Die neue Richtlinie (EU) 2022/2555, bekannt als NIS2, verfolgt das Ziel, das Niveau der Cybersicherheit innerhalb der Europäischen Union zu steigern. Sie löst die bisherige NIS-Richtlinie ab und erweitert deren Vorgaben um zahlreiche zusätzliche Anforderungen. Dazu zählen beispielsweise ein umfassendes Risikomanagement entlang der gesamten Lieferkette, verschärfte Meldepflichten sowie eine deutlich intensivere Überprüfung der Sicherheitsmaßnahmen.
Zusammengefasst: Unternehmen, die bisher davon ausgingen, von strengen Cybersecurity-Anforderungen nicht betroffen zu sein, werden durch NIS2 künftig ebenfalls in die Pflicht genommen.
Aktueller Stand in Österreich
Der formale Umsetzungsstatus der Richtlinie in Österreich befindet sich derzeit noch in einem Übergangszustand. Die NIS2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und hätte bis spätestens 17. Oktober 2024 von allen EU-Mitgliedstaaten in nationales Recht überführt werden müssen.
In Österreich liegt aktuell jedoch noch kein vollständig verabschiedetes Gesetz vor, das sämtliche Anforderungen der NIS2-Richtlinie abbildet. Nach Einschätzung der Wirtschaftskammer Österreich sowie weiterer Fachquellen ist mit einem neuen Gesetz (voraussichtlich „NISG 2026“) zu rechnen; ein konkreter Zeitpunkt für dessen Inkrafttreten steht bislang jedoch aus.
Gegen Österreich läuft derzeit ein Vertragsverletzungsverfahren der Europäischen Kommission, da die Umsetzungsfrist nicht eingehalten wurde.
Fazit: Obwohl die Vorgaben der bisherigen NIS-Richtlinie nicht mehr ausreichen, ist die finale Rechtslage in Österreich noch nicht abschließend geregelt. Unternehmen sollten sich dennoch frühzeitig auf die Anforderungen der NIS2-Richtlinie vorbereiten.
Für welche Unternehmen wird es relevant?
Viele denken: „Ich bin klein, das betrifft mich nicht.“ Tatsächlich aber wird NIS2 den Kreis der betroffenen Unternehmen deutlich ausweiten:
Betroffen sind nicht nur große Konzerne, sondern auch mittlere Unternehmen mit z. B. 50–249 Mitarbeitenden oder Umsatz/Bilanzgrößen innerhalb der Schwellenwerte. Auch kleine Unternehmen bis zu 50 Mitarbeitenden fallen in Bereichen der digitalen Infrastruktur in den Anwendungsbereich.
Es wird zwischen „wesentlichen Einrichtungen“ (höheres Risiko, stärkere Aufsicht) und „wichtigen Einrichtungen“ unterschieden.
Rund 4.000 Unternehmen in Österreich werden laut Schätzungen durch NIS2 betroffen sein (im Vergleich zu etwa 100 unter der bisherigen Regelung) – insbesondere jene in Sektoren wie Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur.
Kurz: Auch wenn Ihr Unternehmen bislang unter dem alten Rahmen nicht erfasst war – mit NIS2 kann sich das ändern.
Wichtig: Auch wenn Ihr Unternehmen nicht direkt im Anwendungsbereich der NIS2-Richtlinie liegt, können Sie dennoch indirekt betroffen sein. Viele Unternehmen werden von ihren Geschäftspartnern, Kunden oder Auftraggebern – insbesondere, wenn diese als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft sind – dazu verpflichtet, bestimmte Sicherheitsmaßnahmen einzuhalten. Das betrifft vor allem Unternehmen, die Teil einer Lieferkette sind oder als Dienstleister agieren. Häufig machen größere, regulierte Unternehmen die Einhaltung von NIS2-Anforderungen zur Bedingung für die Zusammenarbeit. Deshalb sollten auch Unternehmen außerhalb des direkten Anwendungsbereichs prüfen, inwiefern sie über die Lieferkette gefordert sind, entsprechende Maßnahmen umzusetzen.
