Die EU-Richtlinie NIS-2 (Network and Information Security Directive 2) zielt darauf ab, die Cybersicherheit in der Europäischen Union zu stärken. Obwohl die Mitgliedstaaten verpflichtet waren, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen, hat Österreich diesen Termin verpasst. Die Umsetzung wird nun für 2025 erwartet.
📌 Aktueller Stand der Umsetzung
Der Entwurf für das neue Netz- und Informationssicherheitsgesetz (NISG 2024) wurde im österreichischen Nationalrat diskutiert, jedoch aufgrund fehlender Zweidrittelmehrheit nicht verabschiedet. Die Umsetzung der NIS-2-Richtlinie in Österreich wird daher voraussichtlich im Laufe des Jahres 2025 erfolgen. Unternehmen sollten sich jedoch bereits jetzt auf die kommenden Anforderungen vorbereiten. wko.at+1Deloitte+1
🏢 Wer ist betroffen?
Mit der NIS-2-Richtlinie wird der Kreis der betroffenen Unternehmen erheblich erweitert. In Österreich werden schätzungsweise 4.000 Unternehmen aus 18 kritischen Sektoren unter die neuen Regelungen fallen. Dazu gehören unter anderem:Startwko.at
Energie
Verkehr
Gesundheitswesen
Digitale Infrastruktur
Lebensmittelproduktion
AbfallwirtschaftEFS ConsultingEFS Consulting+3WIFI Wien+3Start+3
Betroffen sind insbesondere mittlere und große Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro. Auch kleinere Unternehmen können unter die Richtlinie fallen, wenn sie essenzielle Dienstleistungen erbringen oder Teil kritischer Lieferketten sind. WIFI Wien+1EFS Consulting+1
🔐 Welche Anforderungen kommen auf Unternehmen zu?
Die NIS-2-Richtlinie bringt umfassende Verpflichtungen mit sich:
Risikomanagement: Implementierung technischer und organisatorischer Maßnahmen zur Minimierung von Cyberrisiken.
Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden.
Lieferketten-Sicherheit: Unternehmen müssen sicherstellen, dass auch ihre Dienstleister und Lieferanten angemessene Sicherheitsstandards einhalten.
Schulungen: Regelmäßige Fortbildungen für Mitarbeitende im Bereich Cybersicherheit sind verpflichtend.
Bei Nichteinhaltung drohen empfindliche Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Onlinesicherheit
🛠️ Was sollten Unternehmen jetzt tun?
Obwohl das nationale Umsetzungsgesetz noch aussteht, sollten Unternehmen proaktiv handeln:
Selbstbewertung: Prüfen Sie, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt.
Risikobewertung: Analysieren Sie bestehende Sicherheitsmaßnahmen und identifizieren Sie Schwachstellen.
Maßnahmenplan: Erstellen Sie einen Plan zur Umsetzung der erforderlichen Sicherheitsmaßnahmen.
Schulungen: Sensibilisieren Sie Ihre Mitarbeitenden für die Bedeutung von Cybersicherheit.
Lieferkettenprüfung: Stellen Sie sicher, dass auch Ihre Partner und Dienstleister die notwendigen Sicherheitsstandards erfüllen.Deloitte
Die Wirtschaftskammer Österreich bietet einen Online-Ratgeber an, der Unternehmen bei der Einschätzung ihrer Betroffenheit unterstützt. WIFI Wien+2Anlaufstelle NISG+2Onlinesicherheit+2
🧭 Fazit
Die Umsetzung der NIS-2-Richtlinie in Österreich steht bevor und wird erhebliche Auswirkungen auf viele Unternehmen haben. Eine frühzeitige Auseinandersetzung mit den Anforderungen ist essenziell, um rechtzeitig compliant zu sein und die Cybersicherheit im eigenen Unternehmen zu stärken.