NIS2 Österreich: Was Unternehmen beachten müssen

Das Wichtigste in Kürze:

NIS2 in Österreich - Ein Überblick über die neue Cybersicherheitsrichtlinie: Die digitale Transformation bringt zahlreiche Vorteile, stellt Unternehmen jedoch auch vor neue Herausforderungen im Bereich der Cybersicherheit. Um diesen Herausforderungen auf europäischer Ebene zu begegnen, wurde die NIS2-Richtlinie ins Leben gerufen. In diesem Artikel beleuchten wir die wichtigsten Aspekte der NIS2-Richtlinie in Österreich, beantworten zentrale Fragen und werfen einen kurzen Blick auf die Situation in der Schweiz.​ Allgemeine Informationen sowie eine Definition zu NIS2 finden Sie in unserem Blogartikel NIS2: Anforderungen, Strafen und Umsetzung.

NIS2 Gesetz Österreich: Grundlage und Zuständigkeiten

In Österreich wird die NIS 2 Richtlinie durch Anpassungen des bestehenden Netz- und Informationssystemsicherheitsgesetzes (NISG) in nationales Recht umgesetzt. Die Verantwortung für die Umsetzung liegt beim Bundesministerium für Inneres (BMI), welches in enger Zusammenarbeit mit der österreichischen Cyber-Sicherheitsbehörde (CERT.at) agiert. Ein zentraler Punkt der österreichischen Umsetzung ist die starke Betonung auf die Kooperation zwischen privaten und öffentlichen Institutionen. So wird beispielsweise ein Fokus darauf gelegt, regelmäßige Austauschplattformen und Meldeprozesse zwischen Unternehmen und Behörden zu etablieren.

Unterstützung für Unternehmen in Österreich

Österreichische Unternehmen können bei der Umsetzung der NIS-2-Richtlinie auf verschiedene Unterstützungsangebote zurückgreifen:​

• Wirtschaftskammer Österreich (WKO): Die WKO stellt umfangreiche Informationen, Leitfäden und Beratungsangebote zur Verfügung, um Unternehmen praxisnah bei der Umsetzung zu begleiten.
• Anlaufstelle NISG: Auf der offiziellen Plattform der österreichischen Regierung finden sich aktuelle Informationen zur Umsetzung des Gesetzes, inklusive FAQ, Ansprechpartner und rechtlicher Grundlagen.
• Zertifizierte IT-Dienstleister: Zahlreiche spezialisierte Unternehmen bieten Unterstützung in Form von Beratung, Risikoanalysen und Schulungen an, um die Einhaltung der NIS2-Anforderungen zu gewährleisten. Dabei empfiehlt es sich, auf Erfahrung in den Bereichen IT-Sicherheit, Compliance und Infrastrukturdokumentation zu achten.

Wer ist in Österreich von der NIS2-Richtlinie betroffen und was ist zu beachten?

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen und Organisationen erheblich. Betroffen sind insbesondere mittlere und große Unternehmen aus 18 festgelegten Sektoren, darunter Energie, Transport, Gesundheitswesen und digitale Infrastruktur. In Österreich werden schätzungsweise rund 4.000 Unternehmen von den neuen Regelungen erfasst. Mehr Informationen zur Betroffenheitsprüfung lesen Sie in unserem Blogartikel NIS2: Wer ist betroffen?

Betroffene Unternehmen müssen eine Reihe von Maßnahmen ergreifen, darunter:​

• Risikomanagement: Einführung geeigneter Maßnahmen zur Bewältigung von Cybersicherheitsrisiken.​
• Meldepflichten: Verpflichtung, erhebliche Sicherheitsvorfälle zeitnah den zuständigen Behörden zu melden.
• Lieferkettenmanagement: Sicherstellung, dass auch Dienstleister und Lieferanten angemessene Sicherheitsstandards einhalten.​

Die Nichteinhaltung dieser Pflichten kann zu erheblichen Sanktionen führen, einschließlich hoher Geldstrafen. In Österreich sieht der aktuelle Entwurf des Netz- und Informationssystemsicherheitsgesetzes (NISG 2024) vor, dass bei Verstößen Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden können – je nachdem, welcher Betrag höher ist.Zudem können bei besonders schwerwiegenden oder wiederholten Verstößen auch organisationsrechtliche Maßnahmen folgen, wie etwa die Aberkennung von Führungsfunktionen oder Anordnungen zur Umsetzung konkreter Sicherheitsmaßnahmen durch die Behörde.

