nationaler Umsetzungsentwurf (NISG) ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Mit § 32 NISG wird Art 21 NIS2-RL umgesetzt. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> § 32 Abs 1 NISG verweist auf Anlage 3<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_3 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621122.pdf</ref> zum Gesetz, welches eine mit Blick auf Art 21 NIS2-RL verfeinerte Liste an umzusetzenden Maßnahmen enthält. Hierbei hat sicher der Gesetzgeber stark an Ausarbeitungen auf europäischer Ebene im Rahmen der [https://digital-strategy.ec.europa.eu/de/policies/nis-cooperation-group NIS-Kooperationsgruppe] angelehnt.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Gefordert werden organisatorische, technische und operative Maßnahmen.<ref>Als Beispiel für eine organisatorsiche Maßnahme nennen die Erwägungsgründe eine in Kraft gesetze Richtlinie. Unter einer technischen Maßnahme werden Firewalls verstanden, das Vorsehen einer fachkundigen Betriebsmannschaft ist eine operative Maßnahme. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> 326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> </div> <div lang="de" dir="ltr" class="mw-content-ltr"> § 32 Abs 2 NISG legt den betroffenen Einrichtungen auf, ein dem bestehenden Risiko angemessenes Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, was den risikobasierten Ansatz bei der Umsetzung von Risikomanagementmaßnahmen unterstreicht. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Bei der Umsetzung von Risikomanagementmaßnahmen sind zu berücksichtigen: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Der Stand der Technik (§ 32 Abs 2 Z 1 lit a NISG) * Einschlägige nationale, europäische und internationale Normen (zB VO (EU) 1025/2012) * Best-Practices (bewährte Verfahren und Methoden) </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Kosten für die Umsetzung der Maßnahmen sollen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz- und Informationssystem ausgesetzt ist (§ 32 Abs 2 Z 1 lit b NISG).<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34</ref> Es sollen keine unverhältnismäßigen finanziellen und administrativen Belastungen entstehen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Maßnahmen sollen auf einem gefahrenübergreifenden Ansatz beruhen und sowohl die '''Cybersicherheit''' als auch die '''physische Sicherheit''' berücksichtigen (§ 32 Abs 2 Z 2 NISG). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Dies umfasst: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Schutz vor Systemfehlern, menschlichen Fehlern, böswilligen Handlungen und natürlichen Phänomenen * Sicherheit des Personals * Angemessene Zugangskontrollkonzepte </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Besonderer Fokus liegt auf dem Risikomanagement in der Lieferkette (§ 32 Abs 2 Z 3 NISG): </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Bewertung von Schwachstellen bei Lieferanten und Anbietern * Berücksichtigung der Gesamtqualität und Widerstandsfähigkeit von Produkten und Diensten * Überprüfung der Cybersicherheitsverfahren und Entwicklungsprozesse von Lieferanten </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Einrichtungen müssen Risiken und Abhängigkeiten in Beziehungen zu Dienstleistern identifizieren, bewerten und behandeln. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Prüfgegenstand sind Produkte und Dienste unmittelbarer Lieferanten und Anbieter. Soweit ein Produkt oder Dienst stark auf Subdienstleistern aufbaut, müssen diese notwendigerweise auch in den Prüfumfang fallen. Die Regelungen sind sowohl bei der Auswahl neuer Lieferanten oder Dienstleister als auch bei bestehenden vertraglichen Vereinbarungen zu beachten.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 34</ref> </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Einrichtungen können verpflichtet werden, der Cybersicherheitsbehörde eine Liste der implementierten Risikomanagementmaßnahmen zu übermitteln. Einrichtungen können verpflichtet werden, eine Prüfung durch eine unabhängige Stelle nachzuweisen, deren Prüfbericht durch ein Leitungsorgan zu zeichnen ist. Für wichtige Einrichtungengilt dies nur unter bestimmten Voraussetzungen (§ 33 NISG). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Governance-Verpflichtung und Haftung der Leitungsorgane === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== NIS2-Richtlinie ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die NIS2-RL führt spezifische Governance-Verpflichtungen ein, die sich auf die Leitungs- und Führungsebene beziehen und deren aktive Rolle unterstreicht. