Vom "wesentlichen Dienst" zur "wesentlichen" beziehungsweise "wichtigen" Einrichtung - und weitere ausgewählte Aspekte zur NIS-2-Richtlinie

Die NIS-2-Richtlinie¹¹Richtlinie (EU) 2022/2555 des europäischen Parlaments und des Rates vom 14. 12. 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 , ABl L 2022/333, 80; im Folgenden: NIS-2-RL. ist seit Jänner 2023 in Kraft und bis 17. 10. 2024 in nationales Recht umzusetzen. Künftig werden wesentlich mehr Unternehmen von den nationalen Umsetzungsrechtsakten betroffen sein, als dies beim bisherigen NISG²²Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz - NISG), BGBl 111/2018. der Fall war. Selbst für die bisherigen "Betreiber wesentlicher Dienste" iSd NISG bringt die neue Rechtslage Änderungen, ist doch eine Abgrenzung der Dienste in der NIS-2-RL nicht mehr vorgesehen und somit von den Mitgliedstaaten aus unionsrechtlichen Gesichtspunkten nicht weiter aufrechtzuerhalten. Diese Änderung und einige Auswirkungen werden in diesem Beitrag dargestellt.