Am 03.04.2024 wurde der Gesetzesentwurf zum Netz- und Informationssystemsicherheitsgesetz, kurz auch als NISG 2024 bezeichnet, veröffentlicht. Dieses Gesetz soll die Cybersicherheit von Netz- und Informationssystemen regeln.
Nun ist die Frage für welche Unternehmen das NISG 2024 gilt?
Das Gesetz soll für alle Unternehmen der kritschen Infrastruktur gelten. Welche unter diesen Begriff fallen, geht aus der Richtlinie (EU) 2022/2557 oder aus dem Gesetzesentwurf selbst hervor. Dabei kommt es nicht auf die Unternehmensgröße an, sondern auf den Sektor dem das Unternehmen angehört.
Welche zentralen Pflichten werden durch das neue Gesetz eingeführt?
Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkraftreten des NISG 2024 registrieren. Eine Cybersicherheitsbehörde wird beim Innenministerium eingerichtet, diese führt ein Register mit allen betroffenen Unternehmen. Die Registrierung in diesem Register hat durch die Behörde selbst zu erfolgen.
Weiters sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten müssen beachtet werden. Die Leitungsorgane (zB Geschäftsführer:in der GmbH) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen. Sie haften für den schuldhaft verursachten Schaden und müssen an Cybersicherheitsschulungen teilnehmen.
Wie geht man mit erhebliche Cybersicherheitsvorfällen um?
Erhebliche Cybersicherheitsvorfälle müssen gemeldet werden. Hierfür wird ein eigenes Notfallteam geschaffen!
Wie meldet man erhebliche Cybersicherheitsvorfälle?
1. Innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls muss der Meldepflichtige eine Frühwarnung übermitteln, einschließlich möglicher rechtswidriger Handlungen oder grenzüberschreitender Auswirkungen.
2. Innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls muss der Meldepflichtige eine detaillierte Meldung erstatten, die eine erste Bewertung des Vorfalls sowie Kompromieerungsindikatoren enthält.
3. Auf Anfrage des CSIRT oder der Cybersicherheitsbehörde muss ein Zwischenbericht über relevante Statusaktualisierungen übermittelt werden.
4. Spätestens einen Monat nach der Meldung des Vorfalls muss der Meldepflichtige einen Abschlussbericht einreichen, der eine detaillierte Beschreibung des Vorfalls, Angaben zur Bedrohung und Ursachen sowie getroffene Abhilfemaßnahmen enthält.
Am 03.04.2024 wurde der Gesetzesentwurf zum Netz- und Informationssystemsicherheitsgesetz, kurz auch als NISG 2024 bezeichnet, veröffentlicht. Dieses Gesetz soll die Cybersicherheit von Netz- und Informationssystemen regeln.
Nun ist die Frage für welche Unternehmen das NISG 2024 gilt?
Das Gesetz soll für alle Unternehmen der kritschen Infrastruktur gelten. Welche unter diesen Begriff fallen, geht aus der Richtlinie (EU) 2022/2557 oder aus dem Gesetzesentwurf selbst hervor. Dabei kommt es nicht auf die Unternehmensgröße an, sondern auf den Sektor dem das Unternehmen angehört.
Welche zentralen Pflichten werden durch das neue Gesetz eingeführt?
Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkraftreten des NISG 2024 registrieren. Eine Cybersicherheitsbehörde wird beim Innenministerium eingerichtet, diese führt ein Register mit allen betroffenen Unternehmen. Die Registrierung in diesem Register hat durch die Behörde selbst zu erfolgen.
Weiters sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten müssen beachtet werden. Die Leitungsorgane (zB Geschäftsführer:in der GmbH) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen. Sie haften für den schuldhaft verursachten Schaden und müssen an Cybersicherheitsschulungen teilnehmen.
Wie geht man mit erhebliche Cybersicherheitsvorfällen um?
Erhebliche Cybersicherheitsvorfälle müssen gemeldet werden. Hierfür wird ein eigenes Notfallteam geschaffen!
Wie meldet man erhebliche Cybersicherheitsvorfälle?
1. Innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls muss der Meldepflichtige eine Frühwarnung übermitteln, einschließlich möglicher rechtswidriger Handlungen oder grenzüberschreitender Auswirkungen.
2. Innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls muss der Meldepflichtige eine detaillierte Meldung erstatten, die eine erste Bewertung des Vorfalls sowie Kompromieerungsindikatoren enthält.
3. Auf Anfrage des CSIRT oder der Cybersicherheitsbehörde muss ein Zwischenbericht über relevante Statusaktualisierungen übermittelt werden.
4. Spätestens einen Monat nach der Meldung des Vorfalls muss der Meldepflichtige einen Abschlussbericht einreichen, der eine detaillierte Beschreibung des Vorfalls, Angaben zur Bedrohung und Ursachen sowie getroffene Abhilfemaßnahmen enthält.