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Zu den Hauptaspekten gehören: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Verantwortlichkeit: Die Unternehmensleitung (zB Vorstand, Geschäftsführung) ist für die Billigung und Überwachung der Umsetzung von Risikomanagement-Verpflichtungen verantwortlich. * Persönliche Haftung: Bei Verstößen gegen diese Verpflichtungen können Leitungsorgane persönlich zur Verantwortung gezogen werden. * Schulungspflicht: Leitungsorgane sind verpflichtet, an Cybersicherheitsschulungen teilzunehmen und diese auch ihren Mitarbeitenden anzubieten. * Kompetenzerweiterung: Ziel der Schulungen ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Cybersicherheitsrisiken sowie entsprechende Managementpraktiken zu vermitteln. * Präventiver Ansatz: Durch die Stärkung der Kompetenzen auf Leitungsebene soll Gefahren im Bereich der Cybersicherheit vorgebeugt werden. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Nationaler Umsetzungsentwurf (NISG) ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ===== Begriff Leitungsorgan ===== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Der Begriff "Leitungsorgans" beschreibe eine oder mehrere natürliche Personen welche nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung oder innerhalb der Einrichtung zur Überwachung der Geschäftsführung berufen sind (§ 3 Abs 1 Z 11 NISG). Einrichtung und Leitungsorgan können eine Personeneinheit bilden, so etwa ein*e Bundesminister*in.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 6</ref> Die Definition zielt darauf ab, die tatsächliche Leitungs- und Geschäftsführungsebene zu erfassen (grundsätzlich Vorstand, Geschäftsführer*in oder Aufsichtsrat). Vertretungsbefugnis etabliert sohin kein Leitungsorgan.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 7</ref> </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ===== Pflichten des Leitungsorgans ===== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Das NISG legt den Leitungsorganen von wesentlichen und wichtigen Einrichtungen mehrere Pflichten auf: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * '''Implementierung von Maßnahmen''': Leitungsorgane müssen die Cybersicherheitsmaßnahmen ihrer Einrichtung genehmigen.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * '''Aufsicht über die Umsetzung''': Leitungsorgane sind verpflichtet, die Umsetzung der Cybersicherheitsmaßnahmen zu beaufsichtigen. Sie müssen sicherstellen, dass die beschlossenen Maßnahmen effektiv implementiert und eingehalten werden.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf S 33</ref> Die Leitungsorgane müssen dafür Sorge tragen, dass Cybersicherheitsmaßnahmen ihrer Einrichtung sohin regelmäßig geprüft und aktuell gehalten werden. Es liegt in der Verantwortung der Leitungsorgane, ausreichende Ressourcen für die Umsetzung der erforderlichen Cybersicherheitsmaßnahmen bereitzustellen. Dies umfasst sowohl finanzielle als auch personelle Ressourcen. Die Verantwortung für die Ressourcenbereitstellung wird dahingehend konkretisiert, dass Leitungsorgane einen detaillierten Plan für die Zuweisung von finanziellen und personellen Ressourcen zur Cybersicherheit erstellen und regelmäßig aktualisieren müssen. Die Leitungsorgane sind für die Überwachung und Steuerung der Cybersicherheitsrisiken ihrer Einrichtung verantwortlich. Sie müssen sicherstellen, dass angemessene Risikobeurteilungen durchgeführt und entsprechende Maßnahmen ergriffen werden. Die Risikomanagementpflicht wird dahingehend konkretisiert, dass Leitungsorgane eine umfassende und detaillierte Bewertung der Cybersicherheitsrisiken ihrer Einrichtung durchführen müssen. Dies beinhaltet die Identifizierung kritischer Systeme und Prozesse sowie die Einschätzung potenzieller Auswirkungen von Cybervorfällen. Die Leitungsorgane müssen aktiv in die Entwicklung und regelmäßige Überprüfung von Notfallplänen für Cybervorfälle eingebunden sein. Sie tragen die Verantwortung für die Genehmigung dieser Pläne und müssen sicherstellen, dass diese regelmäßig getestet werden. * '''Schulungen''': Leitungsorgane müssen an Schulungen zur Cybersicherheit teilnehmen, um sich Wissen und Fähigkeiten Bereich der Cybersicherheit anzueignen. Die Einrichtung hat dafür Sorge zu tragen, dass Mitarbeitende ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie gegebenenfalls Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben. * '''Rechenschaftspflicht''': Die Leitungsorgane tragen die Verantwortung für die Einhaltung der Cybersicherheitsverpflichtungen ihrer Einrichtung. Eine Verletzung dieser Pflichten hat die schadenersatzrechtliche Haftung für schuldhaft verursachten Schaden, der der Einrichtung dadurch entstanden ist, zur Folge,<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 33</ref> sofern nicht ohnehin eine Haftung nach dem Organhaftpflichtgesetz (OrgHG), BGBl 181/1967 besteht. * '''Ressourcenbereitstellung''': Durch diese Pflichten und Verantwortlichkeiten soll sichergestellt werden, dass Cybersicherheit als strategische Priorität auf höchster Managementebene verankert wird und die notwendige Aufmerksamkeit und Unterstützung erhält. