Grafik für -NIS2-Richtlinie entschlüsselt: Neue Vorgaben, große Folgen
Unternehmertum

NIS2-Richtlinie entschlüsselt: Neue Vorgaben, große Folgen

Da kommt etwas Großes auf uns zu: NIS2. Diese EU-Richtlinie setzt neue verbindliche Standards für die Cybersicherheit in mittleren und großen Unternehmen. Und gleich vorweg gesagt: Sie hat es in sich! Im großen NIS2-Interview mit Peter Butter, Unternehmer und WIFI-Trainer im IT-Bereich, klären wir die drängendsten Fragen. Zum Beispiel diese, warum die Richtlinie indirekt auch kleinere Unternehmen – und damit potenziell alle – betreffen kann.

Herr Butter, es gibt ja bereits eine NIS-Richtlinie. Wen hat sie betroffen und warum gibt es nun eine neue?

Die ursprüngliche NIS-Richtlinie wurde bereits 2016 eingeführt. Sie richtete sich vor allem an Betreiber:innen kritischer Infrastrukturen, etwa aus den Bereichen Transport, Energie, Banken, digitale Infrastruktur und Gesundheit. Ziel war es, die Cybersicherheit zu verbessern. Allerdings blieb die Umsetzung hinter den Erwartungen zurück. Ein zentraler Kritikpunkt: Die Richtlinie ließ zu viel Interpretationsspielraum bei der Definition „angemessener Sicherheitsvorkehrungen“. Dadurch entstanden keine einheitlichen Standards in der EU. Mit NIS2 wird nun ein neuer Versuch gestartet, um diese Lücken zu schließen.
/IMAGES/Files/blog/Gluehbirne-gelb-adobestock-paraseem-580107517_768x768px.jpg

Was bedeutet das NIS-Gesetz?

Das Kürzel steht für Network and Information Security Directive. Die NIS2 ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie aus dem Jahr 2016.
- - -

Was ändert sich mit NIS2 konkret?

Die Veränderungen sind gravierend. Seit 2016 hat sich die digitale Landschaft dramatisch verändert und Cyberangriffe sind sowohl häufiger als auch komplexer geworden. Die neue Richtlinie reagiert darauf mit klaren Vorgaben. Unternehmen sind künftig verpflichtet, Systeme und Prozesse einzurichten, die Cyberrisiken frühzeitig erkennen und wirksam  reduzieren können. Gleichzeitig müssen diese Maßnahmen regelmäßig überprüft werden – durch Audits und Tests, die sicherstellen, dass Sicherheitsstandards eingehalten werden. Außerdem gibt es nun eine klare Regelung, wann und wie Cybervorfälle gemeldet werden müssen, um einen koordinierten Umgang mit Bedrohungen zu ermöglichen. Denn ein erfolgreicher Angriff kann massive Auswirkungen auf Unternehmen bzw. Einrichtungen und die gesamte „Lieferkette“ haben.

Können Sie uns die Maßnahmen genauer erklären? Was müssen Unternehmen konkret umsetzen?

Eine umfassende Sicherheitsstrategie besteht aus mehreren Elementen. Dazu gehört, dass Unternehmen den Zugriff auf ihre Systeme genau regeln und festlegen, wer welche Daten nutzen darf. Auch ein durchdachtes Monitoring ist erforderlich. Das bedeutet, dass Angriffe auf IT-Systeme nicht nur erkannt, sondern auch umgehend gemeldet werden müssen. Ein wichtiger Punkt ist die regelmäßige Analyse von Schwachstellen. Unternehmen sollten Penetrationstests durchführen lassen, um potenzielle Angriffsflächen zu identifizieren und zu schließen. Ebenso notwendig sind Notfallpläne, die klar vorgeben, wie ein Unternehmen auf eine Cyberattacke reagiert. Ziel ist es, im Ernstfall handlungsfähig zu bleiben, auch wenn IT-Systeme kurzzeitig ausfallen. Eine weitere zentrale Maßnahme sind Schulungen für Mitarbeitende und Führungskräfte. Diese sorgen dafür, dass alle Beteiligten über die neuesten Bedrohungen Bescheid wissen und sicher mit digitalen Tools umgehen können.

Welche Unternehmen sind von NIS2 betroffen?

Die neue Richtlinie betrifft deutlich mehr Unternehmen als bisher. Noch ist NIS2 nicht in nationales österreichisches Recht umgesetzt, aber das wird in Kürze passieren. Sobald das geschieht, gilt die Regelung für mittlere Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von über zehn Millionen Euro. Neu hinzu kommen außerdem Branchen wie digitale Infrastruktur, öffentliche Verwaltung, Abfallwirtschaft und Lebensmittelproduktion. Doch selbst kleinere Unternehmen können unter die Richtlinie fallen, wenn sie essenzielle Dienstleistungen exklusiv anbieten oder als Lieferanten bzw. Dienstleister für betroffene Unternehmen tätig sind. Stellen Sie sich vor, Sie entwickeln Steuerungssoftware für Wasserkraftwerke und sind der einzige Anbieter. In einem solchen Fall gelten die Vorgaben der NIS2 auch für Ihr Unternehmen – unabhängig von der Mitarbeiteranzahl oder dem Jahresumsatz.

