NIS-2: die neue EU-Richtlinie für Cybersicherheit im Überblick
Mit der Richtlinie der EU zur Netzwerk- und Informationssicherheit (NIS-2) werden Maßnahmen zur Cybersicherheit für rund 4.000 österreichische Unternehmen verpflichtend. Welche Anforderungen die Richtlinie mit sich bringt und wie sich Betroffene vorbereiten können.

„Network and Information Security (NIS) Directive“ heißt die Richtlinie, mit der die EU für mehr Cyber-Resilienz von Unternehmen und Institutionen sorgen will. NIS-2 ist die europäische Antwort auf die wachsende Zahl und Komplexität von Bedrohungen im digitalen Raum; sie soll das Sicherheitsniveau in den Mitgliedstaaten auf ein einheitlich hohes Niveau bringen. Die Richtlinie trat im Jänner 2023 in ihrer zweiten Auflage (NIS-2) in Kraft und musste von den Mitgliedstaaten bis 17. Oktober 2024 in nationales Recht umgesetzt werden.
Welche Vorgaben im Hinblick auf Cybersicherheit in Unternehmen und Institutionen in der EU aktuell gelten, können Sie in unserem Artikel NIS-Richtlinie und NIS-Gesetz nachlesen.
Umsetzung von NIS-2 rechtzeitig vorbereiten
Noch wurde in Österreich kein entsprechendes NIS-Gesetz beschlossen. Die Europäische Kommission hat daher mit der Übermittlung eines Aufforderungsschreibens bereits ein Vertragsverletzungsverfahren gegen Österreich, aber auch andere säumige Mitgliedstaaten eingeleitet. Die Umsetzung von NIS-2 lässt noch auf sich warten, da sie vom parlamentarischen Gesetzgebungsprozess abhängt, wird aber für 2025 erwartet. Betroffene Einrichtungen sollten sich daher rechtzeitig mit den neuen Anforderungen auseinandersetzen.
Welche Neuerungen bringt NIS-2?
Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen, Meldepflichten und die Sanktionen bei Nichterfüllung der Vorgaben. Bisher waren einige wenige Sektoren und rund 100 Unternehmen in Österreich von den Vorgaben der NIS-Richtlinie betroffen. Mit NIS-2 werden diese nun auf rund 4.000 Unternehmen und Einrichtungen aus 18 Sektoren ausgeweitet. Ziel ist es, ein hohes Maß an Cybersicherheit in allen Bereichen zu gewährleisten, die für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten wichtig sind.
Betroffenenkreis deutlich ausgeweitet
Davon erfasst sind zum einen große Unternehmen mit mindestens 250 Beschäftigten und einem Jahresumsatz von mehr als 50 Millionen Euro oder einer Bilanzsumme von über 43 Millionen Euro; zum anderen mittlere Unternehmen mit 50 bis 249 Beschäftigten und einem Jahresumsatz zwischen 10 und 50 Millionen Euro bzw. einer Bilanzsumme zwischen 10 und 43 Millionen Euro. Kleinbetriebe mit weniger als 50 Beschäftigten und unter 10 Millionen Euro Jahresumsatz bzw. Bilanzsumme fallen nicht unter NIS-2.
Gerade für Unternehmen, deren Tätigkeiten für Gesellschaft, Wirtschaft oder für bestimmte Sektoren – etwa Energie, Verkehr, Bank- und Gesundheitswesen – besonders relevant sind, sieht die Richtlinie zahlreiche Regelungen vor. Auch kritische Sektoren wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie und Lebensmittel werden in die Pflicht genommen.
Zentrale Themen der NIS-2-Richtlinie
Cyber-Risikomanagement, der Umgang mit Zwischenfällen und die Sicherstellung der Geschäftskontinuität durch Back-up- und Krisenmanagementmaßnahmen –diesen Themen misst die neue Richtlinie besonders große Bedeutung zu. Die betroffenen Unternehmen und Organisationen müssen beispielsweise durch den Einsatz von Kryptografie und Verschlüsselungstechnologie in ihren eigenen Informationssystemen, aber auch entlang der Lieferkette für Sicherheit sorgen. Außerdem sind Cyberhygieneverfahren sowie Schulungen, Fort- und Weiterbildungen im Bereich der Cybersicherheit umzusetzen und sichere Sprach-, Video- und Textkommunikation zu gewährleisten.
Meldepflicht als Frühwarnsystem
Bei schwerwiegenden Cybersicherheitsvorfällen haben Unternehmen künftig auch Meldepflichten zu beachten. Wurde ein Problem erkannt, haben sie 24 Stunden Zeit, um den Vorfall an die nationale Cybersicherheitsbehörde (Cybersecurity Emergency Response Team, CERT.at) zu melden. Binnen 72 Stunden muss das Unternehmen seine erste Einschätzung des Cybersicherheitsvorfalls der zuständigen nationalen Stelle übermitteln, ein Monat nach der Meldung ist eine ausführliche Beschreibung zu senden.
Strenge Strafen bei Verstößen gegen NIS-2
Betriebe, die diese Regeln nicht einhalten, haben je nach Unternehmensform und Tätigkeitsbereich mit einer Geldstrafe von bis zu 10 Millionen Euro oder zwei Prozent ihres weltweiten Jahresumsatzes zu rechnen. Darüber hinaus kann die zuständige Behörde – in Österreich die NIS-Behörde im Innenministerium – Anweisungen zur Behebung von Sicherheitsmängeln erteilen. Auch Zertifizierungen und Genehmigungen für Dienste und Tätigkeiten der betroffenen Unternehmen können ausgesetzt werden. Für die Geschäftsleitung sieht die neue Richtlinie strengere Haftungsregeln vor.
Eine Orientierungshilfe, ob Ihr Unternehmen von den Vorgaben der NIS-2-Richtlinie betroffen sein könnte, bietet der Online-Ratgeber der Österreichischen Wirtschaftskammer. Das neue Netz- und Informationssystemsicherheitsgesetz (NISG 2024) – liegt noch nicht vor und ist daher im Ratgeber nicht berücksichtigt.
Erste Schritte zur Vorbereitung
Ist Ihr Unternehmen von NIS-2 erfasst, müssen Sie sich in einem ersten Schritt am Unternehmensserviceportal des Bundes registrieren. Im Bereich „Services“ können Sie Ihren Pflichten gemäß NISG dann laufend elektronisch nachkommen. Schon vor der Verabschiedung des neuen Gesetzes lohnt es sich, Budget und Ressourcen für die Umsetzung der Richtlinie einzuplanen. Zudem sollten Verantwortlichkeiten klar geregelt und Mitarbeitende mit der Überwachung der Maßnahmen betraut werden. Nach einer Risikoanalyse können die konkreten Maßnahmen schließlich ermittelt, umgesetzt und auf ihren Erfolg überprüft werden.
Sicherheit im eigenen Interesse
Die Bemühungen machen sich bezahlt: Betriebe können sich mithilfe von NIS-2-konformen Maßnahmen besser vor Cyberangriffen schützen, ihre Geschäftsprozesse sicherer abwickeln und das Risiko von Datenverlust oder Betriebsausfällen erheblich senken. Von NIS-2 erfasste Unternehmen tragen zur Steigerung der allgemeinen Cybersicherheit und Cyber-Resilienz unserer Gesellschaft bei.
Allgemeine Informationen zur NIS-2-Richtlinie bietet die Anlaufstelle Netz- und Informationssystemsicherheitsgesetz des Bundes. Weitere Infos können auf der Website des Bundeskanzleramtes sowie des Bundesministeriums für Inneres abgerufen werden.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria