Risikomanagementmaßnahmen gemäß NIS-2 und NISG 2026

Überblick zu den Neuerungen durch NIS-2

Für die betroffenen (wesentlichen und wichtigen) Einrichtungen gibt es neben Registrierungs-, Melde- und Berichtspflichten vor allem eine wichtige Neuerung: viele von ihnen sind nun erstmals gesetzlich verpflichtet, in ihrem Bereich entsprechende Cybersicherheitsmaßnahmen umzusetzen.
Zwar liegen die Etablierung eines ordnungsgemäßen Sicherheits- und Risikomanagements und die Umsetzung von entsprechenden Risikomanagementmaßnahmen für Netz- und Informationssysteme im ureigensten Interesse jeder Einrichtung und sollten eigentlich auch ohne gesetzliche Vorgaben eine Selbstverständlichkeit sein, dennoch bringen die gesetzlichen Vorgaben eine neue Dimension an Anforderungen mit sich. Betroffene Einrichtungen sind in Zukunft verpflichtet, eine Selbst­ein­schätzung ihrer (Cyber-)Sicherheit an die Behörden zu melden, wesentliche Einrichtungen müssen zudem einen Nachweis der Wirksamkeit ihrer Risikomanagementmaßnahmen durch eine Prüfung durch unabhängige Dritte, sog. unabhängige Stellen, erbringen. 

 

Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Die von NIS-2 bzw. dem österreichischen NISG 2026 betroffenen Einrichtungen sind verpflichtet, angemessene Maßnahmen zu ergreifen, um die Risiken für ihre Netz- und Informationssysteme soweit wie möglich zu reduzieren, also Sicherheitsvorfälle weitestgehend zu verhindern bzw. die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Die Anforderungen dazu finden sich in Art. 21 NIS-2-Richtlinie bzw. fast wortgleich in § 32 NISG 2026. Sie gelten für wesentliche und wichtige Einrichtungen gleichermaßen.

Die Risikomanagementmaßnahmen müssen risikobasiert sowie geeignet und verhältnismäßig sein.

Ausgangspunkt ist also, wie auch in mittlerweile vielen anderen Gesetzeswerken, eine Risikoanalyse, auf deren Basis anschließend geeignete Maßnahmen („Risikomanagementmaßnahmen“) auszuwählen sind.

 

§ 32 (4) NISG 2026 listet in zehn Punkten die Mindestinhalte auf, die durch die Sicherheits­maßnahmen abzudecken sind:

a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;

b) Bewältigung von Cybersicherheitsvorfällen;

c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;

d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern […];

e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;

f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;

g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;

h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;

 i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;

 j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

 

Diese Aufzählung ist naturgemäß sehr knapp gehalten und ermöglicht große Spielräume in der Um­setzung. Da es aber erklärtes Ziel der NIS-2-Richtlinie ist, ein möglichst konsistentes Sicherheits­niveau über alle Einrichtungen und Mitgliedsstaaten zu etablieren, sind weitere Vorgaben erforderlich.

Das NISG 2026 ermächtigt die Cybersicherheitsbehörde, nähere Anforderungen zur Konkretisierung der Risikomanagementmaßnahmen mittels Verordnung festzulegen. Dabei kann die Cybersicherheits­behörde insbesondere anordnen, dass Durchführungsrechtsakte zur Festlegung technischer und methodischer Anforderungen an Risikomanagementmaßnahmen, die von der Europäischen Kommission auf Grundlage des Art. 21 Abs. 5 NIS-2-Richtlinie hinsichtlich einzelner Sektoren oder bestimmter Arten von Einrichtungen erlassen werden, auch auf andere Sektoren oder Arten von Einrichtungen anwendbar sind (§ 32 Abs. 5 NISG 2026).

