Anlagentechnik Anlagentechnik
02.04.2024 – News – Blog
News teilen:
NIS-2: Was in puncto Cybersecurity auf unsere Betriebe zukommt
Die Zeit läuft! Im Herbst 2024 wird die NIS-2-Richtlinie für mehr Cybersicherheit Pflicht, bei Verstößen drohen Betrieben saftige Strafen. Auch KMU können betroffen sein und sollten sich JETZT vorbereiten. In unserer kompakten Übersicht finden Sie alles, was Sie zu NIS-2 wissen müssen – und wie sich Kurzentschlossene noch eine Förderung holen können!
Der 18. Oktober 2024 ist ein kritisches Datum: Ab diesem Tag müssen alle Unternehmen, die unter die NIS-2-Richtlinie der EU für mehr und einheitlichen Cyberschutz im europäischen Raum fallen, sämtliche Bestimmungen in der Praxis erfüllen. Wer sich darauf noch nicht vorbereitet hat, sollte keine Minute zögern: Die Liste der verpflichtenden Vorschriften und Anwendungsbereiche ist im Vergleich zum Vorgänger NIS-1 deutlich umfangreicher! Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Es kann auch Klein- und Mittelbetriebe treffen – wenn sie beispielsweise Konzerne beliefern, die in systemkritischen Bereichen arbeiten. Worum geht´s bei NIS-2 genau? Ist meine Firma betroffen, was muss ich tun? Wo gibt es Förderungen für vorbereitende Maßnahmen? Antworten und Link-Tipps finden Sie im folgenden Beitrag. Unsere Kunden können sich jedenfalls entspannt zurücklehnen: Hinsichtlich Informationssicherheit hat eww ITandTEL die eigenen Rechenzentren freiwillig nach internationalem Goldstandard zertifizieren lassen. Damit können auch Kunden schon einen Gutteil der NIS-2-Vorgaben als erledigt abhaken!
-------------------------------------------------------------------
INHALT
1. Was ist NIS-2?
2. Für wen gilt die NIS-2-Richtlinie?
3. Was kommt auf betroffene Unternehmen zu?
4. IT-Sicherheit in der Lieferkette
5. KMU-Förderung noch bis 15.4. beantragen!
6. eww ITandTEL und NIS-2
-------------------------------------------------------------------
Was ist NIS-2?
NIS-2 („Network and Information Security Directive 2“) ist eine EU-Richtlinie für Informationssicherheit in kritischen Infrastrukturen, also wichtigen Sektoren der öffentlichen Versorgung wie Energie und Trinkwasser. Ziel ist, die digitale und datenbasierte Souveränität der relevanten Unternehmen in Europa zu stärken.
Die NIS-2-Verordnung wurde bereits 2022 vom EU-Parlament verabschiedet. Sie ersetzt die ursprüngliche NIS-Richtlinie und ist von allen Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht zu überführen. Es handelt sich um Mindeststandards – die Staaten können einzelne Regeln aber noch erweitern bzw. verschärfen. So wird etwa in Deutschland diskutiert, Geschäftsführer in die private Haftung zu nehmen, wenn sie sich nicht an die Maßnahmen halten.
In Österreich werden Betreiber wesentlicher Dienste aktuell durch das Netz- und Informationssicherheitsgesetz (NISG) reguliert. Zu der bis 17.10. notwendigen Gesetzesnovelle ist bislang nichts Näheres bekannt. Experten schätzen, dass 3.400 heimische Betriebe zusätzlich in den NIS-2-Anwendungsbereich fallen.
Für wen gilt die NIS-2-Richtlinie?
Zwei Kriterien bestimmen, ob Unternehmen die Mindeststandards der Informationssicherheit gemäß NIS-2 umsetzen müssen:
- Kriterium 1: Unternehmensgröße
Für Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz / einer Jahresbilanz von mehr als 10 Millionen Euro kann NIS-2 gelten, wenn sie auch Kriterium 2 erfüllen.
- Kriterium2: Unternehmenssektor
NIS-2 gilt für 18 Unternehmenssektoren. Viele davon waren schon von NIS-1 erfasst, wie Energie, Verkehr, Banken und Gesundheitswesen. Neu hinzugekommen sind laut WKO zum Beispiel: öffentliche Verwaltung, Abwasser, Abfallwirtschaft, Chemie, Lebensmittel (Produktion, Verarbeitung, Vertrieb), Kurierdienste, Hersteller elektronischer Geräte und medizinischer Produkte, Maschinen- und Fahrzeugbau, Forschung. Im digitalen Bereich: IKT-Dienste, Datenverarbeiter, Rechenzentren, Cloud-Anbieter.
