NISG-Prüfung

Eine NISG-Prüfung brauchen zur Zeit Betreiber wesentlicher Dienste (BwD) in folgenden Sektoren:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasserversorgung
• Digitale Infrastruktur

Die Betreiber wesentlicher Dienste müssen als Betroffene

• nachweisen, dass sie entsprechende Sicherheitsvorkehrungen im Sinne des NISG getroffen haben;
• nachweisen, dass die technischen und organisatorischen Sicherheitsvorkehrungen für die Bereitstellung des wesentlichen Dienstes geeignete sind, dem Stand der Technik entsprechen und dem Risiko angemessen sind;
• alle drei Jahre nach Zustellung des Bescheids durch eine Zertifizierung nachweisen, dass sie entsprechende Sicherheitsvorkehrungen getroffen haben.

Am 14. Dezember 2022 wurde die sogenannte NIS-2-Richtlinie von der EU in Kraft gesetzt. Als nationale Umsetzungsfrist sind 21 Monate vorgesehen, sodass ab 18. Oktober 2024 eine Novelle des österreichischen NISG und der Begleitverordnungen in Kraft treten werden.

Generell werden alle NIS-1-Betroffenen auch von der NIS-2 betroffen sein. Es wird in Zukunft aber zwischen Wesentliche Einrichtungen und Wichtige Einrichtungen unterschieden. Da neue Branchen und Bereiche hinzukommen und die Schwellwerte in den NIS-1-Betroffenen Bereichen wegfallen, erhöht sich die Zahl der betroffenen Einrichtungen massiv. Derzeitige Schätzungen gehen von ca. 900 Wesentlichen Einrichtungen und ca. 2.500 Wichtigen Einrichtungen aus.

Neben der Ausweitung der Anzahl der betroffenen Einrichtungen bilden die Haftung und Schulungsverpflichtung des Topmanagements und die stark gestiegenen Höchststrafen für die Einrichtungen einen geeigneten Hebel, um der neuen Richtlinie zu einer schnellen und angemessenen Umsetzung zu verhelfen.