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Meldeverpflichtungen === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== NIS2-Richtlinie ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die NIS2-RL sieht verschiedene Meldepflichten für Sicherheitsvorfälle vor, die entweder 24 Stunden, 72 Stunden oder einen Monat betragen. Die Fristen sind grundsätzlich als Höchstfristen angelegt, in den meisten Fällen wird eine unverzügliche Meldung gefordert. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Innerhalb von '''24 Stunden''' nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung an die zuständige nationale Behörde erfolgen. Diese soll Informationen darüber enthalten, ob kriminelle Hintergründe vermutet werden oder grenzüberschreitende Auswirkungen zu befürchten sind. * Nach '''72 Stunden''' ist ein ausführlicherer Bericht fällig, der aktuelle Informationen, eine erste Bewertung, die Auswirkungen und gegebenenfalls Kompromittierungsindikatoren enthält. * Innerhalb eines '''Monats''' nach der ersten Meldung muss ein Abschlussbericht übermittelt werden. Dieser soll eine detaillierte Beschreibung des Vorfalls, seine Klassifizierung, Schweregrad und Auswirkungen, sowie die getroffenen Abhilfemaßnahmen und mögliche grenzüberschreitende Auswirkungen umfassen. Neben diesen Verpflichtungen zur Meldung besteht auch die Möglichkeit, in Bezug auf Sicherheitsvorfälle, Cyberbedrohungen und Beinahe-Vorfälle '''freiwillig Meldung''' an das CSIRT zu erstatten. Diese Option steht auch nicht wichtigen und nicht wesentlichen Einrichtungen zur Verfügung. Solche freiwilligen Meldungen können auch anonym erfolgen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Nationaler Umsetzungsentwurf (NISG) ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ===== Meldung von Vorfällen an CSIRT ===== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Meldepflichten werden durch §§ 34, 35, 37 NISG umgesetzt. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> § 34 Abs 1 NISG regelt die grundsätzliche Pflicht wesentlicher und wichtiger Einrichtungen dem für sie zuständigen sektorenspezifischen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall (§ 35) zu melden. Eine [https://www.nis.gv.at/fragen-und-antworten/computer-notfallteams.html Liste der CSIRTS iSd NISG] unterhält aktuell das Bundeskanzleramt. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Meldung unverzüglich, spätestens jedoch '''binnen 24 Stunden''' als Frühwarnung erfolgen, gefolgt von einer detaillierteren Meldung '''innerhalb von 72 Stunden''' und einem Abschlussbericht innerhalb '''eines Monats''' nach der Meldung. Sofern einen Monats nach der Meldung der Cybersicherheitsvorfall noch andauert, ist der Abschlussbericht als Fortschrittsbericht zu formulieren und der Abschlussbericht einen Monat nach Bewältigung des Cybersicherheitsvorfalls zu übermitteln. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Inhalte der Meldungen: ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * '''Frühwarnung''': Angabe ob der Verdacht besteht, dass der erhebliche Cybersicherheitsvorfall auf rechtswidrige und schuldhafte Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte * '''Meldung''': Aktualisierung der Frühwarnung und erste Bewertung des erheblichen Cybersicherheitsvorfalls (Schweregrads und seiner Auswirkungen, sowie gegebenenfalls der Kompromittierungsindikatoren) * '''Abschlussbericht''': Ausführliche Beschreibung des Cybersicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, Angaben zur Art der Bedrohung und zugrundeliegender Ursachen, die wahrscheinlich den Cybersicherheitsvorfall ausgelöst hat; Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; gegebenenfalls die grenzüberschreitenden Auswirkungen des Cybersicherheitsvorfalls. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Weiterleitungen einer Alarmierung an den Betreiber stellt keine Meldung (freiwillig oder verpflichtend) eines Cybersicherheitsvorfalls iSd § 34 NISG dar.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 21</ref> </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ===== Meldung von Vorfällen an Betroffene ===== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Soweit ein erheblicher Cybersicherheitsvorfall die Erbringung des jeweiligen Dienstes der betroffenen Einrichtung beeinträchtigt, unterrichtet die Einrichtung die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Cybersicherheitsvorfall und teilt, soweit möglich, alle Maßnahmen oder Abhilfemaßnahmen mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Erheblicher Cybersicherheitsvorfall ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Ein Cybersicherheitsvorfall gilt nach § 35 NISG als erheblich, wenn der Sicherheitsvorfall: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Schwerwiegende Betriebsstörungen der erbrachten Dienste oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann </div> <div