Ein wichtiger erster Schritt zur Harmonisierung der Risikomanagementmaßnahmen ist die bereits existierende Durchführungsverordnung der EU 2024/2690 vom 17. Oktober 2024¹. Sie gilt für definierte Bereiche der digitalen Infrastruktur, Verwaltung von IKT-Diensten (B2B) und Anbieter digitaler Dienste (s. Fußnote 1), es ist aber davon auszugehen, dass sie auch für andere Sektoren entweder direkt anwendbar wird oder als Vorbild für sektorspezifische Vorgaben dient.

Es lohnt also, einen Blick auf die Inhalte dieser Durchführungsverordnung zu werfen.

 

Die Durchführungsverordnung EU 2024 /2690

Der Hauptteil der Durchführungsverordnung besteht in der Präzisierung der Fälle, in denen ein Sicher­heitsvorfall im gegebenen Anwendungsbereich als erheblich gilt und damit berichtspflichtig ist, durch Definition von Schwellwerten.

Für unsere nachfolgenden Betrachtungen relevant ist der Anhang der Verordnung, wo in insgesamt 13 Kapiteln 161 technische und methodische Anforderungen an die Risikomanagementmaßnahmen formuliert werden, die zur Präzisierung und Harmonisierung dieser Maßnahmen in den Anwendungsbereichen der Verordnung dienen sollen.

 

Nachfolgend ein Überblick über die wichtigsten Anforderungen:

Die Kapitel 1 und 2 präzisieren lit a der NIS-2-Richtlinie und enthalten die grundlegenden konzeptionellen Anforderungen. Gefordert wird u.a. ein Sicherheitsmanagementkonzept für die Netz- und Informationssysteme, die Festlegung von Rollen, Verantwortlichkeiten und Weisungsbefugnissen im Bereich Sicherheit sowie die Etablierung eines umfassenden Konzeptes zum Risikomanagement, angefangen von der Risikoanalysemethode und den Risikoakzeptanzkriterien über Risikobewertung und -behandlung bis zur Überwachung der Einhaltung und unabhängigen Überprüfungen.
Diese Konzepte stellen die Basis für alle nachfolgenden Überlegungen und Maßnahmen dar.

Die Kapitel 3 und 4 beziehen sich auf lit b und c und zeigen den Stellenwert der Themen Business Continuity und Vorfallsmanagement, die ja zu den Kernanforderungen von NIS-2 zählen. Gefordert sind umfangreiche Konzepte für den Umgang mit Sicherheitsvorfällen und deren Aufarbeitung, inkl. Protokollierung und Meldung. Weitere wichtige Anforderungen in diesem Bereich sind Backup-Konzepte, Notfallpläne und Verfahren für das Krisenmanagement.

Ein Thema, das in NIS-2 und damit auch im NISG 2026 sehr hohen Stellenwert hat, ist die Frage nach der Sicherheit der Lieferketten. Die Erfahrungen der letzten Jahre haben zunehmend gezeigt, welche Bedeutung die Sicherheit der Lieferanten und Diensteanbieter für die Sicherheit und Funktionsfähig­keit einer Einrichtung haben kann, und wie schnell es hier zu gravierenden Problemen bei einer sonst sehr gut aufgestellten Einrichtung kommen kann. Kapitel 5 der Durchführungs­ver­ordnung fordert in Präzisierung von lit d umfangreiche Konzepte für die Sicherheit der Lieferketten, wobei die betreffenden Einrichtungen – soweit anwendbar – die Ergebnisse koordinierter Sicherheitsrisiko­bewertungen kritischer Lieferketten auf EU-Ebene (gemäß Art. 22 Abs. 1 der NIS-2-Richtlinie) berücksichtigen müssen.

In Kapitel 6 Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen finden sich viele der „klassischen Sicherheitsanforderungen“ wieder, wie sie im Lebenszyklus eines IT-Systems auftreten. Das Kapitel ist daher entsprechend umfangreich und enthält Anforderungen wie sicherer Erwerb bzw. sichere Ent­wicklung von Netz- und Informationssystemen (einschließlich Software), Testpläne, Konfigurations- und Änderungsmanagement, Patchmanagement, Netzsegmentierung und -sicherheit sowie Schutz gegen Schadsoftware.

