Herausforderungen durch NIS2
geschrieben in Aktuell von Harald Wagner
Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148), enthält einige neue Maßnahmen zur Steigerung der Cybersicherheit in der EU, um ein sichereres und stärkeres Europa in der digitalen Welt zu gewährleisten. Die Richtlinie sieht dazu unter anderem auch eine neue, persönliche Haftung von Führungskräften vor, wenn bestimmte Vorgaben von NIS2 verletzt werden.
Wie aber schützt man sich vor den steigenden Cyberrisiken und den neuen persönlichen Risiken? Die NIS-2-Richtlinie erweitert den Anwendungsbereich der bisherigen NIS-Richtlinie auf eine Vielzahl von Sektoren, aber auch auf die Art der kritischen Einrichtungen, die in ihren Anwendungsbereich fallen. Zu den direkt von den NIS2-Vorgaben betroffenen Unternehmen gehören künftig unter anderem Anbieter von öffentlichen elektronischen Kommunikationsnetzen bzw. Kommunikationsdiensten, Rechenzentrumsbetreiber & Dienstleister, die Abwasser- und Abfallwirtschaft, die Herstellung kritischer Produkte, Post- und Kurierdienste sowie Einrichtungen der öffentlichen Verwaltung oder der Gesundheitssektor im weiteren Sinne. Auch mittelbar können Unternehmen z.B. aus der Logistik, Chemiebranche, Fertigung oder der Produktions- und Nahrungsmittelherstellung von der NIS2-Richtlinie betroffen sein. Unternehmen müssen dabei künftig höhere Anforderungen an das Cybersicherheits-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Penetrationstests und Reaktion auf Vorfälle erfüllen. Auch Meldepflichten für Vorfälle durch präzisere Bestimmungen über die Berichterstattung, den Inhalt und den Zeitplan sind künftig von den Unternehmen entsprechend zu beachten. Auch die Geschäftsführung selbst unterliegt den neuen Anforderungen im Rahmen der Rechenschaftspflicht - auch eine persönliche Haftung könnte in diesem Zusammenhang dann schlagend werden..
Auch KMUs können direkt oder aber indirekt als Lieferant oder als Dienstleister einer kritischen Einrichtung von den neuen verschärften Vorgaben zur Cybersicherheit künftig betroffen sein. Eine entsprechende Vorbereitung und die Prüfung etwaiger Haftungsrisiken sind daher zu empfehlen. Bis Oktober 2024 wird die EU-Richtlinie NIS2 in nationales Recht umgesetzt und muss dann auch in Österreich angewendet werden.
Informieren Sie sich daher rechtzeitig über die Vorgaben der NIS2 Richtlinie und sprechen Sie mit uns, wie Sie sich im Bereich Cybersicherheit bestmöglich durch Versicherungslösungen absichern können.
