Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

NIS-2 Network Information Security


2016 schuf die EU mit der NIS-Richtlinie die erste unionsweite Rechtsvorschrift zur Verbesserung der Cybersicherheit. Ihre Nachfolgerin, die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555, veröffentlicht am 28. Dezember 2022), stärkt die Cybersicherheit in der EU und passt sie an die veränderte Bedrohungslage an. Die Umsetzungsfrist endete im Oktober 2024; national erfolgt die Umsetzung im Netz- und Informationssystemsicherheitsgesetz (NISG, Österreich) bzw. über IT-Sicherheitsgesetz 2.0 und BSI-Gesetz (Deutschland).









Die wichtigsten Eckpunkte

  • Erweiterter Anwendungsbereich: neue Sektoren wie digitale Infrastruktur (DNS-Provider, Rechenzentren), öffentliche Verwaltung, Wasserversorgung und Abwasserentsorgung, Raumfahrt und Lebensmittelproduktion – einbezogen sind mittlere und große Unternehmen.
  • Harmonisierte Anforderungen: Cybersicherheits-Risikomanagement, Incident Response und Meldepflichten, regelmäßige Überprüfungen und Audits.
  • Verantwortung des Managements: Vorstand bzw. Geschäftsführung sind für die Einhaltung der Cybersicherheitsanforderungen verantwortlich.
  • Widerstandsfähigkeit der Lieferkette: Cyberrisiken bei Drittanbietern sind zu bewerten.
  • Strengere Aufsicht und härtere Sanktionen: erweiterte Behördenbefugnisse und erhebliche Bußgelder mit abschreckender Wirkung.


Wesentliche und wichtige Einrichtungen

NIS-2 adressiert Unternehmen und Organisationen, deren Dienste aus Sicht der Cybersicherheit kritisch für das reibungslose Funktionieren von Gesellschaft und Wirtschaft sind. Wesentliche Einrichtungen (§ 24 Abs. 1 NISG) sind unter anderem qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister und DNS-Diensteanbieter, Behörden auf Bundesebene sowie große Unternehmen der Sektoren nach Anlage 1; wichtige Einrichtungen (§ 24 Abs. 2) umfassen große und mittlere Unternehmen der Anlagen 1 und 2 sowie Behörden auf Landesebene. Ausgenommen sind unter anderem Einrichtungen der nationalen Sicherheit, Universitäten, Gerichte, Parlamente und die Österreichische Nationalbank.


Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Artikel 21 Abs. 2 NIS-2 verlangt von wesentlichen und wichtigen Einrichtungen zehn Mindestmaßnahmen: Konzepte für Risikoanalyse und Sicherheit der Informationssysteme; Bewältigung von Sicherheitsvorfällen; Business Continuity mit Backup-Management, Notfallwiederherstellung und Krisenmanagement; Sicherheit der Lieferkette; Sicherheit bei Erwerb, Entwicklung und Wartung inklusive Schwachstellenmanagement; Konzepte zur Bewertung der Wirksamkeit der Maßnahmen; Cyberhygiene und Schulungen; Kryptografie und Verschlüsselung; Personalsicherheit, Zugriffskontrolle und Anlagenmanagement; sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation. Ein ISMS nach ISO/IEC 27001 deckt diese Anforderungen strukturiert ab – genau hier setzen wir an.


Berichtspflichten

Erhebliche Sicherheitsvorfälle sind gestaffelt zu melden (Art. 23 NIS-2): Frühwarnung binnen 24 Stunden, Meldung mit erster Bewertung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Vorfälle mit mutmaßlich schwerwiegendem kriminellem Hintergrund sind zusätzlich den zuständigen Strafverfolgungsbehörden zu melden. In Österreich laufen Meldungen nach dem NISG über die Plattform nis.cert.at. Betrifft ein Vorfall personenbezogene Daten, greifen zusätzlich die Meldepflichten der DSGVO (Art. 33/34).




CSIRTs und CERTs

Jeder Mitgliedstaat benennt oder errichtet Computer Security Incident Response Teams (CSIRTs, Art. 10 NIS-2): Sie erkennen sicherheitsrelevante Ereignisse, analysieren Vorfälle, koordinieren die Reaktion zur Schadensminimierung und arbeiten mit IT-, Compliance- und Datenschutzteams zusammen. CERT ist der allgemeinere Begriff für Sicherheitsteams; ein CSIRT ist die spezialisierte, ausschließlich auf Incident Response fokussierte Ausprägung. Die nationalen CSIRTs bilden mit CERT-EU ein europäisches Netzwerk (Art. 15) – das Sekretariat führt die ENISA. Qualifizierte Stellen – in Österreich vom Bundesminister für Inneres per Bescheid bestätigt und in einem öffentlichen Verzeichnis geführt – prüfen die Sicherheitsvorkehrungen von Betreibern wesentlicher Dienste.



ENISA – die Europäische Agentur für Cybersicherheit

Die ENISA (European Union Agency for Cybersecurity, gegründet 2004, Sitz in Athen) stärkt die Cybersicherheit in der EU: Sie erstellt Studien zu aktuellen Cybersicherheitsthemen, fördert Best Practices und unterstützt die Mitgliedstaaten bei der Umsetzung der NIS-Richtlinien – entlang von sieben strategischen Zielen, von befähigten Gemeinschaften im Cybersicherheits-Ökosystem über die wirksame Zusammenarbeit bei massiven Cyber-Vorfällen bis zum effizienten Informations- und Wissensmanagement für Europa.