BDO als NIS-qualifizierte Stelle

Die wichtigsten Informationen zur NIS1 im Überblick

Mit den Anforderungen der NIS-Richtlinie wird die Gewährleistung eines gemeinsamen Sicherheitsniveaus innerhalb der EU-Mitgliedstaaten angestrebt.

Diese umfassen neben technischen und organisatorischen Maßnahmen auch Meldeprozesse im Rahmen von Sicherheitsvorfällen.

Jeder Mitgliedsstaat muss gemäß Richtlinie eine zuständige nationale Behörde bestimmen. In Österreich sind das Bundeskanzleramt sowie das Bundesministerium für Inneres für die Überwachung der Anwendung des NIS-Gesetzes zuständig. Sicherheitsvorfälle bei BwD müssen über das österreichische nationale CERT (Computer Emergency Response Team – cert.at) gemeldet werden.

 

Welche Sektoren sind von der NIS1 betroffen?

Betreiber wesentlicher Dienste (aktuell ~200 Unternehmen) werden durch einen Bescheid des Bundeskanzlers festgestellt.

In den Einflussbereich des Gesetzes fallen Betreiber wesentlicher Dienste, die gemäß Richtlinie folgenden Sektoren zuzuordnen sind:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasserversorgung
• Digitale Infrastruktur

Zusätzlich fallen Anbieter digitaler Dienste und Einrichtungen der öffentlichen Verwaltung in den Geltungsbereich der Richtlinie. Als solche werden hierbei jene Institutionen bezeichnet, die gegen Entgelt Cloud-Computing-Dienste oder Online-Marktplätze sowie Suchmaschinen betreiben. Diese Anbieter sind verpflichtet, sich selbstständig als betroffene Institution zu identifizieren.

 

Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste

BwD haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um gemäß aktuellem Stand der Technik ein angemessenes Sicherheitsniveau zu erreichen. In der NIS-Verordnung (NISV) werden 11 Kategorien von Sicherheitsmaßnahmen definiert:

1. Governance und Risikomanagement
2. Umgang mit Dienstleistern, Lieferanten und Dritten
3. Sicherheitsarchitektur
4. Systemadministration
5. Identitäts- und Zugriffsmanagement
6. Systemwartung und Betrieb
7. Physische Sicherheit
8. Erkennung von Vorfällen
9. Bewältigung von Vorfällen
10. Betriebskontinuität
11. Krisenmanagement

BDO ist eine NIS-qualifizierte Stelle und unterstützt Sie gerne bei der Erfüllung regulatorischer Anforderungen einerseits und der Umsetzung erforderlicher Maßnahmen nach NISG und der kommenden NIS2 andererseits.

 

Wie werden Verstöße gegen die NIS1 sanktioniert?

Verstöße gegen das NIS-Gesetz werden mit Geldstrafen bis zu EUR 50.000, im Wiederholungsfall bis zu EUR 100.000 geahndet.

 

Die wichtigsten Informationen zur NIS2 im Überblick

Am 16.1.2023 ist die NIS2-Richtlinie in Kraft getreten und muss bis spätestens Oktober 2024 durch die Mitgliedsstaaten der EU in nationales Recht umgesetzt werden.

Die NIS2 wird das bestehende NISG ersetzen.

 

Welche Sektoren werden von der NIS2 erfasst?

Der Geltungsbereich wurde durch die EU-Richtlinie stark erweitert. Anstatt der aktuell ca. 200 betroffenen Unternehmen werden voraussichtlich etwa 3.400 Unternehmen (ca. 900 wesentliche Einrichtungen und 2.500 wichtige Einrichtungen) betroffen sein!

Wenn auch Ihr Unternehmen in einem dieser Sektoren tätig ist, werden Sie sehr wahrscheinlich von NIS2 tangiert:

Wesentliche Einrichtungen

• Energie (Strom inkl. Fernwärme, Öl, Gas, Wasserstoff)
• Verkehr (Luft, Schiene, Wasser, Straßen)
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheit (Gesundheitsdienstleister, EU-Referenzlaboratorien, Arzneimittelforschung und -entwicklung, pharmazeutische Grundstoffe und Präparate sowie medizinische Notfallgeräte)
• Trinkwasserversorgung
• Abwasser (NEU)
• Digitale Infrastruktur
• IKT-Dienstleistungsmanagement (NEU)
• Öffentliche Verwaltung (NEU)
• Raumfahrt (NEU)

