Zurück
Zurück zur
Blog-Übersicht
November 26, 2024

Die NIS-2-Richtlinie: Umsetzung in den Mitgliedstaaten und Besonderheiten in Österreich

Die NIS-2-Richtlinie: Umsetzung in den Mitgliedstaaten und Besonderheiten in Österreich

Fortschritt bei der Umsetzung der NIS-2-Richtlinie in Europa: Ein Überblick

Die NIS-2-Richtlinie der EU (Network and Information Security Directive) markiert einen entscheidenden Schritt zur Stärkung der Cybersicherheit in Europa. Obwohl die Mitgliedstaaten verpflichtet waren, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen, zeigt sich, dass der Stand der Gesetzgebungsverfahren deutlich variiert. Dieser Blogbeitrag beleuchtet den Status quo sowie die spezifische Umsetzung in Österreich.

Status der Gesetzgebungsverfahren in der EU

Zum Stichtag 14. Oktober 2024 ergibt sich folgendes Bild:

  1. Länder mit verabschiedeten Gesetzen
    Sieben Mitgliedstaaten haben die NIS-2-Richtlinie bereits vollständig in nationale Gesetze überführt:
    • Belgien
    • Italien
    • Kroatien
    • Lettland
    • Litauen
    • Rumänien
    • Ungarn
  2. Länder mit Gesetzesentwürfen
    Zwölf Staaten befinden sich mitten im Gesetzgebungsprozess. Die Entwürfe befinden sich in der Phase der öffentlichen Diskussion oder in der legislativen Abstimmung:
    • Dänemark
    • Deutschland
    • Finnland
    • Luxemburg
    • Niederlande
    • Österreich
    • Polen
    • Schweden
    • Slowakei
    • Slowenien
    • Tschechien
    • Zypern
  3. Länder ohne bekannten Gesetzesentwurf
    In sieben Ländern liegt zum genannten Stichtag noch kein öffentlicher Entwurf vor:
    • Bulgarien
    • Estland
    • Frankreich
    • Griechenland
    • Malta
    • Portugal
    • Spanien

Die Umsetzung der NIS-2-Richtlinie in Österreich

In Österreich wird die NIS-2-Richtlinie durch das Netz- und Informationssicherheitsgesetz (NISG) umgesetzt. Ein entsprechender Gesetzesentwurf wurde im April 2024 veröffentlicht. Trotz des Entwurfsstatus bietet das Dokument interessante Einblicke in nationale Besonderheiten und Schwerpunkte. Die folgenden Kernpunkte des österreichischen Ansatzes sind hervorzuheben:

Abweichungen in Definitionen

Ein Beispiel für eine abweichende Legaldefinition findet sich in der Definition des Begriffs „Anbieter verwalteter Dienste“ (§ 3 Z 23 NISG). Die österreichische Version führt explizit den Begriff „Managed Service Provider“ auf, während die NIS-2-Richtlinie diesen Begriff nicht ausdrücklich nennt. Diese Anpassung verdeutlicht, dass der nationale Wortlaut genau geprüft werden sollte, da er über die EU-Vorgaben hinausgehen kann.

Zuständigkeiten und Registrierungspflichten

Gemäß § 4 Abs. 1 NISG ist der Bundesminister für Inneres als zentrale Cybersicherheitsbehörde vorgesehen. Wesentliche und wichtige Einrichtungen müssen sich laut § 29 NISG innerhalb von drei Monaten nach Inkrafttreten des Gesetzes bei der Behörde registrieren. Dabei sind insbesondere Angaben zur Kategorisierung der Einrichtung und eine kontinuierliche Erreichbarkeit sicherzustellen.

Pflichtschulungen für Leitungsorgane

Ein Novum stellt § 31 Abs. 3 NISG dar, der Leitungsorgane verpflichtet, an speziell konzipierten Cybersicherheitsschulungen teilzunehmen. Diese Regelung unterstreicht die Bedeutung der Führungsebene bei der Umsetzung von Sicherheitsmaßnahmen.

Risikomanagement und Überprüfungen

Die Anforderungen an das Risikomanagement sind in einer eigenständigen Anlage (Anlage 3) detailliert geregelt. Wesentliche Einrichtungen müssen gemäß § 33 NISG binnen drei Jahren nach Aufforderung der Cybersicherheitsbehörde eine unabhängige Prüfung der umgesetzten Maßnahmen vorlegen.

Sanktionen

Die Verhängung von Geldstrafen liegt gemäß § 44 NISG in der Zuständigkeit der Bezirksverwaltungsbehörden. Dabei wird Doppelbestrafung vermieden: Wenn bereits eine Geldbuße durch die Datenschutzbehörde verhängt wurde, kann keine zusätzliche Strafe nach dem NISG erfolgen.

Fazit und Ausblick

Die Umsetzung der NIS-2-Richtlinie stellt eine komplexe, aber essenzielle Aufgabe dar, um die Cybersicherheit in der EU zu harmonisieren. Während einige Länder wie Belgien oder Ungarn bereits erhebliche Fortschritte erzielt haben, stehen andere, darunter auch größere Mitgliedstaaten wie Frankreich oder Spanien, noch am Anfang des Prozesses.

Österreichs Entwurf des NISG zeigt, wie nationale Gesetzgebung die europäischen Vorgaben ergänzen und konkretisieren kann. Die strengen Anforderungen, insbesondere im Bereich der Registrierung und der Leitungsverantwortung, verdeutlichen, dass Unternehmen frühzeitig mit der Umsetzung beginnen sollten, um mögliche Strafen und Verzögerungen zu vermeiden.

Mit dem Stichtag 17. Oktober 2024 vor Augen bleibt die Zeit knapp – insbesondere für jene Länder, die bisher keine konkreten Maßnahmen vorgelegt haben. Die Entwicklung bleibt spannend und wird die Cybersicherheitslandschaft in Europa nachhaltig prägen.

Zurück
Zurück zur
Blog-Übersicht

Andere interessante Beiträge

Softwarerecht: Wann entsteht eine neue Software?
December 3, 2024
Softwarerecht: Wann entsteht eine neue Software?
Die NIS-2-Richtlinie: Umsetzung in den Mitgliedstaaten und Besonderheiten in Österreich
November 26, 2024
Die NIS-2-Richtlinie: Umsetzung in den Mitgliedstaaten und Besonderheiten in Österreich
Die NIS-2-Richlinie und die ISO-27001
November 19, 2024
Die NIS-2-Richlinie und die ISO-27001

Höchste Qualität durch jahrelange Spezialisierung
in den Rechtsgebieten EDV-Vertragsrecht,
Datenschutz, Urheberrecht.

Allgemeines
AkademieSpezialgebieteKanzleiKontakt
Blog
Dimensionen
In Sachen SoftwarerechtIn Sachen Vertragsrecht
Kontakt
Windmühlgasse 301060 Wienanfrage@digital-recht.at

© von-hertz.com | Impressum | Datenschutz