lang="de" dir="ltr" class="mw-content-ltr"> '''oder''' </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Zudem sind die betroffenen Netz- und Informationssysteme und deren Bedeutung für die Erbringung der Dienste der jeweiligen Einrichtung, die Schwere und die technischen Merkmale der Cyberbedrohung und sämtliche zugrundeliegende Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Vorfällen zu berücksichtigen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Folgende weitere Kriterien sind in § 35 Abs 2 und 3 NISG beschrieben: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Ausmaß der Abhängigkeit; * die möglichen Auswirkungen von Cybersicherheitsvorfälle; * Marktanteil der jeweiligen Einrichtung mit Bezug auf den betroffenen Dienst; * das betroffene geografische Gebiet; * unternehmens- und sektorspezifischen Faktoren. * Soweit vorhanden: Verordnung der*des Bundesminister(s)*in für Inneres kann weitere Kriterien normieren. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Eine gewisse Auslegungshilfe bietet auch [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555 ErwGr 101 NIS2-RL]. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Daneben definiert die [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] für bestimmte Einrichtungen was als erheblicher Sicherheitsvorfall zu qualifizieren ist. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Fallbeispiel == </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Das Unternehmen NisExperts AG ist ein Anbieter von IT-Diensten mit Sitz in der Steiermark, beschäftigt 66 Mitarbeitende und erzielt eine Jahresbilanzsumme von neun Millionen Euro. NisExperts AG betreibt mehrere Rechenzentren, in welchen die IT-Infrastruktur für mehrere österreichische Krankenhäuser und das Netzleitsystem eines wichtigen steirischen Netzbetreibers untergebracht ist. Freitagnachmittag um 16:00 Uhr registriert das Security Operations Center (SOC) von NisExperts AG eine ungewöhnlich hohe Anzahl von Anfragen, die gegen die Firewalls eines Rechenzentrums gerichtet sind. Nach einer Analyse stellt sich heraus, dass es sich um eine DDoS-Attacke (Distributed Denial of Service) handelt, die eine zentrale Plattform des Unternehmens ins Visier nimmt. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Angreifer*innen setzen sogenannte Botnets ein, um die Ressourcen des Rechenzentrums zu überlasten. Trotz bestehender DDoS-Abwehrmaßnahmen gelingt es den Angreifer*innen, die Last zeitweise so hoch zu treiben, dass folgende Auswirkungen auftreten: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Zwischen 17:00 Uhr und 20:00 Uhr kommt es zu wiederholten Ausfällen eines zentralen Zugriffsdienstes, der von Kunden genutzt wird, um Anwendungen in auszuführen. * Kunden berichten von Verbindungsabbrüchen, langsamen Ladezeiten und der Unfähigkeit, kritische Daten zu verarbeiten und müssen Notfallpläne aktivieren. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> '''Anwendungsbereich:''' </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Gemäß § 24 Abs 2 NISG gelten Einrichtungen welche ein mittleres Unternehmen das in einem Sektor mit hoher Kritikalität gemäß den Anlagen 1 und 2 zum NISG tätig ist betriben als wichtige Einrichtungen. Eine Einrichtung gilt gemäß § 25 NISG unter anderem als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeitende beschäftigt. Die NisExperts AG beschäftigt mehr als 50 Mitarbeitende und ist in einem Sektor mit hoher Kritikalität (Digitale Infrastruktur - Rechenzentrumsdienste) gemäß Z 8 Anlage 1 NISG tätig. Ob der Kund*innenstruktur könnte sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung und die öffentliche Gesundheit auswirken, das bewirkt aber für sich keine Qualifizierung als "wesentliche Einrichtung". Die NisExperts AG ist sohin als wichtige Einrichtung iSd NISG zu qualifizieren. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> '''Meldung:''' </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Wichtige Einrichtungen haben gemäß § 34 NISG dem für sie zuständigen CSIRT, andernfalls dem nationalen CSIRT, unverzüglich jeden erheblichen Cybersicherheitsvorfall zu melden. Bei der Beurteilung, ob ein Cybersicherheitsvorfall als erheblich im Sinne des einzustufen ist, sind gemäß § 35 Abs 2 lit b NISG unter anderem die möglichen Auswirkungen auf die öffentliche Ordnung und Sicherheit und die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises zu berücksichtigen. Da die NisExperts AG ein kritischer Dienstleister für mehrere Krankenhäuser und der Ausfall die Aktivierung von Notfallplänen bedingt hat liegt wohl ein erheblicher Sicherheitsvorfall iSd § 35 NISG vor. Gemäß Art 8 [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402690 Durchführungsverordnung (EU) 2024/2690] liegt ein erheblicher Sicherheitsvorfall dann vor, wenn Verfügbarkeit eines Rechenzentrumsdienstes eines vom Anbieter betriebenen Rechenzentrums ist für eine Dauer von mehr als einer Stunde eingeschränkt. Das liegt vor, weshalb jedenfalls ein erheblicher Sicherheitsvorfall vorliegt. In Ermangelung eines sektoralen CSIRT setzt NisExperts AG gemäß § 34 NISG folgende Meldungen an das nationale CSIRT (cert.at) ab. