Die Welt der Cybersicherheit entwickelt sich ständig weiter, und mit ihr die Notwendigkeit für robuste rechtliche Rahmenbedingungen. Ein signifikanter Schritt in dieser Entwicklung ist die Einführung der NIS2-Richtlinie der Europäischen Union.
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Richtlinie EU 2022/2555), als Nachfolgerin der ursprünglichen NIS-Richtlinie, zielt darauf ab, ein höheres Maß an Sicherheit für Netz- und Informationssysteme innerhalb der EU zu gewährleisten.
Als EU-Richtlinie muss sie vom nationalen Gesetzgeber bis zum 18. Oktober 2024 innerstaatlich umgesetzt werden.
Wer muss NIS2 umsetzen?
Die NIS2-Richtlinie erweitert den Anwendungsbereich der Cybersicherheitsvorgaben signifikant. Sie umfasst nun eine breitere Palette von Unternehmen, die als wesentliche bzw, wichtige Einrichtungen klassifiziert werden. Dazu gehören etwa Betreiber wesentlicher Dienste aus den Sektoren Energie, Verkehr, Bankwesen, Gesundheitswesen, digitale Infrastruktur und Wasserversorgung. Hinzugekommen sind auch wichtige digitale Dienste wie Cloud-Computing-Dienste, Online-Marktplätze und soziale Netzwerke.
Eine erste Einschätzung kann auf dem WKO Online Ratgeber selbst erarbeitet werden.
Besonders bemerkenswert ist, dass die NIS2-Richtlinie auch Größe und wirtschaftliche Bedeutung der Unternehmen berücksichtigt, was bedeutet, dass auch mittlere und kleine Unternehmen, die eine wichtige Rolle in der Versorgungskette spielen, betroffen sein können. Dieser inklusive Ansatz stellt sicher, dass ein breites Spektrum an Organisationen zur Stärkung der Gesamtcybersicherheit beiträgt.
Wieviele Unternehmen sind in Österreich von NIS2 betroffen?
Die Ausweitung der NIS2-Richtlinie im Vergleich zur ersten NIS-Richtlinie markiert einen signifikanten Wandel in der Cybersicherheitslandschaft Österreichs. Im Gegensatz zur ersten NIS-Richtlinie, die primär auf kritische Infrastrukturen ausgerichtet war und etwa 100 Unternehmen betraf, schließt NIS2 jetzt eine weit größere Anzahl von Unternehmen ein. Schätzungen gehen davon aus, dass sich der Anwendungsbereich auf etwa 3000 bis 5000 Unternehmen in Österreich erstreckt. Diese erhebliche Erweiterung spiegelt die zunehmende Bedeutung einer umfassenden Cybersicherheit in einer breiten Palette von Branchen wider.