04.10.2024 | Wirtschaftsrecht | ID: 1185848

NIS-2 & NISG 2024: Erhöhte Anforderungen an Datenschutz und IT-Sicherheit

Yvonne Ghali - WEKA (red)

Am 18. Oktober sollte das Netz- und Informationssicherheitsgesetz 2024 (NISG 2024) in Kraft treten, welches die NIS-2-Richtlinie umsetzt und rasches Handeln erfordert. Lesen Sie mehr dazu in diesem Beitrag.

Die rapide Entwicklung digitaler Technologien und die umfassende Vernetzung von Gesellschaft und Wirtschaft haben Netz- und Informationssysteme zu einem integralen Bestandteil des modernen Lebens gemacht. Digitale Technologie hat nahezu alle Bereiche der Gesellschaft und des täglichen Lebens durchdrungen.

Diese Entwicklung hat zu einem Anstieg der Cyberbedrohungen geführt. Sowohl Anzahl als auch Komplexität und Häufigkeit der Angriffe nehmen zu. Die Folgen von Cyberangriffen können beträchtlich sein und reichen von finanziellen Verlusten über die Beeinträchtigung des Vertrauens der Nutzer, bis hin zu schwerwiegenden Auswirkungen auf die Wirtschaft und/oder die gesamte Gesellschaft. Es ist daher von entscheidender Bedeutung, präventive Maßnahmen zu ergreifen und effektive Schutzmechanismen einzurichten, um die umfassenden wirtschaftlichen, sozialen und langfristigen Vorteile der Digitalisierung vollständig zu nutzen.

DSGVO: Rechtlicher Hintergrund

Die Datenschutz-Grundverordnung (DSGVO) umfasst den Schutz personenbezogener Daten und fordert von Verantwortlichen für Verarbeitungen personenbezogener Daten, dass diese geeignete technische und organisatorische Maßnahmen und Verfahren treffen, damit die Verarbeitungen den Anforderungen der DSGVO entsprechen und die Daten und Rechte der betroffenen Personen geschützt werden. Bei Verarbeitungsvorgängen, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, haben die Verantwortlichen zuvor eine Datenschutz-Folgenabschätzung zu machen und Maßnahmen festzulegen und umzusetzen, die das Risiko minimieren.

Informationssicherheit und Vertraulichkeit von Daten

Informationssicherheit (InSi) umfasst den Schutz von Daten und Informationen mit einem identifizierten Schutzbedarf vor Verlust, Manipulation sowie unerwünschter Offenlegung und damit auch den Schutz der entsprechenden Daten- und Informationsträger und Einrichtungen zur Daten- und Informationsverarbeitung. Auch Informationen auf Papier, digitale Datenträger und die verbale Informationsübertragung sind Gegenstand der Informationssicherheit. Im Unterschied zum Datenschutz beschränkt sie sich nicht auf personenbezogene Daten, sondern erstreckt sich auf alle Daten.

Vertraulichkeit von Daten und Informationen bedeutet, dass nur befugte Personen auf die Daten zugreifen können. Integrität bedeutet, dass Daten nicht manipuliert oder beschädigt werden. Authentizität bedeutet, dass Daten jederzeit ihrem Ursprung zugeordnet werden können. Die Verfügbarkeit bezieht sich darauf, dass Daten verwendet werden können, wenn man sie benötigt.

NIS-2-Richtlinie erfordert NISG 2024 in Österreich

In dem Bestreben die Mitgliedsländer der Europäischen Union besser vor Cyberangriffen und Cyberkriminalität zu schützen, hat die EU am 14. Dezember 2022 die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) beschlossen. Sie ist am 16. Januar 2023 in Kraft getreten und ersetzt die bisherige NIS-Richtlinie aus dem Jahr 2016. Dazu müssen die Mitgliedstaaten die neue Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Die Cybersicherheitsstandards der NIS-2-Richtlinie müssen ab 18. Oktober 2024 angewendet werden.

Seit 3. April 2024 liegt ein Begutachtungsentwurf für ein „Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024)“ vor (https://www.parlament.gv.at/gegenstand/XXVII/ME/326), durch welches die NIS-2-Richtlinie in Österreich umgesetzt werden soll.

Hinweis:

Die Gesetzwerdung bleibt noch abzuwarten, ursprünglich sollte das Gesetz bereits mit 18. Oktober 2024 in Kraft treten, derzeit sieht es jedoch danach aus, als wäre erst im Jahr 2025 mit einem Inkrafttreten zu rechnen.

Durch Einhaltung der Vorschriften soll das Cybersicherheitsniveau privater und öffentlicher Einrichtungen in Österreich verbessert und die Widerstandsfähigkeit Österreichs im Cyberraum erhöht werden. Mit den in der NIS-2-Richtlinie und dem NISG 2024 vorgeschriebenen Maßnahmen sollen die Resilienz und die Reaktionsfähigkeit des öffentlichen und privaten Sektors auf Cybersicherheitsvorfälle in der EU erhöht werden. Betroffene Einrichtungen haben geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme zu treffen und unterliegen Meldepflichten im Falle eines erheblichen Cybersicherheitsvorfalls.

