NIS2 Österreich: Was Unternehmen beachten müssen

Das Wichtigste in Kürze:

NIS2 in Österreich - Ein Überblick über die neue Cybersicherheitsrichtlinie: Mit der Umsetzung der NIS2-Richtlinie (Network and Information Security Directive 2) bringt die Europäische Union einen neuen Standard für Cybersicherheit auf den Weg. Diese Richtlinie betrifft auch viele Unternehmen in Österreich – insbesondere in Hinblick auf organisatorische Maßnahmen, Pflichten zur IT-Sicherheit und die Dokumentation der IT-Infrastruktur. In diesem Beitrag zeigen wir, was es mit NIS2 auf sich hat, wer betroffen ist, welche Fristen gelten – und wie Docusnap Sie bei der Einhaltung der Vorgaben wirkungsvoll unterstützt.

NIS2 Gesetz Österreich - Grundlage

Die NIS2-Richtlinie ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Ziel ist es, die Cyberresilienz innerhalb der EU zu stärken – insbesondere für Unternehmen, die als kritisch für das gesellschaftliche und wirtschaftliche Leben gelten. Dabei geht es um die Sicherheit von Netz- und Informationssystemen, um Angriffe besser abwehren und die Versorgungssicherheit in Europa garantieren zu können.

Zentrale Inhalte der NIS2-Richtlinie:

• Einführung einheitlicher Sicherheitsanforderungen
• Verpflichtung zur Risikoanalyse und Risikomanagement
• Meldepflicht bei Sicherheitsvorfällen (innerhalb von 24 Stunden)
• Erhöhte Anforderungen an IT-Dokumentation und Kontrolle
• Strengere Durchsetzungsmechanismen und Sanktionen bei Verstößen

Wer ist zuständig für die Umsetzung in Österreich?

Die nationale Koordinierung und Überwachung der NIS2-Umsetzung in Österreich erfolgt über:

• Bundeskanzleramt (BKA) – zuständig für die Gesetzgebung
• CERT.at / GovCERT Austria – zuständig für die operative Koordination bei Sicherheitsvorfällen
• Regulierungsbehörden je nach Sektor, z. B. E-Control (Energie), RTR (Telekommunikation)

NIS 2 Umsetzung in Österreich für 2025 geplant

Die NIS2-Richtlinie ist am 16. Januar 2023 auf EU-Ebene in Kraft getreten. Die Mitgliedstaaten, einschließlich Österreich, waren verpflichtet, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Österreich sollte dies durch das überarbeitete Netz- und Informationssystemsicherheitsgesetz (NISG 2024) erfolgen.

Allerdings kam es im Februar 2024 zu einem Rückschlag: Der erste Gesetzesentwurf zur NIS2-Umsetzung wurde im Nationalrat abgelehnt. Die Opposition – bestehend aus SPÖ, FPÖ und NEOS – kritisierte unter anderem eine unzureichende Einbindung von Stakeholdern, sowie handwerkliche Mängel im Gesetzestext. Obwohl parteiübergreifend Einigkeit über die Bedeutung von Cybersicherheit herrscht, wird nun ein überarbeiteter Entwurf erwartet. Diese Verzögerung erhöht den Zeitdruck auf Gesetzgeber und Unternehmen, da die Einhaltung der EU-Umsetzungsfrist weiterhin verpflichtend ist.

Daher ist nun mit einem Inkrafttreten der entsprechenden gesetzlichen Regelungen im Laufe des Jahres 2025 zu rechnen. Unternehmen sollten dennoch bereits jetzt mit der Implementierung der erforderlichen Cybersicherheitsmaßnahmen beginnen, um den zukünftigen Anforderungen gerecht zu werden.

Unterstützung für Unternehmen in Österreich

Österreichische Unternehmen können bei der Umsetzung der NIS-2-Richtlinie auf verschiedene Unterstützungsangebote zurückgreifen:​

• Wirtschaftskammer Österreich (WKO): Die WKO stellt umfangreiche Informationen, Leitfäden und Beratungsangebote zur Verfügung, um Unternehmen praxisnah bei der Umsetzung zu begleiten.
• Anlaufstelle NISG: Auf der offiziellen Plattform der österreichischen Regierung finden sich aktuelle Informationen zur Umsetzung des Gesetzes, inklusive FAQ, Ansprechpartner und rechtlicher Grundlagen.
• Zertifizierte IT-Dienstleister: Zahlreiche spezialisierte Unternehmen bieten Unterstützung in Form von Beratung, Risikoanalysen und Schulungen an, um die Einhaltung der NIS2-Anforderungen zu gewährleisten. Dabei empfiehlt es sich, auf Erfahrung in den Bereichen IT-Sicherheit, Compliance und Infrastrukturdokumentation zu achten.