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> '''Erstmeldung innerhalb von 24 Stunden:''' </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * '''Inhalt:''' Beschreibung des Vorfalls, erste Bewertung der Auswirkungen auf Verfügbarkeit und Integrität, und die initial ergriffenen Maßnahmen. * '''Technische Details:''' Einschätzung der Angriffsart (DDoS), betroffene Systeme und die mögliche Angriffsquelle. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> '''Aktualisierung innerhalb von 72 Stunden:''' </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * '''Vertiefte Analyse:''' Klärung der Ursachen, präzise Darstellung der Schäden und der geplanten weiteren Schritte zur Eindämmung und Wiederherstellung. * '''Bewertung der Auswirkungen:''' Spezifikation der Kundengruppen und ihrer Ausfälle. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> '''Abschlussbericht innerhalb eines Monats:''' </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * '''Ergebnisse:''' Dokumentation des gesamten Incident-Management-Prozesses. * '''Lessons Learned:''' Empfohlene Präventionsmaßnahmen und zukünftige Strategien. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Synergien == </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Meldepflichten === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Meldepflichten der Datenschutz-Grundverordnung (DSGVO) und der NIS2-RL überschneiden sich, da beide Regelwerke Anforderungen an die Meldung von Sicherheitsvorfällen oder Datenschutzverletzungen enthalten, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wesentlichen Punkte, in denen sich die Meldepflichten beider Regelwerke überschneiden und voneinander unterscheiden: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Art der betroffenen Daten ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * DSGVO: Nur relevant, wenn personenbezogene Daten kompromittiert werden (zB unbefugter Zugriff, Verlust oder Diebstahl von Daten). * NIS2: Relevanz auch für Vorfälle, die die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen betreffen, unabhängig davon, ob personenbezogene Daten betroffen sind. Es geht also um die Sicherstellung der allgemeinen IT-Sicherheit. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Bedingungen für die Meldung ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * DSGVO: Eine Meldung ist erforderlich, wenn die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. * NIS2-RL: Meldepflichten gelten bei signifikanten Vorfällen, die wesentliche Auswirkungen auf die Bereitstellung essenzieller Dienste haben könnten. Die Beurteilung eines Vorfalls als signifikant erfolgt auf Basis von Faktoren wie der Anzahl betroffener Nutzer*innen, der Dauer des Vorfalls und des verursachten wirtschaftlichen Schadens. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Überschneidungen ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Beide Regelwerke verlangen Meldungen bei Vorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit betreffen. * Bei Sicherheitsvorfällen, die sowohl IT-Systeme als auch personenbezogene Daten betreffen, kann eine doppelte Meldepflicht bestehen: einmal an die zuständige Datenschutzbehörde (DSGVO) und einmal an die Cybersicherheitsbehörde (NIS2). * Bei Betreibern wesentlicher Dienste, die personenbezogene Daten verarbeiten, könnten somit Vorfälle unter beide Regelungen fallen, was bedeutet, dass sowohl die Datenschutzverletzung als auch der Sicherheitsvorfall gemeldet werden müssen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Meldepflichten der DSGVO und der NIS2-RL überschneiden sich in Fällen, in denen personenbezogene Daten durch Sicherheitsvorfälle gefährdet sind. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Risikomanagement === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Risikomanagementanforderungen der Datenschutz-Grundverordnung (DSGVO) und der NIS2-RL überschneiden sich in bestimmten Bereichen, insbesondere wenn es um den Schutz von Daten und IT-Systemen geht. Beide Regelwerke erfordern von Organisationen, dass sie Maßnahmen zum Schutz von Informationen und zur Risikominimierung implementieren, allerdings mit unterschiedlichen Schwerpunkten. Hier sind die wichtigsten Überschneidungen und Unterschiede der Risikomanagementanforderungen: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * DSGVO: Der Fokus liegt auf dem Schutz personenbezogener Daten und den Rechten natürlicher Personen. Risikomanagement unter der DSGVO zielt darauf ab, das Risiko für die Rechte und Freiheiten von Einzelpersonen, die durch die Verarbeitung ihrer personenbezogenen Daten betroffen sind, zu minimieren. * NIS2-RL: Die NIS2-RL konzentriert sich auf die Cybersicherheit und den Schutz der Netz- und Informationssysteme in kritischen Sektoren (zB Energie, Gesundheit, Verkehr). Risikomanagement hier zielt darauf ab, die Resilienz von IT-Systemen und kritischen Infrastrukturen gegen Cyberbedrohungen zu stärken. