NIS2 einfach erklärt: Ein Leitfaden für österreichische Unternehmen

Die NIS2-Richtlinie ist eine EU-weite Richtlinie, die darauf abzielt, die Cybersicherheit in ganz Europa zu verbessern. Sie wurde im Dezember 2022 veröffentlicht und muss von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden . In Österreich sollte dies durch das NISG 2024 (Netz- und Informationssystemsicherheitsgesetz 2024) geschehen. Allerdings verzögerte sich die Umsetzung in Österreich .

Was bedeutet NIS2 für österreichische Unternehmen?

Dieser Leitfaden bietet Ihnen einen verständlichen Überblick über die wichtigsten Aspekte der NIS2-Richtlinie, angepasst an die Bedürfnisse österreichischer Unternehmen. Erfahren Sie, welche Unternehmen betroffen sind, welche Anforderungen die Richtlinie stellt und wie Sie sich optimal vorbereiten können.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security 2 Directive) ist eine EU-weite Richtlinie, die die Cybersicherheit in Europa stärken soll. Sie wurde im Dezember 2022 veröffentlicht und muss von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Österreich wird dies voraussichtlich durch das NISG 2024 (Netz- und Informationssystemsicherheitsgesetz 2024) geschehen.

NIS2 ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert deren Anwendungsbereich erheblich. Sie betrifft nun mehr Sektoren und Unternehmen, darunter auch mittelständische Unternehmen.

Warum verzögert sich die Umsetzung der NIS2-Richtlinie in Österreich?

Die Umsetzung der NIS2-Richtlinie in Österreich verzögert sich aus mehreren Gründen:

• Ablehnung des Umsetzungsentwurfs: Der letzte Entwurf des Umsetzungsgesetzes wurde vom österreichischen Parlament überraschend abgelehnt.
• Neuwahlen und Regierungsbildung: Anstehende Parlamentswahlen im Herbst 2024 und die darauffolgende Regierungsbildung führten zu Unklarheiten und Verzögerungen im Gesetzgebungsprozess.
• Unklare Zuständigkeiten: Es gab Kritik an der geplanten Aufsichtsbehörde, dem Bundesministerium für Inneres. Die Zuständigkeiten könnten sich daher noch ändern.

Aktueller Stand und Ausblick

Die EU-Kommission hat Österreich und 22 weitere Mitgliedstaaten, die die Frist zur Umsetzung der NIS2-Richtlinie nicht eingehalten haben, ein Aufforderungsschreiben geschickt. Österreich hat nun zwei Monate Zeit, um die Umsetzung abzuschließen und die Kommission darüber zu informieren. Geschieht dies nicht, könnte die Kommission weitere Schritte einleiten, die bis zu einer Klage vor dem Gerichtshof der Europäischen Union führen können.

Derzeit wird mit einer Implementierung des NISG 2025 zum 1. Juni 2025 gerechnet . Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten bei der Aufsichtsbehörde registrieren.

Wer ist von NIS2 betroffen?

NIS2 betrifft eine breite Palette von Unternehmen und Organisationen in Österreich. Im Wesentlichen gilt die Richtlinie für mittlere und große Unternehmen aus 18 kritischen Sektoren.

Sektoren mit hoher Kritikalität:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• IKT-Dienstleistungsmanagement
• Öffentliche Verwaltung
• Weltraum

Sonstige kritische Sektoren:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Chemie
• Lebensmittel
• Verarbeitendes Gewerbe
• Anbieter digitaler Dienste
• Forschung

-> Offizielle Angaben

Kriterien zur Bestimmung der Unternehmensgröße:

• Mittlere Unternehmen: mindestens 50 Mitarbeiter oder Jahresumsatz/Jahresbilanz über 10 Mio. Euro.
• Große Unternehmen: mindestens 250 Mitarbeiter oder Jahresumsatz über 50 Mio. Euro und Jahresbilanzsumme über 43 Mio. Euro.

Diese Definitionen entsprechen den Kriterien der EU-Kommission für kleine und mittlere Unternehmen (KMU)

Sonderfälle:

Unabhängig von ihrer Größe fallen auch folgende Unternehmen in den Anwendungsbereich:

• Vertrauensdiensteanbieter
• Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
• TLD-Namenregister und DNS-Diensteanbieter (ausgenommen Betreiber von Root-Namenservern)
• Unternehmen, die alleiniger Anbieter eines essenziellen Service in einem Mitgliedsstaat sind.

Nutzen Sie unseren kostenlosen NIS2-Check , um herauszufinden, ob Ihr Unternehmen betroffen ist.  

Was sind die Herausforderungen?

Die NIS2-Richtlinie stellt viele Unternehmen vor Herausforderungen.

Hier sind einige der häufigsten:

• Komplexität der Anforderungen: Die NIS2-Richtlinie ist komplex und umfasst viele verschiedene Sicherheitsmaßnahmen. Unternehmen müssen sich intensiv mit den Anforderungen auseinandersetzen, um die Compliance zu erreichen.
• Ressourcenmangel: Viele Unternehmen, insbesondere KMU, verfügen nicht über die notwendigen Ressourcen (Personal, Budget, Know-how), um die NIS2-Anforderungen umzusetzen.
• Unsicherheit und fehlende Informationen: Es herrscht oft Unsicherheit darüber, welche konkreten Maßnahmen erforderlich sind und wie die Umsetzung erfolgen soll.
• Zeitdruck: Die Frist zur Umsetzung der NIS2-Richtlinie ist knapp bemessen. Unternehmen müssen schnell handeln, um rechtzeitig vorbereitet zu sein.
• Haftung der Führungskräfte: Die NIS2-Richtlinie sieht eine persönliche Haftung der Führungskräfte für Verstöße vor. Dies erhöht den Druck auf die Unternehmensleitung.