Wer ist in Österreich von der NIS2-Richtlinie betroffen und was ist zu beachten?

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen und Organisationen erheblich. Betroffen sind insbesondere mittlere und große Unternehmen aus 18 festgelegten Sektoren, darunter Energie, Transport, Gesundheitswesen und digitale Infrastruktur. In Österreich werden schätzungsweise rund 4.000 Unternehmen von den neuen Regelungen erfasst. Mehr Informationen zur Betroffenheitsprüfung lesen Sie in unserem Blogartikel NIS2: Wer ist betroffen?

Betroffene Unternehmen müssen eine Reihe von Maßnahmen ergreifen, darunter:​

• Risikomanagement: Einführung geeigneter Maßnahmen zur Bewältigung von Cybersicherheitsrisiken.​
• Meldepflichten: Verpflichtung, erhebliche Sicherheitsvorfälle zeitnah den zuständigen Behörden zu melden.
• Lieferkettenmanagement: Sicherstellung, dass auch Dienstleister und Lieferanten angemessene Sicherheitsstandards einhalten.​

Die Nichteinhaltung dieser Pflichten kann zu erheblichen Sanktionen führen, einschließlich hoher Geldstrafen. In Österreich sieht der aktuelle Entwurf des Netz- und Informationssystemsicherheitsgesetzes (NISG 2024) vor, dass bei Verstößen Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden können – je nachdem, welcher Betrag höher ist.Zudem können bei besonders schwerwiegenden oder wiederholten Verstößen auch organisationsrechtliche Maßnahmen folgen, wie etwa die Aberkennung von Führungsfunktionen oder Anordnungen zur Umsetzung konkreter Sicherheitsmaßnahmen durch die Behörde.

NIS2 Richtlinie in Österreich: Die Unterschiede zu Deutschland

Ein wesentlicher Unterschied zur deutschen Umsetzung liegt in der Definition der Schwellenwerte für betroffene Organisationen. Während Deutschland klare Vorgaben zur Größe und Relevanz der betroffenen Unternehmen macht, verfolgt Österreich einen flexibleren Ansatz. Die österreichischen Schwellenwerte berücksichtigen nicht nur die Größe eines Unternehmens, sondern auch dessen sektorale Bedeutung und potenzielle Auswirkungen eines Ausfalls auf die nationale Sicherheit. Dies führt dazu, dass auch kleinere, aber für die Versorgung kritische Organisationen in den Anwendungsbereich der Richtlinie fallen können. In unserem Blogartikel NIS 2 Richtlinie: Umsetzung Deutschland durchleuchten wir die aktuelle Situation in Deutschland.

Fokus auf Schulung und Sensibilisierung

Darüber hinaus legt Österreich besonderen Wert auf die Schulung und Sensibilisierung von Mitarbeitern in kritischen Sektoren. Es werden Förderprogramme angeboten, um Unternehmen bei der Implementierung der geforderten Sicherheitsmaßnahmen zu unterstützen. Diese praxisorientierten Hilfestellungen unterscheiden sich von der deutschen Umsetzung, die stärker auf formelle Regularien und Kontrollmechanismen setzt.

So unterstützt Docusnap österreichische Unternehmen bei der Umsetzung

Praxisbeispiel: IT-Dokumentation für NIS2-Audit

Ein österreichisches Energieunternehmen mit rund 80 Mitarbeitenden bereitete sich mithilfe von Docusnap auf eine externe Sicherheitsüberprüfung vor. Innerhalb weniger Wochen konnte eine vollständige IT-Dokumentation erstellt, alle Berechtigungen analysiert und Schwachstellen identifiziert werden. Bei der Prüfung durch die Behörde lagen alle nötigen Nachweise vollständig und aktuell vor – die NIS2-Vorgaben konnten erfolgreich erfüllt werden.

Fazit: Jetzt handeln - mit System

Die NIS2-Richtlinie stellt einen bedeutenden Schritt zur Stärkung der Cybersicherheit in Europa dar. Für österreichische Unternehmen bedeutet dies, dass sie ihre Sicherheitsmaßnahmen überprüfen und an die neuen Anforderungen anpassen müssen. Eine frühzeitige Auseinandersetzung mit den Vorgaben und eine sorgfältige Durchführung sind entscheidend, um Compliance sicherzustellen und potenzielle Sanktionen zu vermeiden.

Sie möchten wissen, wie fit Ihre IT-Dokumentation für NIS2 ist? Kontaktieren Sie uns – wir zeigen Ihnen in einer kurzen Live-Demo, wie Docusnap Sie konkret unterstützen kann.