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Risikobasierter Ansatz ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Beide Regelwerke verlangen von den betroffenen Unternehmen, dass sie risikobasierte Ansätze verfolgen, um Sicherheitsmaßnahmen zu planen und umzusetzen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * DSGVO: Die DSGVO verpflichtet Unternehmen dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, die dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sind. Dies bedeutet, dass Unternehmen die potenziellen Risiken für personenbezogene Daten bewerten und basierend darauf Schutzmaßnahmen wie Verschlüsselung, Pseudonymisierung, Zugriffskontrollen und Datensicherungen implementieren. (Art 24, 32 DSGVO) * NIS2-RL: NIS2-RL verlangt von Unternehmen, ein Risikomanagement für ihre Netz- und Informationssysteme zu betreiben, das sich an den potenziellen Cyberrisiken orientiert. Es geht um die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Systemen und Informationen. Organisationen müssen Maßnahmen wie Netzwerksicherheitskontrollen, Bedrohungserkennungssysteme und Notfallpläne implementieren. (Art 21 NIS2-RL) </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Konkrete Sicherheitsmaßnahmen ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * DSGVO: Die DSGVO fordert spezifische Sicherheitsmaßnahmen für den Schutz personenbezogener Daten, einschließlich der Pseudonymisierung und Verschlüsselung, und verlangt, dass Unternehmen Maßnahmen zur Wiederherstellung der Datenverfügbarkeit nach einem physischen oder technischen Vorfall haben (Art 32 DSGVO). Die Anforderungen zielen direkt auf den Schutz von personenbezogenen Daten ab. * NIS2: Die NIS2-RL legt Wert auf Cybersicherheitsmaßnahmen und operative Resilienz. Hierzu gehören Maßnahmen zur Sicherung der Netzwerk- und Informationssysteme gegen Bedrohungen, die Implementierung von Überwachungssystemen zur Bedrohungserkennung und die Sicherstellung von Redundanzen und Kontinuität der Dienste. Diese Maßnahmen sind breiter gefasst und betreffen nicht nur personenbezogene Daten, sondern die gesamte IT-Infrastruktur eines Unternehmens. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Risikobewertung und Dokumentation ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * DSGVO: Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Dies umfasst eine detaillierte Bewertung der Risiken und die Implementierung von Maßnahmen zur Risikominimierung. (Art 35 DSGVO) * NIS2-RL: Organisationen müssen regelmäßig eine Risikobewertung ihrer Netz- und Informationssysteme durchführen, um potenzielle Cybersicherheitsrisiken zu identifizieren und entsprechend darauf zu reagieren. Diese Risikobewertungen müssen umfassender sein, da sie alle potenziellen Risiken für die kritischen IT-Infrastrukturen eines Unternehmens berücksichtigen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Betroffene Unternehmen ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * DSGVO: Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist verpflichtet, entsprechende Sicherheitsmaßnahmen und ein Risikomanagement zu implementieren. Hierbei handelt es sich um eine breite Anforderung, die nahezu alle Organisationen betrifft. * NIS2-RL: Die NIS2-RL gilt nur für Betreiber wesentlicher und wichtiger Dienste in kritischen Sektoren, wie Energieversorgung, Verkehr, Banken und Gesundheitswesen. Das Risikomanagement richtet sich hier primär an Organisationen, die für die Sicherheit von Infrastrukturen von großer Bedeutung verantwortlich sind. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Technische und organisatorische Maßnahmen ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Beide Regelwerke fordern angemessene technische und organisatorische Maßnahmen, um Risiken zu minimieren, jedoch mit unterschiedlichen Schwerpunkten: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * DSGVO: Der Fokus liegt auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten. Unternehmen müssen Maßnahmen ergreifen, um unbefugten Zugriff auf Daten zu verhindern, Datensicherheit sicherzustellen und Maßnahmen zur Datenwiederherstellung bei Zwischenfällen zu implementieren. * NIS2-RL: Hier liegt der Fokus auf dem Schutz der IT-Systeme selbst, mit besonderem Augenmerk auf der Gewährleistung der Dienstverfügbarkeit und der Widerstandsfähigkeit gegen Cyberangriffe. Dies beinhaltet auch regelmäßige Sicherheitsüberprüfungen, Schwachstellenmanagement und Notfallmaßnahmen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ====== Überschneidungen ====== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Risikobewertung: