NIS2 in Österreich: Was Unternehmen jetzt wissen müssen

Die NIS2-Richtlinie ist die größte Verschärfung der EU-Cybersicherheitsvorgaben seit Jahren – und sie betrifft weit mehr österreichische Unternehmen, als viele denken. Wir erklären, worum es geht, wer betroffen ist und was jetzt zu tun ist.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die ein einheitlich hohes Cybersicherheitsniveau in der gesamten Union schaffen soll. Sie löst die ursprüngliche NIS-Richtlinie ab und erweitert deren Geltungsbereich erheblich. In Österreich wird NIS2 über ein nationales Umsetzungsgesetz verbindlich.

Im Kern verpflichtet NIS2 betroffene Unternehmen zu angemessenen technischen und organisatorischen Sicherheitsmaßnahmen, zu Meldepflichten bei Sicherheitsvorfällen und verankert eine persönliche Verantwortung der Geschäftsleitung.

Wer ist betroffen?

NIS2 gilt für mittlere und große Unternehmen in 18 als kritisch eingestuften Sektoren – darunter Energie, Gesundheit, Verkehr, Banken, digitale Infrastruktur, öffentliche Verwaltung, Produktion, Lebensmittel und viele mehr.

Entscheidend: Auch kleinere Unternehmen können betroffen sein, wenn sie wichtige Zulieferer oder Dienstleister kritischer Einrichtungen sind. Viele Betriebe unterschätzen daher ihre Betroffenheit.

• Mittlere Unternehmen: ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz
• Große Unternehmen: ab 250 Mitarbeitenden oder 50 Mio. € Umsatz
• Zulieferer und Dienstleister kritischer Einrichtungen – unabhängig von der Größe

Welche Pflichten kommen auf Unternehmen zu?

NIS2 verlangt einen risikobasierten Ansatz. Zu den zentralen Anforderungen gehören:

• Risikoanalysen und Sicherheitskonzepte für Informationssysteme
• Maßnahmen zur Bewältigung von Sicherheitsvorfällen (Incident Management)
• Business Continuity Management, Backup und Disaster Recovery
• Sicherheit in der Lieferkette und bei Dienstleistern
• Verschlüsselung, Zugriffskontrolle und Multi-Faktor-Authentifizierung
• Schulungen und Awareness für Mitarbeitende
• Meldung erheblicher Vorfälle innerhalb kurzer Fristen

Was passiert bei Nichteinhaltung?

NIS2 sieht spürbare Sanktionen vor – bis hin zu hohen Geldbußen und der persönlichen Haftung von Geschäftsführern. Cybersicherheit wird damit endgültig zur Chefsache.

Was Sie jetzt konkret tun sollten

Der wichtigste erste Schritt ist Klarheit: Sind Sie betroffen – und wo stehen Sie heute? Ein strukturiertes Vorgehen erspart später viel Aufwand:

• Betroffenheit klären: Fallen Sie unter NIS2 – direkt oder als Zulieferer?
• Gap-Analyse: Wo erfüllen Sie die Anforderungen bereits, wo fehlt etwas?
• ISMS aufbauen: Ein Informationssicherheits-Managementsystem (z.B. nach ISO 27001) deckt viele NIS2-Anforderungen ab.
• Maßnahmen umsetzen: Technik, Prozesse und Dokumentation Schritt für Schritt etablieren.
• Mitarbeitende schulen: Der Mensch bleibt die wichtigste Verteidigungslinie.

Fazit

NIS2 ist kein bürokratisches Hindernis, sondern eine Chance, die eigene Widerstandsfähigkeit gegen Cyberangriffe deutlich zu erhöhen. Wer früh beginnt, vermeidet Zeitdruck, senkt Risiken und schafft Vertrauen bei Kunden und Partnern. Entscheidend ist, jetzt strukturiert zu starten – statt zu warten, bis die Frist drückt.