Unabhängig von Größe und Umsatz kann NIS-2 auch für Betriebe gelten, die kritische Tätigkeiten ausüben und deren Ausfall ein Risiko für den gesamten Sektor wäre. Sie sind unsicher, ob Ihr Unternehmen NIS-2 anwenden muss? Orientierungshilfe bietet der Online-Ratgeber der Wirtschaftskammer unter https://bit.ly/3IUQOJl
Was kommt auf betroffene Unternehmen zu?
Unternehmen haben durch NIS-2 eine Reihe von (teils neuen) Pflichten. Sie müssen sich u. a. bei der zuständigen Behörde im eigenen Land registrieren, Kontaktdaten weitergeben und erhebliche Sicherheitsvorfälle melden. Die größte Umstellung für Firmen sind die zusätzlichen Sicherheitsanforderungen: NIS-2 fordert ein komplexes Risikomanagement, das u. a. weitreichende Analysen, geschützte Authentifizierung und Kommunikation, Mitarbeiterschulung und Zugriffskontrolle umfasst.
IT-Sicherheit in der Lieferkette
Durch NIS-2 regulierte Unternehmen sollen neben dem eigenen Informationssystem auch ihre Geschäftspartner kritisch unter die Lupe nehmen. Konkret sind sie dazu angehalten, Sicherheitsanforderungen in die Verträge mit Lieferanten und Dienstleistern (z. B. Cloudservice-Anbieter) einzubauen.
Somit kann die neue Cybersecurity-Richtlinie indirekt auch KMU treffen – wer kein gutes Risikomanagement vorzuweisen hat, kann bei Ausschreibungen in Zukunft wohl kaum noch mit Aufträgen von regulierten Unternehmen rechnen.
Als Hilfestellung für NIS-2-Betroffene hat die europäische Agentur für Cybersicherheit (ENISA) einen Ratgeber zum Thema „Supply Chain Cybersecurity“ veröffentlicht, abrufbar unter https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity
KMU-Förderung noch bis 15. 4. beantragen!
Österreichische KMU, die in den NIS-2-Anwendungsbereich fallen, werden beim Umsetzen der nötigen Sicherheitsmaßnahmen mit einer Förderung unterstützt. Unter dem Titel „Cyber Security Schecks 2023“ übernimmt das nationale Koordinierungszentrum für Cybersicherheit bis zu 40 % der Kosten für entsprechende Technologien und Beratungsleistungen (maximal 10.000 €).
Wer beispielsweise Experten von eww ITandTEL beim Erstellen eines Security-Konzepts konsultieren möchte, muss allerdings schnell sein: Zuschüsse können bis spätestens 15.4.2024 beantragt werden, Projekte müssen bis 1.6.2024 starten. Den Leitfaden zur Ausschreibung finden Sie unter https://www.ffg.at/ausschreibung/CyberSecuritySchecks2023
eww ITandTEL und NIS-2
Die neue EU-Richtlinie für Cybersicherheit nimmt vor allem den digitalen Bereich in die Pflicht. Auf IKT-Anbieter, Cloud-Provider und die Betreiber besonders sensibler Infrastruktur wie Datacenter warten eine Menge strenger Vorgaben. Dass sie eingehalten werden, ist mit Audits, Prüfungen oder Zertifizierungen regelmäßig nachzuweisen.
eww ITandTEL ist hier bestens aufgestellt. Betreffend Compliance & Security haben wir uns die Latte selbst immer deutlich höher gelegt als gesetzlich gefordert. Die Qualität der Informationssicherheit in unseren Rechenzentren in Österreich und Deutschland ist durch anerkannte Auditoren bestätigt – unsere Datacenter Standorte sind nach ISO / IEC 27001 und Standort Marchtrenk nach EN 50600 und damit nach internationalem Goldstandard zertifiziert.
Das macht eww ITandTEL auch zu einem zuverlässigen, vertrauenswürdigen Cloudanbieter, der die hohen Ansprüche von Businesskunden in Bezug auf Daten-Souveränität und -kontrolle vollauf erfüllen kann. Mit eww ITandTEL als IT-Partner sind Sie betreffend NIS-2 schnell startklar – auf jeden Fall lange vor dem 18. Oktober!
rakete
IT-Experten News: Behalten Sie den Durchblick
Noch mehr Tipps, Tricks und viel Neues aus der IT-Welt: Erhalten Sie ca. 4x pro Jahr kostenlos in Ihrer Inbox. Jetzt Newsletter abonnieren und Durchblick behalten!