Die NIS 2 ist seit Jänner 2023 in Kraft und umfasst konkrete Mindeststandards für Cybersicherheit sowie Meldepflichten bei Sicherheitsvorkehrungen. Betroffene Unternehmen müssen die neuen Regelungen bis spätestens 17. Oktober 2024 umsetzen.
Doch wer ist betroffen?
Die neuen Vorschriften gelten vorwiegend für mittlere und große Unternehmen. Ausschlaggebend ist, ob es sich im Tätigkeitsfeld um die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten handelt. Die NIS 2 unterscheidet dabei zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. (siehe folgende Liste als Orientierung) Mitgliedsstaaten sind zudem ermächtigt, wesentliche und wichtige Einrichtungen zu benennen.
Wesentliche Einrichtungen
- Sektoren wie Energie, Verkehr, Wasserversorgung, Gesundheitswesen, Abwasser, digitale Infrastruktur, öffentliche Verwaltung oder Weltraum
- Qualifizierte Vertrauensdienstanbieter, Domänennamenregister der Domäne oberster Stufe sowie DNS-Diensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
- Einrichtungen öffentlicher Verwaltung
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie (Herstellung und Handel)
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Hersteller bestimmter Waren (ua Medizinprodukte, Datenverarbeitungsgeräte, Maschinenbau, Kfz)
- Anbieter digitaler Dienste (Plattformen für Dienste sozialer Netzwerke)
- Forschungseinrichtungen
Ausnahmefall: Kleine Unternehmen
Unternehmen mit weniger als 50 Mitarbeiter:innen und einem Jahresumsatz von höchstens 10 Mio. Euro oder einer Jahresbilanzsumme von höchstens 10 Mio. Euro fallen grundsätzlich nicht unter NIS 2. Ausnahmen gelten dafür aber für folgende Anwendungsbereiche:
- Vertrauensdiensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
- TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist. - Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten.
Sie sind sich unsicher, ob Ihr Unternehmen der NIS 2 unterliegt?
Dann machen Sie den Check! Der Online-Ratgeber der WKO bietet eine tolle Möglichkeit eine valide Einschätzung zu treffen.
Die IT-Security Ihres Unternehmens ist solbysec ein Anliegen. Daher kümmern wir uns – und im Speziellen unser IT-Sicherheits-Profi DI Manuel Dorfer, BSc, als Certified Data & IT-Security Expert – um Sie. Wir sind Ihr Ansprechpartner für Fragen rund um die Einführung und Verbesserung von IT-Security-Maßnahmen und -prozessen sowie für Vorkehrungen im Zuge des Datenschutzes. Bringen Sie Ihr Informationssicherheitsmanagement auf aktuellen Stand!