NIS-2: Mehr Resilienz im Netz

In einer digitalisierten Geschäftswelt, in der viele Prozesse von Technologie abhängig sind, ist es unerlässlich, proaktive Sicherheitsvorkehrungen zu treffen, um vor Cyberattacken geschützt zu sein. Die NIS-2-Vorgaben sehen genau das vor: Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie, die seit 2016 europaweit gilt. Ihr Ziel ist es, ein hohes gemeinsames Cybersicherheitsniveau in Europa zu gewährleisten.

Was sind die Hauptziele und Anforderungen der NIS-2-Richtlinie und wie unterscheidet sie sich von der ursprünglichen NIS-Richtlinie?
Ziel ist die Stärkung von Wirtschaft und Gesellschaft im EU-Binnenmarkt. Im Gegensatz zur NIS-Gesetzgebung, die derzeit für rund 100 Unternehmen in Österreich gilt, werden von NIS-2 viel mehr Unternehmen betroffen sein. Wir gehen von ca. 3.000 bis 5.000 betroffenen Einrichtungen aus, dazu kommen deren Dienstleister und Lieferanten. Auch die Maßnahmen werden ausgeweitet. Die Vorgaben gelten jeweils für das gesamte Unternehmen, nicht nur für die wesentlichen Dienste wie unter den derzeitigen Regelungen.

Wie sieht der Zeitplan für die Umsetzung der NIS-2-Richtlinie in Österreich aus?
Das Umsetzungsgesetz zur NIS-2-Richtlinie wurde schon im Juli im Nationalrat behandelt, ist aber an der geforderten Zweidrittelmehrheit gescheitert. Ich gehe davon aus, dass das neue NIS-Gesetz 2025 kommt. Unternehmen sollten damit rechnen, dass sie die Sicherheitsmaßnahmen ab Inkrafttreten des Gesetzes umgesetzt haben müssen. Das heißt, es ist wichtig, mit der Umsetzung nicht zu warten, sondern spätestens jetzt damit zu starten.

Welche Änderungen bringt die NIS-2-Richtlinie speziell für den Bereich der Gesundheitsversorgung und die Medizinprodukte-Industrie mit sich?
Gesundheitsdienstleister, Hersteller von Medizinprodukten und In-vitro-Diagnostika sowie Hersteller von elektrischen und optischen Erzeugnissen sind jeweils ab mittlerer Unternehmensgröße – das sind ab 50 Vollzeitäquivalenten oder mehr als EUR 10 Millionen Jahresumsatz/-bilanz – im Anwendungsbereich. Diese Unternehmen müssen Sicherheitsauflagen, wie etwa ein Risikomanagement, Mitarbeiterschulungen oder technische Maßnahmen wie Multifaktorauthentifizierung, einhalten.
Kleine Unternehmen sind als Lieferanten von NIS-2-Unternehmen indirekt betroffen, zum Beispiel wenn sie ein Krankenhaus ab mittlerer Größe beliefern. Kundinnen und Kunden, die im NIS-2-Anwendungsbereich sind, werden in Zukunft vertraglich von ihren Lieferanten den Nachweis von entsprechenden Risikomanagementmaßnahmen verlangen. Lieferanten, die die Vorgaben nicht einhalten, riskieren diese Aufträge zu verlieren.

Welche Sicherheitsanforderungen werden durch die NIS-2-Richtlinie erforderlich?
Kern der Regelungen sind ein Risikomanagement im Unternehmen. Abhängig davon müssen Unternehmen entsprechende Sicherheitsmaßnahmen wie etwa die Verschlüsselung, Antivirenschutz, Mitarbeiterschulungen treffen. Vieles davon werden die Unternehmen schon bisher zum eigenen Schutz umgesetzt haben. Vieles war auch schon bisher durch die Datenschutzgrundverordnung oder aufgrund von Branchenstandards gefordert.

In welcher Form müssen Medizinprodukte-Unternehmen zukünftig Sicherheitsvorfälle und Cyberangriffe melden?
NIS-2-Unternehmen müssen erhebliche Cybersicherheitsvorfälle unverzüglich, spätestens aber binnen 24 Stunden an das Cert (Computer Emergency Response Team) melden. Nach 72 Stunden muss eine detailliertere Meldung erfolgen, nach einem Monat ein Abschluss- oder Zwischenbericht.

Wie hoch schätzen Sie den Aufwand für die Umsetzung?
Die Umsetzung stellt heimische Betriebe vor große Herausforderungen. Wir wissen, dass es gerade kleinen und mittleren Unternehmen oft an den personellen und finanziellen Ressourcen dafür fehlt. Die Wirtschaftskammer unterstützt die Betriebe dabei.
Wir empfehlen als ersten Schritt unseren Online-Check zu machen, um festzustellen, ob man unter die Regelung fällt. Es gibt laufend Informationsveranstaltungen. Zusätzlich stellen wir Musterdokumente, wie eine Informationssicherheitsrichtlinie oder Unterlagen für die Mitarbeiterschulung, sowie umfangreiche Informationen zur Verfügung (siehe Infokasten). Bei Fragen, insbesondere auch zu Förderungen, können sich Unternehmen an den Fachverband und die Landeskammern wenden.

Welche Konsequenzen sind bei der Nichteinhaltung zu erwarten?
Es drohen hohe Strafen bis zu EUR 10 Millionen oder 2 % des Jahresumsatzes. Das klingt viel, es handelt sich aber natürlich um die maximalen Strafhöhen. Verantwortlich für die Umsetzung von NIS-2 sind die Leitungsorgane. In der Praxis sehen wir leider, dass die Auswirkungen, die Betriebe durch schwere Sicherheitsvorfälle haben, weitaus dramatischer als die Strafen sind. Die Betriebe kämpfen oft monatelang mit den Folgen von Cyberattacken.

Welche Rolle spielt die Schulung und Sensibilisierung der Mitarbeitenden?
Der Gesetzgeber fordert ausdrücklich Schulungen. Die beste Firewall hilft nicht, wenn die Mitarbeitenden nicht über die Gefahren Bescheid wissen. Wichtig ist, dass auch Leitungsorgane, wie Geschäftsführende, Vorstandsmitglieder oder Aufsichtsräte verpflichtend an NIS-2-Schulungen teilnehmen müssen.

Wie wird sich NIS-2 auf die Wettbewerbsfähigkeit auswirken?
Die NIS-2-Richtlinie zwingt Unternehmen dazu, ihre Cybersicherheitspraktiken zu stärken und transparenter zu gestalten. Medizinprodukte-Unternehmen, die diese Anforderungen umsetzen, können das Vertrauen ihrer Stakeholder gewinnen. In einem Sektor, der von der Sicherheit und Verlässlichkeit von medizinischen Geräten abhängt, ist dies nicht nur notwendig, sondern kann auch ein entscheidender Wettbewerbsvorteil sein.