Die EU-Richtlinie NIS-2 wird durch das österreichische Netz- und Informationssystemsicherheitsgesetz (NISG) umgesetzt und betrifft ab 1. Oktober 2026 rund 4.000 Unternehmen in Österreich. Bei Verstößen drohen Strafen von bis zu 10 Millionen Euro – und erstmals haften auch Geschäftsführer persönlich für mangelnde Cybersicherheit.
- Ab 1. Oktober 2026 gelten verschärfte Cybersicherheitspflichten für rund 4.000 Unternehmen
- Betroffen sind „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren
- Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz können betroffen sein
- Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden
- Geschäftsführer haften persönlich und müssen Schulungen nachweisen
- Strafen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Was ist NIS-2 und warum kommt es?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die Weiterentwicklung der ersten EU-Cybersicherheitsrichtlinie von 2016. Angesichts zunehmender Cyberangriffe auf kritische Infrastruktur und Unternehmen hat die EU die Anforderungen deutlich verschärft.
In Österreich wird die Richtlinie durch das NISG (Netz- und Informationssystemsicherheitsgesetz) umgesetzt. Die NIS-Behörde im Bundeskanzleramt ist für die Umsetzung und Überwachung zuständig.
Welche Unternehmen sind betroffen?
Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Beide müssen die Sicherheitsanforderungen erfüllen, aber wesentliche Einrichtungen unterliegen strengerer Aufsicht.
| Kategorie | Sektoren | Größenkriterium |
|---|---|---|
| Wesentliche Einrichtungen | Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Digitale Infrastruktur, öffentliche Verwaltung | 250+ Mitarbeiter oder 50 Mio. € Umsatz |
| Wichtige Einrichtungen | Post, Abfallwirtschaft, Chemie, Lebensmittel, Produktion, Digitale Dienste, Forschung | 50+ Mitarbeiter oder 10 Mio. € Umsatz |
Auch wenn Ihr Unternehmen nicht direkt unter die NIS-2-Kriterien fällt, können Sie als Zulieferer oder IT-Dienstleister von betroffenen Unternehmen indirekt verpflichtet werden. Die Lieferkettensicherheit ist ein zentrales Element der Richtlinie.
Die wichtigsten Pflichten im Überblick
1. Risikomanagement und technische Maßnahmen
Betroffene Unternehmen müssen ein umfassendes Risikomanagement für ihre IT-Systeme implementieren: regelmäßige Risikoanalysen durchführen, angemessene technische Schutzmaßnahmen implementieren, Business Continuity Management (BCM) einrichten, Zugriffskontrollen und Identitätsmanagement etablieren, Verschlüsselung sensibler Daten gewährleisten und Multi-Faktor-Authentifizierung für kritische Systeme einsetzen.
Die Grundlagen der Cybersicherheit sollten bereits jetzt Teil Ihrer Unternehmensstrategie sein.
2. Meldepflichten bei Sicherheitsvorfällen
Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen:
| Frist | Meldung | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung | Erste Information über den Vorfall |
| 72 Stunden | Vorfallmeldung | Detaillierte Beschreibung, Schweregrad, Auswirkungen |
| 1 Monat | Abschlussbericht | Ursachen, Gegenmaßnahmen, Lessons Learned |
3. Geschäftsführerhaftung und Schulungspflicht
Eine der einschneidendsten Neuerungen: Geschäftsführer und Vorstände haften persönlich für die Einhaltung der Cybersicherheitspflichten. Sie müssen Risikomanagement-Maßnahmen genehmigen und überwachen, an Cybersicherheitsschulungen teilnehmen, ausreichende Ressourcen für IT-Sicherheit bereitstellen und die Umsetzung der Maßnahmen kontrollieren.
Dokumentieren Sie alle Entscheidungen zur IT-Sicherheit sorgfältig. Im Schadensfall kann eine nachvollziehbare Dokumentation der ergriffenen Maßnahmen entlastend wirken. Nutzen Sie auch Förderungen für Digitalisierung, um Ihre Cybersicherheit zu verbessern.
Strafen bei Verstößen
Die Sanktionen bei Nichteinhaltung sind empfindlich:
| Kategorie | Maximale Strafe |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Geschäftsführerhaftung | Persönliche Haftung, möglicher Ausschluss von Leitungsfunktionen |
Checkliste: So bereiten Sie sich vor
Unternehmen sollten jetzt mit der Vorbereitung beginnen: Betroffenheit prüfen (fällt Ihr Unternehmen unter die Kriterien?), Gap-Analyse durchführen (welche Anforderungen erfüllen Sie bereits?), systematische Risikoanalyse aller IT-Risiken, Maßnahmenplan für technische und organisatorische Maßnahmen erstellen, Budget für IT-Sicherheit einplanen, Schulungen für Mitarbeiter und Führungskräfte organisieren, Incident Response Plan für Sicherheitsvorfälle erstellen und Sicherheitsanforderungen an Zulieferer kommunizieren.
Die WKO bietet Beratung und Informationsveranstaltungen zur NIS-2-Umsetzung an.
Aufsicht und Kontrolle
Die Aufsicht über die Einhaltung der NIS-2-Anforderungen obliegt der NIS-Behörde im Bundeskanzleramt sowie sektorspezifischen Aufsichtsbehörden. Wesentliche Einrichtungen unterliegen proaktiver Aufsicht mit regelmäßigen Prüfungen, wichtige Einrichtungen reaktiver Aufsicht bei begründetem Verdacht. Die Behörde kann Sicherheitsaudits anordnen und Zugang zu Dokumenten und Systemen verlangen.
Die CERT.at (Computer Emergency Response Team Austria) ist die nationale Koordinierungsstelle für Cybersicherheitsvorfälle. Bei einem Sicherheitsvorfall sollten Sie neben der Meldung an die Aufsichtsbehörde auch Kontakt mit CERT.at aufnehmen.
Synergien mit anderen Regelungen
Die NIS-2-Anforderungen überschneiden sich mit anderen Compliance-Pflichten: DSGVO (Datenschutz-Grundverordnung) – viele technische Maßnahmen sind deckungsgleich, DORA (Digital Operational Resilience Act) für den Finanzsektor und ISO 27001 als Informationssicherheits-Managementsystem. Unternehmen, die bereits ISO 27001 zertifiziert sind oder ein ISMS betreiben, haben einen Vorsprung bei der NIS-2-Umsetzung.
Die nationale Umsetzung durch das NISG kann Details der EU-Richtlinie konkretisieren. Für verbindliche Informationen wenden Sie sich an einen spezialisierten Rechtsanwalt oder die zuständigen Behörden.