Was für Auswirkungen hat das genau auf Lieferanten und Dienstleister von Unternehmen, die von NIS2 betroffen sind?

Die Auswirkungen der Richtlinie reichen weit. Selbst wenn ein Unternehmen nicht direkt von NIS2 betroffen ist, muss es als Lieferant oder Dienstleister von betroffenen Firmen mit strengeren Anforderungen rechnen. Dazu gehören die Umsetzung grundlegender Sicherheitsmaßnahmen, regelmäßige Schulungen sowie die Einhaltung von Standards, die in der Gesetzgebung festgelegt werden. Es geht außerdem darum, bei Sicherheitsvorfällen eng mit den betroffenen Kund:innen zusammenzuarbeiten. Die Wirtschaftskammer Österreich hat zu diesem Zweck gemeinsam mit einer Expertengruppe einen Leitfaden erstellt, der zeigt, wie man sich mit grundlegenden Maßnahmen effektiv gegen Cyberangriffe schützen kann.

Wenn das Gesetz in Kraft tritt, was sollte ich beachten?

Ich rate dringend, die notwendigen Maßnahmen schon jetzt vorzubereiten – also bevor die Richtlinie in nationales Recht überführt wird. Als Faustregel gilt, dass Unternehmen ihr Budget für IT- und Cybersicherheit abhängig von der Branche und Größe signifikant erhöhen sollten. Die Einführung aller Maßnahmen kann zwischen sechs und neun Monaten dauern; daher lohnt es sich, frühzeitig Expertenteams hinzuzuziehen. Nach der Umsetzung der EU-Vorgaben in österreichisches Recht sind die genauen Fristen für die Registrierung von Unternehmen noch von der nationalen Gesetzgebung abhängig. Dabei liegt die Verantwortung für die Einhaltung der Richtlinie bei der Geschäftsführung bzw. den Vorständ:innen und Aufsichtsrät:innen. Diese müssen auch persönlich haften, wenn Verstöße nachweislich auf Fahrlässigkeit zurückzuführen sind. Zudem sind sie dazu verpflichtet, an spezifischen Schulungen teilzunehmen.

Was passiert, wenn ich die Richtlinie ignoriere?

Die Konsequenzen sind erheblich. Wer die Vorgaben nicht umsetzt, muss mit empfindlichen Strafen rechnen. Diese reichen von Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes bis hin zu erheblichen Imageschäden. Kund:innen wie auch Geschäftspartner:innen könnten das Vertrauen in ein Unternehmen verlieren, das die Cybersicherheit nicht ernst nimmt. Deshalb ist es entscheidend, alle Anforderungen fristgerecht zu erfüllen.


/IMAGES/Files/blog/Tipp.png

Berichtspflichten im Rahmen von NIS2

Von NIS2 betroffene Unternehmen sind verpflichtet, erhebliche Cybervorfälle unverzüglich an das zuständige CSIRT (Computer Security
Incident Response Team) zu melden.
  • Erstmeldung: Innerhalb von 24 Stunden nach Feststellung eines erheblichen Vorfalls. Diese sollte grundlegende Informationen über den Vorfall enthalten.
  • Zwischenbericht: Innerhalb von 72 Stunden nach der Erstmeldung ist ein detaillierterer Bericht mit weiteren Erkenntnissen einzureichen.
  • Abschlussbericht: Spätestens einen Monat nach der Erstmeldung ist ein umfassender Abschlussbericht vorzulegen. Dieser muss umfassen:
    • relevante Details zum Vorfall
    • Dokumentation der getroffenen Maßnahmen zur Eindämmung und Behebung
    • Strategien zur Verhinderung ähnlicher Vorfälle in der Zukunft

/IMAGES/Files/Trainer/Butter-Peter_c_Peter-Butter_768x768px.jpg
Peter Butter studierte Informatik an der TU Wien und war Supportingenieur für das Betriebssystem UNIX. Seit 17 Jahren ist er selbstständig mit einem IT-Unternehmen für Netzwerke und Schulungen im IT-Bereich. Seine wertvolle Expertise gibt er als Trainer am WIFI Wien seit dem Jahr 2017 weiter. Seit Jänner 2025 ist er Fachbereichsleiter der KI-Akademie am WIFI Wien.

Bildcredits: © NicoElNino | stock.adobe.com, © Looker_Studio | stock.adobe.com (Glühbirne), © Peter Butter (Portrait)