NIS Gesetz Banner

Services

NIS Gesetz: Umsetzung der Richtlinie in Österreich und was für Unternehmen zu tun ist

Die Umsetzung der NIS-Richtlinie in Österreich rückt näher – sind Sie schon vorbereitet?

Das Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) verpflichtet Unternehmen zur Einrichtung umfangreicher Sicherheitsmaßnahmen und zum Nachweis deren Effektivität.

Bei Nichteinhaltung der Anforderungen aus dem NISG drohen Strafen und ein Reputationsverlust.

Im Fokus der NIS-Richtlinie stehen die sogenannten Betreiber wesentlicher Dienste (BwD), damit sind Unternehmen aus den folgenden Sektoren betroffen:

1. Energie
2. Verkehr
3. Bankwesen
4. Finanzmarktinfrastrukturen
5. Gesundheitswesen
6. Trinkwasserversorgung
7. Digitale Infrastruktur
8. Anbieter digitaler Dienste
(z.B. Online-Marktplätze, Suchmaschinen oder Cloud-Computing-Dienste)
9. Einrichtungen des Bundes

Unternehmen auf die das zutrifft, werden in naher Zukunft ermittelt und via Bescheid informiert. Ab diesem Zeitpunkt tickt die Uhr.

Anforderungen des NISG an betroffene Unternehmen

  • Innerhalb von zwei Wochen nach Zustellung des Bescheids muss eine Kontaktstelle für die NIS-Kommunikation bekanntgegeben bzw. eingerichtet werden.
  • Sicherheitsvorkehrungen zur Gewährleistung der NIS-Sicherheit sind nach „dem Stand der Technik“ einzurichten, zu dokumentieren und zu prüfen.
  • Dazu sind eine Aufstellung der Sicherheitsmaßnahmen, der Nachweis von allfälligen Zertifizierungen und/oder eine Überprüfung durch eine qualifizierte Stelle (externer Prüfer) erforderlich.
  • Mängel müssen gemeldet werden, das BMI kann dann Empfehlungen aussprechen oder innerhalb einer Frist eine Behebung anordnen.
  • Innerhalb eines Jahres nach Zustellung des Bescheids kann ein derartiger Nachweis jederzeit verlangt werden. Mindestens alle drei Jahre muss die Erfüllung der Anforderungen gegenüber dem BMI nachgewiesen werden.
  • Meldepflicht: Sicherheitsvorfälle müssen unverzüglich an ein Computer-Notfallteam bzw. das BMI gemeldet werden. Eine derartige Meldung muss bestimmte Kriterien erfüllen, z.B. Format, eine sichere Übermittlung und die konkreten Details zum Sicherheitsvorfall.

Deloitte unterstützt Sie bei der Umsetzung des NISG

  • Überprüfung und Bewertung vorhandener Sicherheitsmaßnahmen, Empfehlungen für Verbesserungen und die Dokumentation der Effektivität
  • Schließung von Sicherheitslücken organisatorischer und technischer Art
  • Mapping und Dokumentation existierender Maßnahmen oder Zertifizierungen, um die NIS-Anforderungen abzudecken
  • Einrichtung geeigneter Strukturen und Abläufe im Unternehmen, vom Umgang mit Sicherheitsvorfällen bis zur Meldepflicht

Sorgen Sie rechtzeitig vor - wir freuen uns auf eine Kontaktaufnahme.

People Icon

Ansprechpartner

Mag. Alexander Ruzicka

Mag. Alexander Ruzicka

Partner Risk Advisory | Deloitte Österreich

Alexander Ruzicka ist Partner in der Wirtschaftsprüfung bei Deloitte in Wien und leitet den Bereich Risk Advisory. Neben der Durchführung von Abschlussprüfungen umfasst sein Aufgabengebiet die Organis... Mehr

Dr. Gilbert Wondracek

Dr. Gilbert Wondracek

Senior Manager Risk Advisory | Deloitte Österreich

Dr. Gilbert Wondracek ist National Lead Cyber Risk Services bei Deloitte in Wien. Er berät Unternehmen im Bereich Cybersecurity & Enterprise Risk unter anderem im Bereich Schwachstellenanalyse, Risk A... Mehr