NIS2 Richtlinie in Österreich: Die Unterschiede zu Deutschland

Ein wesentlicher Unterschied zur deutschen Umsetzung liegt in der Definition der Schwellenwerte für betroffene Organisationen. Während Deutschland klare Vorgaben zur Größe und Relevanz der betroffenen Unternehmen macht, verfolgt Österreich einen flexibleren Ansatz. Die österreichischen Schwellenwerte berücksichtigen nicht nur die Größe eines Unternehmens, sondern auch dessen sektorale Bedeutung und potenzielle Auswirkungen eines Ausfalls auf die nationale Sicherheit. Dies führt dazu, dass auch kleinere, aber für die Versorgung kritische Organisationen in den Anwendungsbereich der Richtlinie fallen können. In unserem Blogartikel NIS 2 Richtlinie: Umsetzung Deutschland durchleuchten wir die aktuelle Situation in Deutschland.

Fokus auf Schulung und Sensibilisierung

Darüber hinaus legt Österreich besonderen Wert auf die Schulung und Sensibilisierung von Mitarbeitern in kritischen Sektoren. Es werden Förderprogramme angeboten, um Unternehmen bei der Implementierung der geforderten Sicherheitsmaßnahmen zu unterstützen. Diese praxisorientierten Hilfestellungen unterscheiden sich von der deutschen Umsetzung, die stärker auf formelle Regularien und Kontrollmechanismen setzt.

NIS 2 Umsetzung in Österreich für 2025 geplant

Die NIS2-Richtlinie ist am 16. Januar 2023 auf EU-Ebene in Kraft getreten. Die Mitgliedstaaten, einschließlich Österreich, sind verpflichtet, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Österreich soll dies durch das überarbeitete Netz- und Informationssystemsicherheitsgesetz (NISG 2024) erfolgen.

Allerdings kam es im Februar 2024 zu einem Rückschlag: Der erste Gesetzesentwurf zur NIS2-Umsetzung wurde im Nationalrat abgelehnt. Die Opposition – bestehend aus SPÖ, FPÖ und NEOS – kritisierte unter anderem eine unzureichende Einbindung von Stakeholdern, sowie handwerkliche Mängel im Gesetzestext. Obwohl parteiübergreifend Einigkeit über die Bedeutung von Cybersicherheit herrscht, wird nun ein überarbeiteter Entwurf erwartet. Diese Verzögerung erhöht den Zeitdruck auf Gesetzgeber und Unternehmen, da die Einhaltung der EU-Umsetzungsfrist weiterhin verpflichtend ist.

Daher ist nun mit einem Inkrafttreten der entsprechenden gesetzlichen Regelungen im Laufe des Jahres 2025 zu rechnen. Unternehmen sollten dennoch bereits jetzt mit der Implementierung der erforderlichen Cybersicherheitsmaßnahmen beginnen, um den zukünftigen Anforderungen gerecht zu werden.

NIS2 Richtlinie Schweiz: Ein kurzer Überblick

Obwohl die Schweiz kein EU-Mitglied ist, betrifft die NIS2-Richtlinie auch Schweizer Unternehmen – insbesondere dann, wenn sie Dienstleistungen oder Produkte in der EU anbieten, mit europäischen Partnern kooperieren oder Teil internationaler Lieferketten sind. Die Anforderungen aus der Richtlinie wirken somit mittelbar über vertragliche Pflichten, Compliance-Vorgaben oder Auditanforderungen auf Schweizer Organisationen ein.

Als Reaktion auf die steigenden Anforderungen an die Cybersicherheit hat die Schweiz 2024 das neue Informationssicherheitsgesetz (ISG) in Kraft gesetzt. Es stärkt die Sicherheitsvorgaben für Betreiber kritischer Infrastrukturen und schafft ein nationales Mindestniveau für Informationssicherheit.

Trotzdem empfiehlt es sich für Schweizer Unternehmen, die sich im europäischen Kontext bewegen, ihre internen Prozesse und technischen Maßnahmen auch an den Vorgaben der NIS2-Richtlinie zu orientieren – etwa im Hinblick auf Meldepflichten, Risikomanagement und Lieferkettensicherheit.

Unternehmen in der Schweiz, die Unterstützung bei der Einordnung oder Umsetzung benötigen, können sich an das NCSC – Nationales Zentrum für Cybersicherheit wenden, das unter www.ncsc.admin.ch umfassende Informationen, Warnmeldungen und Beratung anbietet.

Fazit

Die NIS2-Richtlinie stellt einen bedeutenden Schritt zur Stärkung der Cybersicherheit in Europa dar. Für österreichische Unternehmen bedeutet dies, dass sie ihre Sicherheitsmaßnahmen überprüfen und an die neuen Anforderungen anpassen müssen. Eine frühzeitige Auseinandersetzung mit den Vorgaben und eine sorgfältige Durchführung sind entscheidend, um Compliance sicherzustellen und potenzielle Sanktionen zu vermeiden. Lesen Sie unseren Blogartikel NIS2: Anforderungen, Strafen und Umsetzung um zu erfahren, wie unsere Softwarelösung Docusnap sie bei der Umsetzung der NIS 2 Richtlinie unterstützen kann.

‍

‍

‍