Beide Regelungen verlangen eine risikobasierte Einschätzung und eine darauf basierende Umsetzung von Schutzmaßnahmen. Das Risikomanagement in beiden Fällen erfordert die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Implementierung geeigneter Maßnahmen. * Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen zur Minimierung von Risiken für IT-Systeme und Datenverarbeitung sind in beiden Regelwerken gefordert, insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit. * Dokumentationspflichten: Sowohl die DSGVO als auch die NIS2-RL fordern eine umfassende Dokumentation der Sicherheitsmaßnahmen und Risikobewertungen, um im Falle von Prüfungen oder Vorfällen nachweisen zu können, dass die Anforderungen erfüllt wurden. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Risikomanagementanforderungen der DSGVO und NIS2-RL überschneiden sich in Bezug auf die Notwendigkeit, Risiken zu bewerten und angemessene Schutzmaßnahmen zu implementieren, insbesondere wenn personenbezogene Daten durch Sicherheitsvorfälle oder Cyberangriffe bedroht sind. Unternehmen, die sowohl unter die DSGVO als auch unter NIS2 fallen, müssen ihre Risikomanagementstrategien so gestalten, dass sie beiden Regelwerken gerecht werden. Während die DSGVO den Schutz von personenbezogenen Daten betont, legt NIS2 den Fokus auf die Resilienz der IT-Systeme und die allgemeine Cybersicherheit. Dennoch ist eine Schnittmenge der Risiken in beiden Bereichen einschlägig. So ist es zu prüfen, ob in einem Bereich erhobene Risiken auch im anderen Bereich relevant sein können. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Sanktionen == </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === NIS2-Richtlinie === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Höhe der Bußgelder unterscheidet sich je nach Einstufung des Unternehmens: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Sanktionen für wesentliche Einrichtungen: Wesentliche Einrichtungen müssen bei Verstößen mit Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist. * Sanktionen für wichtige Einrichtungen: Für wichtige Einrichtungen beträgt das maximale Bußgeld bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, wobei auch hier der höhere Betrag maßgeblich ist. Neben den Geldstrafen kann die zuständige Behörde weitere Schritte einleiten: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Erteilung verbindlicher Anweisungen zur Einhaltung der Richtlinie * Vorübergehende Aussetzung der Geschäftstätigkeit bei Nichtbefolgung von Anweisungen * Temporäres Tätigkeitsverbot für Personen in Leitungsfunktionen * Leitungsorgane von Unternehmen, wie Vorstände oder Geschäftsführer*innen, können persönlich für die Einhaltung der Cybersicherheitsmaßnahmen haftbar gemacht werden. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Nationaler Umsetzungsentwurf (NISG) === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Wird der Cybersicherheitsbehörde im Zuge ihrer Aufsicht erkennbar, dass eine wesentliche oder wichtige Einrichtung ihren Verpflichtungen nach diesem Bundesgesetz nicht nachkommt hat diese entsprechend § 39 Abs 1 bis 4 vorzugehen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Die Einrichtung ist zunächst darauf hinzuweisen, bestimmte spezifische Umsetzungsmaßnahmen oder Adaptierungen im Bereich konkreter Risikomanagementmaßnahmen und bezüglich der Einhaltung von Berichtspflichten oder sonstigen Pflichten zu treffen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Wird dem nicht nachgekommen, hat dies zur Folge, dass die angeordnete Maßnahme, wie etwa die (vollständige) Umsetzung jeweiliger Risikomanagementmaßnahmen durch die Cybersicherheitsbehörde mit Bescheid angeordnet werden. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> Kommt eine wesentliche Einrichtung dem Bescheid nicht fristgerecht und nachweislich nach, ist die Cybersicherheitsbehörde befugt, </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * zuständige Behörden zu ersuchen, die Zertifizierung oder Genehmigung für einen Teil oder alle von der Einrichtung erbrachten einschlägigen Dienste (einschließlich der Cybersicherheitszertifizierung gemäß Art 58 der Verordnung (EU) 2019/881) oder Tätigkeiten vorübergehend auszusetzen </div> <div lang="de" dir="ltr" class="mw-content-ltr"> oder </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * einem Leitungsorgan der Einrichtung mit Bescheid untersagen, seine Leitungsaufgaben in dieser wesentlichen Einrichtung wahrzunehmen. Dieser Bescheid ist in einer allgemeinen Weise zu veröffentlichen, die geeignet erscheint, einen möglichst weiten Personenkreis zu erreichen. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Private Einrichtungen ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> § 45 Abs 1 bis 3 NISG enthält einen Katalog an Verwaltungsübertretungen welche folgendermaßen zu sanktionieren sind: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Verwaltungsübertretung wesentlicher Einrichtung: Geldstrafe in Höhe von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, je nachdem, welcher Betrag höher ist. