NIS-2 – Die neue Cybersicherheits-Richtlinie

Unser mulitdisziplinäres Expert:innen-Team unterstützt Unternehmen aus den verschiedensten Branchen bei der Umsetzung der NIS-2-Richtlinie. Wir entwickeln gemeinsam mit Ihnen maßgeschneiderte Lösungen für Ihr Unternehmen und holen Sie dort ab, wo Sie stehen. Wir decken alle Kompetenzbereiche, die zur Sicherstellung Ihrer umfassenden NIS-2-Compliance nötig sind, vollumfänglich ab.

NIS-2 – Ein Überblick

Was ist NIS-2?

Die Abkürzung "NIS" steht für "Network and Information Systems" und bezieht sich auf die Sicherheit von Netzwerken und Informationssystemen. NIS-2 ist die zweite Version der EU-Richtlinie, die die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und digitale Diensteanbieter in der Europäischen Union regelt. Diese Richtlinie wurde entwickelt, um die Widerstandsfähigkeit und Sicherheit von kritischen Infrastrukturen und digitalen Diensten zu erhöhen.

NIS-2 als Chance

Die umfangreichen Anforderungen von NIS-2 und der damit verbundene Umsetzungsaufwand mag für viele Unternehmen auf den ersten Blick abschreckend wirken. NIS-2 ist jedoch auch eine wertvolle Chance, sich auf sehr reale Cyber-Risiken vorzubereiten, allenfalls vorhandene Sicherheitsmaßnahmen kritisch zu hinterfragen und Prozesse zu optimieren. Dies führt langfristig zu einer sichereren, resilienteren und flexibleren Organisation.

Wer ist von NIS-2 betroffen?

Es wird geschätzt, dass in Österreich 3.500 bis 5.000 Unternehmen von NIS-2 betroffen sein werden. Das liegt daran, dass die Sektoren, welche als kritisch gelten, deutlich erweitert wurden. Neben den bekannten Sektoren wie Verkehr, Energie und Trinkwasserversorgung ist nun beispielsweise auch Handel, Produktion und Vertrieb von Lebensmitteln, chemischen Stoffen oder Maschinenbau umfasst. Betroffene Unternehmen müssen sich eigenständig binnen 3 Monaten nach Inkrafttreten der NIS-2 bei der Cybersicherheitsbehörde registrieren.

Wie sieht der zeitliche Rahmen zur Umsetzung von NIS-2 aus?

Die EU-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und muss bis spätestens 17. Oktober 2024 in nationales Recht umgewandelt werden. Ab dem 18. Oktober 2024 gelten die Anforderungen der NIS-2. Der Begutachtungsentwurf sieht vor, dass wesentliche und wichtige Einrichtungen innerhalb von sechs Monaten nach Aufforderung durch die Cybersicherheitsbehörde einen Nachweis über die Wirksamkeit der getroffenen Maßnahmen zu erbringen haben (Selbstdeklaration).

Welche Ziele verfolgt NIS-2?

Die NIS-2 vereinheitlicht das Cybersicherheitsniveau innerhalb der EU, stärkt die Resilienz der betroffenen Unternehmen und verbessert die Reaktion auf Sicherheitsvorfälle. Betroffene Unternehmen haben nach Stand der Technik geeignete und verhältnismäßige technische, operative und organisatorische Risikomanagement-Maßnahmen in den definierten Bereichen umzusetzen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Cybersicherheits-Vorfällen zu verhindern bzw. zu minimieren.

Wie kann Deloitte bei der Umsetzung von NIS-2 unterstützen?

Der Deloitte NIS-2-Baukasten

Unser multidisziplinäres Expert:innen-Team unterstützt Sie gerne mit einem beratenden Gespräch, um eine individuelle NIS-2-Lösung zu schneidern. Für mittlere und teils große Unternehmen hat Deloitte einen NIS-2-Baukasten entwickelt, der als Ansatz für einen modularen Weg zur NIS-2-Konformität genutzt werden kann. Der Baukasten umfasst 23 Module, die dazu beitragen, NIS-2-Compliance zu erreichen.

Fazit

NIS-2 ist für die Europäische Union eine wichtige Weiterentwicklung in Sachen Cybersicherheit. Durch die Einhaltung der Richtlinie wird die Sicherheit ihrer digitalen Dienste gewährleistet und rechtliche Konsequenzen vermieden.

Handeln Sie jetzt und machen Sie Ihr Unternehmen NIS-2-fit!