Cyber-Resilienz wird Pflicht: Welche Firmen von NIS-2 betroffen sind
Bisher waren nur wenige Betreiber kritischer Anlagen zu umfassenden Abwehrmaßnahmen gegen Cyber-Angriffe verpflichtet. Mit NIS-2 gelten neue Vorgaben aber auch für viele kleine und mittelständische Unternehmen.
Erfolgreiche Cyber-Attacken können fatale Folgen haben, wenn bestimmte Einrichtungen betroffen sind. Sie können zum Beispiel die Energieversorgung unterbrechen, die Produktion von Arzneimitteln stören und lebenswichtige Geräte in der Gesundheitsversorgung manipulieren. Der Gesetzgeber schreibt deshalb schon seit Jahren eine Reihe von Schutzmaßnahmen vor.
Bisher galten die Vorgaben jedoch fast ausschließlich für sehr große kritische Anlagen. Zum Beispiel ein Krankenhaus mit mehr als 30.000 vollstationären Fällen im Jahr. Ein Wasserverteilungssystem mit 22 Millionen Kubikmeter Wasser. Oder eine Energieerzeugungsanlage mit mindestens 104 Megawatt Leistung.
Ab Oktober 2024 gelten jedoch neue Regeln. Die Umsetzung der europäischen NIS-2-Richtlinie weitet den Kreis der Betroffenen deutlich aus.
Das Gesetz erweitert die verpflichtende Umsetzung von Maßnahmen des Risikomanagements im Bereich der IT-Sicherheit auf neue Sektoren und definiert neue Schwellenwerte. In den betroffenen Bereichen sind bis auf wenige Sonderregeln nur noch kleine Unternehmen mit weniger als 50 Mitarbeitern und weniger als 10 Millionen Euro Jahresumsatz und Bilanz ausgenommen.
Welche und wie viele Firmen sind von NIS-2 betroffen?
Die NIS-2-Richtlinie wirft nicht alle betroffenen Organisationen in einen Topf. Sie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Anforderungen für erstere fallen höher aus. Die meisten betroffenen Unternehmen fallen in Kategorie Nummer zwei – die wichtigen Einrichtungen.
In Österreich fiel bisher nur eine niedrige dreistellige Zahl unter die Cyber-Regulierung. Mit NIS-2 steigt diese Zahl voraussichtlich auf über 3.000 Unternehmen. In Deutschland sind sogar über 30.000 Firmen betroffen.
Etwa ein Drittel der Betroffenen musste Schätzungen zufolge schon vor NIS-2 gesetzliche Vorgaben für ihre Cyber-Abwehr beachten. Für zwei Drittel sind die gesetzlichen Vorgaben hingegen komplett neu.
Erste Schritte für eine NIS-2 Betroffenheitsanalyse
Unternehmen müssen eigenständig prüfen, ob sie betroffen sind. Sie werden nicht benachrichtigt. Die im Folgenden skizzierten Schritte ersetzen zwar keine detaillierte Betroffenheitsanalyse, die unerlässlich ist. Sie helfen dir aber dabei, ein erstes Bild von der NIS2-Betroffenheit eines Unternehmens zu bekommen:
Zugehörigkeit zu relevanten Sektoren checken
Die NIS-2 Richtlinie definiert 11 Sektoren mit hoher Kritikalität und 7 sonstige Sektoren. Sie reichen vom Bankwesen über die Trinkwasserversorgung bis zum verarbeitenden Gewerbe.
Eine vollständige Liste findest du in Anhang I (Sektoren mit hoher Kritikalität) und Anhang II (Sonstige kritische Sektoren) der NIS-2-Richtlinie. Darin sind neben Sektoren und Teilsektoren auch die Arten der Einrichtungen benannt.
Hier ein Überblick der betroffenen Sektoren:
Wesentliche Einrichtungen – Sektoren mit hoher Kritikalität | Wichtige Einrichtungen – sonstige kritische Sektoren |
---|---|
Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) | Post- und Kurierdienste |
Verkehr (Luft-, Schienen-, Straßenverkehr, Schifffahrt) | Abfallbewirtschaftung |
Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
Finanzmarktinfrastrukturen | Produktion, Verarbeitung und Betrieb von Lebensmitteln |
Gesundheitswesen | Verarbeitendes Gewerbe / Herstellung von Waren (z.B. Medizinprodukte, elektrische Ausrüstung, Maschinenbau) |
Trinkwasser | Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, Plattformen sozialer Netzwerke) |
Abwasser | Forschung |
Digitale Infrastruktur | |
Verwaltung von IKT-Diensten (Anbieter verwalteter Dienste / Sicherheitsdienste) | |
Öffentliche Verwaltung | |
Weltraum |
techbold begleitet dich bei der Umsetzung der NIS-2-Richtlinie
Wir stehen dir mit unserer Expertise zur aktuellen NIS-2-Richtlinie zur Verfügung, um sicherzustellen, dass dein Unternehmen schnellstmöglich einen technisch konformen NIS-2 Sicherheitsstandard erreicht. Wir begleiten dich durch den Prozess und gewährleisten, dass du optimal vor Cybersecurity-Gefahren geschützt bist und die Anforderungen des neuen Gesetzes erfüllt werden.
NIS-2, Teil 2: Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt
NIS-2, Teil 3: NIS-2 Konformität: Welche Maßnahmen Unternehmen umsetzen müssen
NIS-2, Teil 4: Was NIS-2 für die Berichtspflicht von Sicherheitsvorfällen bedeutet
Alle Informationen zur techbold NIS-2 Beratung und Umsetzung.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenEvelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.