Weitere klassische Sicherheitsanforderungen finden sich in Kapitel 11 Zugriffskontrolle und Kapitel 12 Anlagen- und Wertemanagement, die gemeinsam einen Großteil der Anforderungen gem. lit i und j abdecken. Gefordert werden u.a. Konzepte für die Kontrolle von Zugriffsrechten, Rechteverwaltung, Konzepte für Identifizierung und Authentifizierung, sowie – schon in Art. 22 Abs. 2 sehr prominent hervorgehoben - Multifaktor-Authentifizierung. Die Forderung nach einem vollständigen, aktuellen und kohärenten Inventar von Anlagen und Werten (assets) sowie ein durchgängiges Assetmanagement vervollständigen die Anforderungen in diesem Bereich.

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit lt. lit f stellen einen weiteren Kernpunkt der geforderten Maßnahmen dar, sie werden in Kapitel 7 präzisiert.

Es ist bemerkenswert, dass dem Thema „kryptographische Verfahren“ ein eigener Punkt in Art. 21, nämlich lit h, gewidmet ist und in Entsprechung dessen mit Kapitel 8 ein eigenes Kapitel in der Durchführungsverordnung. Dies zeigt, dass – wenn auch in NIS-2 das Schutzziel der Verfügbarkeit, also die zeitgerechte Verfügbarkeit von Systemen, Diensten und Daten, im Vordergrund steht -, auch die Schutz­ziele Vertraulichkeit, Integrität und Authentizität sicherzustellen sind. Dies soll (auch) durch kryptographische Verfahren bewerkstelligt werden. Gefordert sind dazu – soweit angemessen – entsprechende kryptographische Algorithmen und Protokolle und ein umfassendes kryptographisches Schlüsselmanagement.

Vorgaben zu Schulungen und Sensibilisierung (Kapitel 8), zur personellen Sicherheit (Kapitel 9) und zur physischen Sicherheit (Kapitel 13) runden die Anforderungen ab.

Auch die Durchführungsverordnung gibt keine konkreten Vorgaben zu Sicherheitsmaßnahmen, dies wäre technisch gar nicht möglich und würde auch dem risikobasierten Ansatz widersprechen. „Standardsicherheitsmaßnahmen“, die für alle gelten, sind in unserer komplexen Welt und in dem breiten Anwendungsbereich, den die NIS-2-Richtlinie umfasst, unmöglich – „one-size-fits-all“ gilt leider schon lange nicht mehr.

Die Durchführungsverordnung ist vielmehr eine generische Aufzählung und Präzisierung der grundlegenden Anforderungen zu den Risikomanagementmaßnahmen, wie sie NIS-2 und das NISG 2026 fordern. Sie beschreibt, „WAS“ zu machen ist, das „WIE“ der konkreten Maßnahmenauswahl und Umsetzung bleibt den betroffenen Einrichtungen überlassen.

 

Die Auswahl von Risikomanagementmaßnahmen

Bei der Auswahl der konkreten Risikomanagementmaßnahmen sind die betroffenen Einrichtungen gut beraten, auf bewährte Methoden und Standards im Bereich Informationssicherheit/Cybersicher­heit zurückzugreifen.

Generell setzt die EU im Cybersicherheitsbereich verstärkt auf den Einsatz internationaler Standards und Zertifizierungen.

 

Nachweis der Wirksamkeit

Ein wesentlicher Punkt in der Umsetzung des NISG 2026 ist es, die Wirksamkeit der Risiko­management­maßnahmen nachzuweisen. Dies erfolgt in zwei Schritten:

Schritt 1: Selbstdeklaration

Wesentliche und wichtige Einrichtungen haben innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht, also bis spätestens 30.9.2027, der Cybersicherheitsbehörde Informationen hinsichtlich der umgesetzten Risikomanagementmaßnahmen gemäß § 32 in strukturierter Form zu übermitteln. Diese Selbstdeklaration soll einen ersten Eindruck über den Reifegrad der Risikomanagementmaßnahmen einer Einrichtung geben und wird voraussichtlich in Form eines von der Cybersicherheitsbehörde erstellten Fragebogens erfolgen.