Was sind die Vorteile?

Die Einhaltung der NIS2-Richtlinie bietet Unternehmen zahlreiche Vorteile.

• Erhöhte IT-Sicherheit: Durch die Umsetzung der NIS2-Anforderungen verbessern Unternehmen ihre IT-Sicherheit und schützen sich effektiver vor Cyberangriffen.
• Vertrauen: NIS2-Compliance stärkt das Vertrauen von Kunden und Geschäftspartnern in die Sicherheit und Zuverlässigkeit des Unternehmens.
• Wettbewerbsvorteile: Unternehmen, die die NIS2-Anforderungen erfüllen, können dies als Wettbewerbsvorteil nutzen und sich als vertrauenswürdige Partner positionieren.
• Vermeidung von Strafen: Durch die Einhaltung der NIS2-Richtlinie vermeiden Unternehmen hohe Geldstrafen und die persönliche Haftung von Führungskräften.

Wesentliche Anforderungen der NIS2

Die NIS2-Richtlinie stellt eine Reihe von Anforderungen an die Cybersicherheit betroffener Unternehmen. Dazu gehören unter anderem:

• Risikomanagement: Unternehmen müssen ein Risikomanagement-System einführen, um Cyberrisiken zu identifizieren, zu bewerten und zu minimieren. Dies umfasst die regelmäßige Durchführung von Risikoanalysen, die Implementierung von Sicherheitskontrollen und die Entwicklung von Notfallplänen.
• Sicherheitsvorfälle: Unternehmen müssen in der Lage sein, Sicherheitsvorfälle effektiv zu bewältigen. Dazu gehören die Implementierung von technischen und organisatorischen Sicherheitsmaßnahmen, die Schulung von Mitarbeitern und die Einrichtung von Prozessen zur Reaktion auf Sicherheitsvorfälle.
• Meldepflichten: Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden. Ein detaillierter Bericht muss innerhalb von 72 Stunden nach dem Vorfall erfolgen. Spätestens nach einem Monat muss ein Abschlussbericht erfolgen.
• Lieferkettensicherheit: Unternehmen müssen die Cybersicherheit ihrer Lieferkette berücksichtigen und sicherstellen, dass auch ihre Zulieferer und Dienstleister angemessene Sicherheitsstandards einhalten.
• Schulungen: Mitarbeiter und Führungskräfte müssen regelmäßig zu Cybersicherheitsthemen geschult werden, um das Bewusstsein für potenzielle Bedrohungen zu schärfen und die Sicherheitskompetenz im Unternehmen zu erhöhen.

Umsetzung von NIS2 in Österreich

Die NIS2-Richtlinie wird in Österreich durch das NISG 2024 (Netz- und Informationssystemsicherheitsgesetz 2024) in nationales Recht umgesetzt. Die zuständige Behörde für die Umsetzung und Überwachung der NIS2-Richtlinie in Österreich ist das Bundesministerium für Inneres (BMI).

Wie Tom’s IT Sie unterstützen kann

Tom’s IT Enterprise Solutions GmbH ist Ihr kompetenter Partner für die Umsetzung der NIS2-Richtlinie in Österreich. Wir bieten Ihnen umfassende Unterstützung bei allen Aspekten der NIS2-Compliance, von der Gap-Analyse über die Risikobewertung bis hin zur Implementierung und Schulung.

Unsere Leistungen:

• NIS2 Gap-Analyse: Wir analysieren Ihre aktuelle IT-Sicherheitslage und identifizieren potenzielle Schwachstellen im Hinblick auf die NIS2-Richtlinie.
• NIS2 Risikobewertung: Wir führen eine Risikobewertung durch, um die Cyberrisiken für Ihr Unternehmen zu identifizieren und zu bewerten.
• NIS2 Implementierung: Wir unterstützen Sie bei der Implementierung der notwendigen Sicherheitsmaßnahmen, um die NIS2-Anforderungen zu erfüllen.
• NIS2 Schulungen: Wir schulen Ihre Mitarbeiter zu den Themen Cybersicherheit und NIS2-Compliance.
• NIS2 Audit: Wir führen regelmäßige Sicherheitsaudits durch, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen.

Die NIS2-Richtlinie (Network and Information Security Directive)

NIS2-Informationen auf einen Blick

Fazit

Die NIS2-Richtlinie bringt umfassende Änderungen im Bereich der Cybersicherheit mit sich. Sie stellt österreichische Unternehmen vor neue Herausforderungen, bietet aber auch die Chance, die Cybersicherheit zu verbessern und das Vertrauen von Kunden und Geschäftspartnern zu stärken. Eine frühzeitige und sorgfältige Vorbereitung ist entscheidend, um die Anforderungen der Richtlinie zu erfüllen und die Vorteile der NIS2-Compliance zu nutzen. Unternehmen sollten jetzt mit der Umsetzung der NIS2-Richtlinie beginnen, um rechtzeitig vorbereitet zu sein. Führen Sie eine Gap-Analyse durch, schulen Sie Ihre Mitarbeiter und entwickeln Sie ein umfassendes Risikomanagement-System. So können Sie sicherstellen, dass Ihr Unternehmen die Anforderungen der NIS2-Richtlinie erfüllt und von den Vorteilen profitiert.

Kontaktieren Sie uns noch heute für eine individuelle Beratung!