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Verwaltungsübertretung wichtiger Einrichtung: Geldstrafe in Höhe von bis zu 7 000 000 EUR oder bis zu 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, je nachdem, welcher Betrag höher ist. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> § 45 Abs 4 NISG enthält einen zusätzlichen Katalog an Verwaltungsübertretungen (insb. Missachtung von Duldungs und Dokumentationspflichten) welche folgendermaßen zu sanktionieren sind: </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * Geldstrafe bis zu 50 000 EUR und im Wiederholungsfall bis zu 100 000 EUR . </div> <div lang="de" dir="ltr" class="mw-content-ltr"> ==== Öffentliche Einrichtungen ==== </div> <div lang="de" dir="ltr" class="mw-content-ltr"> § 46 NISG sieht die Anzeige der Nichteinhaltung bei zuständiger Bezirksverwaltungsbehörde durch Bundesminister*in für Inneres und Feststellung der Rechtswidrigkeit durch Bezirksverwaltungsbehörde vor. Entsprechende Feststellungsbescheide sind zu veröffentlichen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit darstellt. Der Sanktionscharakter dieser Bestimmung soll in dem durch die Veröffentlichung entstehenden öffentlichen und politischen Druck auf die jeweilige Behörde zum Ausdruck kommen.<ref>326/ME XXVII. GP - Ministerialentwurf - Anlage_2 <nowiki>https://www.parlament.gv.at/dokument/XXVII/ME/326/fname_1621121.pdf</nowiki> S 42</ref> </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Weiterführende Literatur == </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Überblicksartikel === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * ''Burgstaller'', Aktuelle Ereignisse und Entwicklungen zum Informationsrecht, ZIIR 2023/140/2. * ''Gutbrunner'', Pflichten aus der NIS-2-RL, LexisNexis, 05/2024. * ''Hessel/Callewaert/Schneider'', Die NIS-2-Richtlinie aus Unternehmensperspektive, RDi 2024, 208. * ''Löffler'', NIS-2. Ein Überblick, dako 2024, 76. * ''Pollirer'', Checkliste NIS-2, dako 2024, 43. * ''Schmidt'', Neue europäische Anforderungen im Cybersicherheitsrecht - die NIS2-Richtlinie im Überblick, KuR 2023, 705. * ''Stadler/Drolz'', Cyberregeln treffen auch Lieferanten, Der Standard 2024/18/01. * ''Staffler'', Morgendämmerung der EU-Cybersicherheit-Compliance, JSt 2023/328/4. * ''Tretzmüller'', Die Umsetzung des NIS-Gesetzes, Report 2019, https://www.kt.at/wp-content/uploads/2019/09/31-Kommentar-Tretzm%C3%BCller_Energie-Report-Sept-2019.pdf. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Schwerpunktartikel === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * ''Dittrich,'' IT-Sicherheit und Krisenresilienz bei Energieversorgern und Energieanlagen MMR 2022, 1039. * ''Knyrim/Briegl'', NIS-2: die Anwendung im Konzern, Dako 2024/39. * ''Neuwirth'', Vom "wesentlichen Dienst" zur "wesentlichen" beziehungsweise "wichtigen" Einrichtung - und weitere ausgewählte Aspekte zur NIS-2-Richtlinie, jusIT 2024/2/5. * ''Reiter'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, Medien und Recht 2023/188/4. * ''Reiter/Heidinger/Gstrein'', Die NIS2-Richtlinie: Von Cybersicherheit und Haftung, MR 2023, 188. * ''Schiefer/Wieser'', NIS-2-RL. Wer trägt die Verantwortung im Unternehmen? ecolex 2023/568. * ''Wegmann'', Too much of a good thing? Erweiterung und Verschärfung von Cybersicherheitsplichten durch die NIS2-Richtlinie, BB 2023, 835. * ''Werner'', Anwendbarkeit der NIS-2 im chemischen Sektor, DSB 2024, 175. </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Einführungswerke === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * ''Kipker'', Textsammlung Cybersecurity (2023). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Sammelwerke === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * ''Anderl'' (Hrsg), #Cybercrime. Handbuch für die Praxis (2023) * ''Ditttrich/Dochow/Ippach'' (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024). * ''Hornung/Schallbruch'' (Hrsg), IT-Sicherheitsrecht. Praxishandbuch<sup>2</sup> (2024, iE). * ''Kipker'' (Hrsg), Cybersecurity. Rechtshandbuch<sup>2</sup> (2023). </div> <div lang="de" dir="ltr" class="mw-content-ltr"> === Kommentare === </div> <div lang="de" dir="ltr" class="mw-content-ltr"> * ''Anderl/Heußler/Mayer/Müller'', Netz- und Informationssystemsicherheitsgesetz NISG (2019) [zum Stand der ersten NIS-RL] </div> <div lang="de" dir="ltr" class="mw-content-ltr"> == Einzelnachweise == </div>
Navigationsmenü
Seitenaktionen
Übersetzen
Statistiken zu Sprachen
Statistiken zu Nachrichtengruppen
Exportieren
Seitenaktionen
Übersetzen
Werkzeuge
Meine Werkzeuge
Deutsch
Anmelden
Benutzerkonto beantragen
Navigation
Hauptseite
Letzte Änderungen
Zufällige Seite
Hilfe zu MediaWiki
Suche
Werkzeuge
Spezialseiten
Druckversion