Die Einrichtungen sind verpflichtet, den Fragebogen wahrheitsgemäß auszufüllen. Strafen alleine aufgrund schlechter Ergebnisse sind gem. § 45 Abs 1 Z 3 NISG 2026 nicht vorgesehen, sehr wohl gibt es aber Strafdrohungen bei Fristversäumnissen und bei Verstößen gegen die Wahrheitspflicht.

Schritt 2: Prüfung durch unabhängige Stelle

Dies betrifft grundsätzlich wesentliche Einrichtungen, in Einzelfällen bzw. bei begründetem Verdacht (z.B. aus der Selbstdeklaration) können auch wichtige Einrichtungen einer Prüfung durch eine unabhängige Stelle zu unterziehen sein (§ 38 Abs. 2 NISG 2026).

Die Cybersicherheitsbehörde kann frühestens nach Ablauf von zwei Jahren ab Inkrafttreten des NISG 2026, also ab 01.10.2028, Einrichtungen zur Nachweiserbringung gemäß § 33 Abs. 2 NISG 2026 auffordern. Handelt es sich um eine wesentliche Einrichtung, muss diese binnen zwei Monaten nach Aufforderung die operative sowie organisatorische Umsetzung der Risikomanagementmaßnahmen nachweisen, der Nachweis der technischen Umsetzung von Risikomanagementmaßnahmen gemäß § 32 muss innerhalb von zwei Jahren ab Aufforderung durch die Cybersicherheitsbehörde erfolgen. Für wichtige Einrichtungen gilt generell eine Frist von zwei Jahren.

Die betroffenen Einrichtungen müssen der Behörde einen von einer unabhängigen Stelle gemäß § 7 NISG 2026 erstellten Prüfbericht übermitteln, um die angemessene Umsetzung von Risiko­manage­men­tmaßnamen gemäß § 32 nachweisen. Der Prüfbericht ist nach den Vorgaben der Cybersicher­heits­­behörde in strukturierter Form zu erstellen und zu übermitteln und muss die Umsetzung der Maßnahmen, festgestellte Mängel und einen Maßnahmenplan zur Beseitigung der Mängel enthalten.

Alternativ zu einer organisatorischen Prüfung kann die jeweilige Einrichtung auch einschlägige gültige Zertifikate (die Erläuterungen zur Regierungsvorlage zum NISG 2026 führen hier als Beispiel Zertifikate aus der ISO/IEC 27001-Serie an) als Nachweis der organisatorischen sowie operativen Umsetzung von Risikomanagementmaßnahmen vorlegen.

 

 

Fazit

Von NISG 2026 betroffene Einrichtungen sollten, so nicht bereits erfolgt, ehestmöglich beginnen, ihre Risikomanagementmaßnahmen zu überprüfen und ggf. anzupassen und zu ergänzen. Dazu sind fehlende Maßnahmen etwa in Form einer Gap-Analyse zu ermitteln und ihre Umsetzung zu planen. Bestehende Risikomanagementmaßnahmen im Bereich der Cybersicherheit sollten NIS-2-konform aufbereitet und dokumentiert werden.

 

 

Zur Person: Ingrid Schaumüller-Bichl ist Expertin für Informationssicherheit und Datenschutz. Als emeritierte Professorin der FH OÖ stellt sie ihre Expertise etwa dem Österreichischen Datenschutzrat oder dem ASI (Austrian Standards Institute) zur Verfügung. Zudem ist Ingrid Schaumüller-Bichl als Referentin und Aufsichtsrätin tätig.