NIS2-Umsetzung: Übersichtliche Handlungsempfehlungen für Unternehmen
Warum Sie jetzt aktiv werden sollten
Auch wenn Ihr Unternehmen bislang vom alten Regelwerk nicht betroffen war, kann die NIS2-Richtlinie neue Anforderungen mit sich bringen. Selbst Unternehmen außerhalb des direkten Geltungsbereichs können durch Kunden, Geschäftspartner oder Lieferanten zur Einhaltung verpflichtet werden – vor allem, wenn diese als „wesentliche“ oder „wichtige Einrichtungen“ gelten.
Schritt-für-Schritt: So bereiten Sie sich optimal vor
1. Anwendungsbereich prüfen
- Hat Ihr Unternehmen mehr als 50 Mitarbeitende oder relevante Umsätze/Bilanzsummen?
- Ist Ihre Branche betroffen? (z. B. Energie, Transport, IT-Dienstleistungen, Gesundheitswesen)
- Gehören Ihre Produkte oder Dienstleistungen zu den „wesentlichen“ oder „wichtigen“ Bereichen?
2. Risikoanalyse & Sicherheitsstatus erfassen
- Wo stehen Sie aktuell bei der Netz- und Informationssicherheit?
- Welche Schwachstellen und Risiken bestehen – vor allem in der Lieferkette?
- Sind Ihre Prozesse zur Erkennung und Meldung von Cybervorfällen ausreichend?
3. Organisatorische & technische Maßnahmen planen
- Verantwortlichkeiten auf Leitungsebene klar definieren – unter NIS2 ist die Geschäftsführung stärker eingebunden.
- Orientierung an Standards wie ISO/IEC 27001: Bestehende Sicherheitsmanagementsysteme überprüfen und ausbauen.
- Prozesse zur Vorfallmeldung etablieren (z. B. 24h-Meldepflicht, 72h-Ersteinschätzung).
- Lieferkettensicherheit beachten: Dienstleister und Zulieferer in Maßnahmen einbinden.
4. Budget & Ressourcen sicherstellen
- Rechtzeitig Personal, technische Mittel und Prozesse planen.
- Budget- und Projektplanung früh beginnen – nicht erst nach Inkrafttreten des Gesetzes.
5. Sensibilisierung & Awareness stärken
- Mitarbeitende auf neue Bedrohungen (Phishing, Social Engineering, Lieferketten-Risiken) vorbereiten.
- Die Leitungsebene in alle Prozesse einbinden – Cybersecurity ist Management-Thema.
Blick nach vorne: Was passiert als Nächstes?
Der parlamentarische Prozess zum neuen NISG (Netz- und Informationssystemsicherheitsgesetz) läuft – Details und Zeitpunkt sind noch offen. Nach Verabschiedung beginnt voraussichtlich eine Übergangsphase, die Sie für die weitere Vorbereitung nutzen sollten. Sobald das Gesetz gilt, sind Registrierungspflichten und Sanktionen klar geregelt. Frühzeitige Vorbereitung sichert Wettbewerbsvorteile – etwa als vertrauenswürdige Partner, mit weniger Risiko und höherer Resilienz.
Konkret empfohlen
- Verknüpfen Sie NIS2-Anforderungen mit bestehenden Standards wie ISO 27001, ISO 9001 oder ISO 45001, um Doppelarbeit zu vermeiden.
- Setzen Sie eine Arbeitsgruppe auf, die einmal jährlich den NIS2-Readiness-Status prüft und Verbesserungsmaßnahmen priorisiert.
- Dokumentieren Sie Maßnahmen, Verantwortlichkeiten und Zeitpläne transparent, z. B. im Rahmen Ihres Risikomanagements oder Ihrer Auditplanung.