Die Europäische Union verschärft mit neuen Rechtsvorgaben den Umgang mit Cybersicherheit. Zwei zentrale Regulierungen stehen dabei im Fokus: die NIS-2-Richtlinie bzw. das NISG 2025 und die Cyberresilienz-Verordnung. Beide sollen für mehr Schutz im digitalen Raum sorgen und betreffen eine Vielzahl von Unternehmen in Österreich.
Worum handelt es sich bei der NIS-2-Richtlinie und dem NISG 2025?
Die NIS-2-Richtlinie (Netz- und Informationssicherheit) der EU zielt darauf ab, die Cybersicherheit zu stärken und musste bis 17. Oktober 2024 in nationales Recht umgesetzt werden. In Österreich soll dies durch das neue NISG 2025 erfolgen. Betroffen sind mittlere und große Unternehmen aus Sektoren mit hoher Kritikalität, z.B. die Sektoren Energie, Bankwesen, digitale Infrastruktur oder auch Trinkwasser, sowie weitere kritische Sektoren wie etwa Anbieter digitaler Dienste.
Die Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten des NISG 2025 registrieren und Risikomanagementmaßnahmen treffen sowie an Cybersicherheitsschulungen teilnehmen.
Was verlangt die NIS-2 Richtlinie?
- Unternehmen müssen umfassende Risikomanagementmaßnahmen umsetzen – darunter z. B. Sicherheitsrichtlinien, Zugangskontrollen, Notfallpläne und Schulungen
- Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von weiteren Berichten innerhalb von 72 Stunden und einem Abschlussbericht binnen eines Monats
- Klare Verantwortlichkeiten im Unternehmen
- Regelmäßige Schulungen und Dokumentation
- Strafen bei Verstößen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
Was bringt die Cyberresilienz-Verordnung?
Auch mit der Cyberresilienz-Verordnung (CRA) zielt die EU auf Sicherheitsmaßnahmen ab, hierdurch sollen Regeln zur Cybersicherheit von Produkten mit digitalen Elementen – also Hardware oder Software, die direkt oder indirekt mit einem Netzwerk verbunden sind – vereinheitlicht werden. Die Anwendungspflicht beginnt mit Dezember 2027, bis dahin müssen alle Produkte mit digitalen Elementen die Anforderungen erfüllen. Produkte, die bereits vor Dezember 2027 in Verkehr gebracht wurden, können bestimmten Übergangsregelungen unterliegen.
Kerninhalte der Verordnung:
- Sicherheitsanforderungen für Hard- und Software über den gesamten Produktlebenszyklus
- Pflicht zur Schwachstellenbehebung und Sicherheitsupdates
- Klare Informationspflichten gegenüber Kund*innen
- CE-Kennzeichnung auch für digitale Produkte erforderlich
Was bedeutet das für Unternehmen in Österreich?
Auch wenn viele Details noch konkretisiert werden, ist bereits klar: Cybersicherheit wird künftig stärker gesetzlich geregelt – und Verstöße können teuer werden, die Maximalstrafen belaufen sich auf 10 bzw. 15 Mio. Euro oder bis zu 2% bzw. 2,5 % des Jahresumsatzes. Unternehmen sollten sich frühzeitig mit den Anforderungen vertraut machen und interne Abläufe entsprechend anpassen.
Weitere Infos finden Sie hier.
