Die NIS2-Richtlinie der EU ist seit Oktober 2024 in österreichisches Recht umgesetzt (NISG 2024) und betrifft erstmals auch viele kleine und mittlere Unternehmen. Was bedeutet das konkret für Ihr Unternehmen – und was müssen Sie jetzt tun?
Was ist die NIS2-Richtlinie?
NIS2 steht für „Network and Information Security Directive 2″ – die zweite europäische Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die bisherige NIS1-Richtlinie und erweitert den Anwendungsbereich erheblich: Statt bisher einigen hundert betroffenen Unternehmen in Österreich fallen nun geschätzt 5.000–8.000 österreichische Unternehmen unter die neue Regelung.
Wer ist betroffen?
Die NIS2-Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Grob gesagt sind Sie betroffen, wenn Ihr Unternehmen:
- Mehr als 50 Mitarbeitende oder mehr als 10 Millionen Euro Jahresumsatz hat
- In einem der 18 definierten kritischen Sektoren tätig ist
Zu den betroffenen Sektoren gehören unter anderem: Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur, IKT-Dienstleistungen, öffentliche Verwaltung – und neu: Post, Lebensmittel, Chemie, Maschinenbau, Abfallwirtschaft.
Wichtig für KMU: Auch wenn Sie selbst unter 50 Mitarbeitende haben, können Sie als Zulieferer oder IT-Dienstleister eines betroffenen Unternehmens indirekt zur Umsetzung verpflichtet werden.
Welche Maßnahmen sind konkret gefordert?
Das NISG 2024 schreibt konkrete technische und organisatorische Maßnahmen vor:
1. Risikomanagement
- Regelmäßige Risikoanalysen der IT-Infrastruktur
- Dokumentiertes Sicherheitskonzept
- Bewertung von Lieferketten-Risiken
2. Technische Sicherheitsmaßnahmen
- Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme
- Verschlüsselung von Daten in Übertragung und Speicherung
- Patch-Management: Regelmäßige Updates aller Systeme
- Netzwerksegmentierung
- Gesicherte Backups mit getesteten Wiederherstellungsverfahren
3. Incident Response
- Verfahren zur Erkennung von Sicherheitsvorfällen
- Meldepflicht: Schwerwiegende Vorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde (CERT.at) gemeldet werden
- Notfallplan und Business Continuity Management
4. Schulungen und Awareness
- Regelmäßige Sicherheitsschulungen für Mitarbeitende
- Schulung der Geschäftsführung zu Cybersicherheitsrisiken
- Phishing-Simulationen und Awareness-Programme
Welche Strafen drohen bei Nichteinhaltung?
Die Sanktionen sind erheblich und vergleichbar mit der DSGVO:
- Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes
- Persönliche Haftung der Geschäftsführung möglich
Die Aufsichtsbehörde in Österreich ist das Bundesamt für Cybersicherheit (BACS), das seit 2024 operativ tätig ist.
Was sollten KMU jetzt konkret tun?
Schritt 1: Betroffenheit prüfen
Prüfen Sie zunächst, ob Ihr Unternehmen unter NIS2 fällt. Das Bundesamt für Cybersicherheit stellt online einen Selbstauskunft-Fragebogen zur Verfügung. Im Zweifelsfall lohnt sich eine rechtliche und technische Beratung.
Schritt 2: GAP-Analyse durchführen
Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den NIS2-Anforderungen. Welche Maßnahmen fehlen? Wo bestehen Lücken bei Backups, MFA, Dokumentation oder Schulungen?
Schritt 3: Maßnahmenplan erstellen
Priorisieren Sie die fehlenden Maßnahmen nach Risiko und Aufwand. Technische Basismaßnahmen wie MFA und Backup-Konzepte können oft schnell umgesetzt werden. Komplexere Prozesse wie Incident Response benötigen mehr Zeit.
Schritt 4: Registrierung beim BACS
Betroffene Unternehmen müssen sich beim Bundesamt für Cybersicherheit registrieren. Informieren Sie sich über die aktuellen Fristen auf der offiziellen BACS-Website.
Fazit: Jetzt handeln, nicht abwarten
NIS2 ist keine ferne Zukunft mehr – das NISG 2024 ist bereits in Kraft. Unternehmen, die jetzt handeln, haben Zeit für eine strukturierte Umsetzung. Wer wartet, riskiert nicht nur Bußgelder, sondern auch echte Sicherheitsvorfälle.
DATACREW unterstützt KMU in Oberösterreich bei der NIS2-Compliance – von der ersten Betroffenheitsprüfung über die GAP-Analyse bis zur technischen Umsetzung. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.