Zusammenspiel und Unterschiede zwischen DSGVO/DSG und NIS-2/NISG 2024

Zwischen den Anforderungen der DSGVO und des DSG an die Sicherheit personenbezogener Daten und jenen der NIS-2-Richtlinie und des Netz- und Informationssicherheitsgesetzes 2024 (NISG 2024) besteht eine enge Verbindung. Datenschutz und Netz- oder Informationssicherheit sind jedoch zwei getrennte Rechtsregime. Die NIS-2-Richtlinie lässt die Zuständigkeiten, Aufgaben und Befugnisse der Datenschutzbehörde gem DSGVO und DSG unberührt (vgl ErwGr 14 NIS-2-Richtlinie; § 21 Abs 1 NISG 2024). Jede Verarbeitung personenbezogener Daten im Rahmen der NIS-2-Richtlinie bzw des NISG 2024 unterliegt auch der DSGVO.

Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten, die gem Art 5 Abs 1 lit f DSGVO in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Der Verantwortliche für die Verarbeitung personenbezogener Daten hat gem Art 24 iVm Art 25 und 32 DSGVO geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO erfolgt und ein dem Risiko angemessenes Schutzniveau gewährleistet wird.

Ziel von NIS-2 und dem NISG 2024

Die NIS-2-Richtlinie und das NISG 2024 adressieren den Schutz von Netzwerk- und Informationssystemen. Gem § 32 NISG 2024 (Art 21 NIS-2-Richtlinie) haben wesentliche und wichtige Einrichtungen iSd NISG 2024 technische, operative und organisatorische Risikomanagementmaßnahmen umzusetzen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Cybersicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.

Das NISG 2024 legt Maßnahmen fest, mit denen ein hohes Cybersicherheitsniveau im Bereich der digitalen Infrastruktur und von wesentlichen und wichtigen Einrichtungen in folgenden Sektoren erreicht werden soll (§ 2 NISG 2024):

  1. Energie,
  2. Verkehr,
  3. Bankwesen,
  4. Finanzmarktinfrastrukturen,
  5. Gesundheitswesen,
  6. Trinkwasser,
  7. Abwasser,
  8. Digitale Infrastruktur,
  9. Verwaltung von IKT-Diensten (Business-to-Business),
  10. öffentliche Verwaltung,
  11. Weltraum,
  12. Post- und Kurierdienste,
  13. Abfallbewirtschaftung,
  14. Produktion, Herstellung und Handel mit chemischen Stoffen,
  15. Produktion, Verarbeitung und Vertrieb von Lebensmitteln,
  16. Verarbeitendes Gewerbe/Herstellung von Waren,
  17. Anbieter digitaler Dienste,
  18. Forschung.

Pflichten aus dem NISG 2024

Selbsteinstufung

  • Größenunabhängige Einstufung als wesentliche oder wichtige Einrichtung gem § 24 NISG 2024 (insbesondere digitale Infrastruktur, kritische Infrastruktur, per Bescheid eingestufte Einrichtungen)
  • Ermittlung der Größe der Einrichtung inkl verbundene Unternehmen und Partnerunternehmen
  • Einstufung als wesentliche oder wichtige Einrichtung gem Anlage 1 und 2 NISG 2024

Registrierung

Registrierung bei der Cybersicherheitsbehörde im Falle einer Einstufung als wesentliche oder wichtige Einrichtung

Risikomanagement

Durchführung einer Risikoanalyse und Entwicklung einer Cybersicherheitsstrategie

Festlegung und dauerhaftes Ergreifen von Risikomanagementmaßnahmen

Berichtspflichten

Frühwarnung, Meldung und Berichtslegung von (Beinahe-) Sicherheitsvorfällen an die zuständige CSIRT

Selbstdeklaration

Selbstdeklaration hinsichtlich der umgesetzten Risikomanagementmaßnahmen nach Aufforderung durch die Cybersicherheitsbehörde

Audit

Nachweis der Wirksamkeit der Risikomanagementmaßnahmen nach Selbstdeklaration (wesentliche Einrichtungen) bzw nach Aufforderung durch die Cybersicherheitsbehörde (wichtige Einrichtungen) durch ein entsprechendes Audit

Ähnliche Beiträge

  • Gewerbeordnungs-Novelle 2024: Wichtige Neuerungen

    Zum Beitrag
  • DORA-Verordnung – die Umsetzungsfrist rückt näher

    Zum Beitrag
  • Hinweisgeberschutz gilt jetzt auch für Unternehmen ab 50 Mitarbeitern

    Zum Beitrag

Produkt-Empfehlungen

Seminar-Empfehlungen

Produkt-Empfehlungen

Seminar-Empfehlungen