Wichtige Einrichtungen

• Post- und Kurierdienste (NEU)
• Abfallwirtschaft (NEU)
• Herstellung, Produktion und Vertrieb von Chemikalien (NEU)
• Herstellung, Verarbeitung und Vertrieb von Lebensmitteln (NEU)
• Herstellung von medizinischen Geräten, Computern, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Maschinen und Ausrüstungen (NEU)
• Herstellung von Kraftfahrzeugen, Anhängern und Sattelanhängern sowie sonstigen Transportmitteln (NEU)
• Digitale Anbieter (Onlinemarktplätze, Onlinesuchmaschinen und Plattformen für soziale Netzwerkdienste) (TLW. NEU)
• Forschung (NEU)

 

Ausgedehnter Scope und schärfere Sanktionen

NIS2 erweitert den Scope mithilfe des sog. gefahrenübergreifenden Ansatzes. Durch eine zentrale IT-Risikoanalyse werden alle Gefahren identifiziert, die ein Risiko für den Betrieb Ihrer wichtigen Geschäftsprozesse und der damit verbundenen IT-Systeme darstellen (Artikel 21 Absatz 2(a)). D.h. es sind nicht länger nur die IT-Systeme im Scope, die zum Betrieb wesentlicher Dienste notwendig sind.

Zusätzlich sieht NIS2 vor, die Leitungsorgane (z.B. Geschäftsführung) im Bereich Cyber Security, mithilfe einer persönlichen Haftung, stärker in die Verantwortung zu nehmen (Artikel 20 Abs. 1). Die konkrete Ausgestaltung obliegt der Umsetzung der österreichischen Gesetzgebung.

Auch die Strafen bei Nichteinhaltung der Anforderungen werden deutlich erhöht! Dabei drohen Sanktionen bis zu EUR 10 Mio. oder 2% des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. EUR 7 Mio. oder 1,4% des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

 

NIS2 Readiness Unterstützung durch BDO 

Profitieren Sie von einer umfassenden Beratung

• bei der Frage der Betroffenheit nach NIS2,
• bei der Erhebung bereits bestehender Maßnahmen und dem Abgleich mit den Vorgaben der Richtlinie (Artikel 21),
• bei der Umsetzung von geeigneten Maßnahmen und Prozessen.

Die Vorteile für Ihr Unternehmen

• Umfassende Vorbereitung auf eine Prüfung durch eine NIS-qualifizierte Stelle
• Ganzheitliche Analyse der bestehenden Maßnahmen anhand unseres Prüfkatalogs nach den Vorgaben des NIS bzw. der NIS2-Richtlinie ((EU) 2016/1148 bzw. (EU) 2022/2555)
• Im Rahmen einer Gap-Analyse untersuchen BDO Expert:innen mit umfangreichem Know-how (z.B. COBIT, ITIL, ISO/IEC 27001, ISO/IEC 27032) und langjähriger Erfahrung in den Bereichen IKT, Informationssicherheit und Cyber Security den Reifegrad Ihrer bestehenden Maßnahmen und identifizieren ggf. Verbesserungspotenziale sowie noch zu treffende Maßnahmen.
• Reifegradanalyse der vorhandenen Maßnahmen sowie Evaluierung von Abweichungen im Vergleich zu den Anforderungen der NIS/NIS2-Richtlinie
• Priorisierung von Maßnahmenempfehlungen und Unterstützung bei der Umsetzung von Maßnahmen (z.B. durch Dokumententemplates)
• BDO ist als NIS-qualifizierte Stelle akkreditiert. Wir stehen Ihnen mit dem erforderlichen Know-how und Prüfkompetenz zur Seite.

 

---

Referenzen

• [NIS1] RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union - https://eur-lex.europa.eu/eli/dir/2016/1148/oj
• [NIS2] RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) - https://eur-lex.europa.eu/eli/dir/2022/2555/oj
• [NISG] Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) - https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010536
• [NISV] Verordnung des Bundesministers für EU, Kunst, Kultur und Medien zur Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen nach dem Netz- und Informationssystemsicherheitsgesetz (Netz- und Informationssystemsicherheitsverordnung – NISV) - https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010722