NIS-2-Richtlinie für
Unternehmen erklärt

Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weit gültige Gesetzgebung zur Stärkung der Cybersicherheit. Sie löst die ältere NIS-1-Richtlinie ab und erweitert deren Anwendungsbereich. Das primäre Ziel der Verordnung ist es, die Widerstandsfähigkeit von Unternehmen und kritischen Infrastrukturen gegen Cyberangriffe flächendeckend zu erhöhen. Angesichts der zunehmenden Professionalisierung der organisierten Cyberkriminalität verpflichtet die EU betroffene Betriebe zu proaktiven Schutzmaßnahmen.

In Österreich wird die EU-NIS-2-Richtlinie im Rahmen des nationalen Netz- und Informationssystemsicherheitsgesetzes (NISG) umgesetzt. Für dich als Unternehmensinhaber bedeutet das: Die EU-Vorgaben gelten uneingeschränkt, aber die konkreten Fristen, Meldewege, Zuständigkeiten und Sanktionen folgen dem österreichischen Gesetz sowie den nationalen behördlichen Leitfäden.

Die zentrale Anlaufstelle für betroffene Betriebe ist das offizielle Portal nis.gv.at. Dort findest du unter anderem:

• Einen Ratgeber zur Prüfung, ob dein Unternehmen unter die Regulierung fällt,
• die genaue Zuordnung der Sektoren und Einordnungen (wesentliche oder wichtige Einrichtung),
• den exakten Ablauf für Meldungen bei Sicherheitsvorfällen in Österreich,
• Direktlinks zu den nationalen Kontaktstellen und rechtlichen Dokumenten.

Wer ist in Österreich zuständig?

Die behördliche Struktur im Krisen- und Kontrollfall teilt sich in Österreich wie folgt auf:

• Aufsicht und Koordination: Die operative Überwachung und strategische Koordination liegen bei der nationalen NIS-Behörde (angesiedelt im Bundesministerium für Inneres).
• Incident Response (CSIRT): Bei akuten technischen Vorfällen und Cyberangriffen dient nis.cert.at (CERT.at) als zentrale Anlaufstelle für Vorfallsmeldungen und operative Unterstützung.
• Zentrale Anlaufstelle (Single Point of Contact): Die EU-weite Abstimmung auf Bundesebene erfolgt über die im NISG benannte zentrale Kontaktstelle.

Was solltest du jetzt als Erstes tun?

1. Betroffenheit prüfen: Analysiere deine Unternehmensgröße (ab 50 Mitarbeiter oder ab 10 Millionen Euro Umsatz/Bilanzsumme), deinen Wirtschaftssektor sowie potenzielle Sonderrollen (wie DNS- oder Vertrauensdienste).
2. Offizielle Informationen nutzen: Verwende für die Detailplanung die Checklisten und FAQs auf nis.gv.at statt rein allgemeiner EU-Übersichten.
3. Internes Minimum definieren: Erstelle ein Inventar deiner kritischen IT-Systeme, benenne klare Verantwortliche, dokumentiere den internen Meldeprozess und etabliere ein sicheres Backup- und Wiederherstellungskonzept (siehe hierzu auch unseren Leitfaden für sichere Backups).
4. Dienstleister einbinden: Sichere deine Partner für Hosting, E-Mail, Cloud-Infrastruktur und Softwareentwicklung vertraglich sowie technisch ab, ohne dabei deine eigene Leitungspflicht als Geschäftsführer zu vernachlässigen.

Hinweis zum Informationsstand: Da sich der nationale Rechtsrahmen und die behördlichen Zuständigkeiten dynamisch entwickeln können, solltest du vor verbindlichen strategischen Entscheidungen stets die aktuellste Fassung auf nis.gv.at prüfen oder einen zertifizierten IT-Sicherheitsberater hinzuziehen.

Die Betroffenheit von NIS-2 richtet sich primär nach Unternehmensgröße, dem Jahresumsatz und der Zugehörigkeit zu bestimmten Wirtschaftssektoren. Grundsätzlich bist du betroffen, wenn dein Betrieb mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz sowie eine Bilanzsumme von über 10 Millionen Euro aufweist. Zudem muss dein Unternehmen einem der definierten Sektoren angehören. Die Gesetzgebung unterteilt die betroffenen Unternehmen in zwei Kategorien:

• Wesentliche Einrichtungen: Hierzu zählen Sektoren mit extrem hoher Kritikalität wie Energieversorgung, Transportwesen, Banken- und Finanzmarktinfrastrukturen, das Gesundheitswesen, Trinkwasser sowie digitale Infrastrukturen.
• Wichtige Einrichtungen: Diese Kategorie umfasst Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Lebensmittelproduktion und -leitung, verarbeitendes Gewerbe (z. B. Maschinenbau, Fahrzeugbau) sowie digitale Anbieter (z. B. Online-Marktplätze, Suchmaschinen).

Bestimmte Anbieter, wie etwa Betreiber von DNS-Diensten oder Vertrauensdiensten, fallen unabhängig von ihrer Größe ab dem ersten Mitarbeiter unter die Regulierung.

Die Umsetzung der NIS-2-Richtlinie erfordert systematische technische und organisatorische Anpassungen in deinem Unternehmen. Du erfüllst die gesetzlichen Vorgaben, indem du die vier Kernsäulen konsequent abarbeitest:

Risikomanagement und technische Maßnahmen

• Sicherheitskonzepte: Du musst schriftliche Richtlinien zur Risikoanalyse deiner Informationssysteme etablieren.
• Technische Basishygiene: Für kritische Zugänge und sensible Daten sind üblicherweise starke Authentifizierung (z. B. MFA) und Verschlüsselung vorgesehen. Umfang und Priorität leiten sich aus deiner Risikoanalyse ab.
• Zugriffskontrolle: Setze strikte Berechtigungskonzepte um, damit Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre Arbeit zwingend benötigen.
• Lieferkettensicherheit: Du bist verpflichtet, auch die Cybersicherheit deiner direkten Zulieferer und Dienstleister zu bewerten und vertraglich abzusichern.
• Effektivitätsprüfungen: Führe regelmäßige IT-Audits und Penetrationstests durch, um die Wirksamkeit deiner Schutzmaßnahmen objektiv zu belegen.

Verantwortung der Geschäftsführung

• Billigungspflicht: Du musst die Cyber-Sicherheitsstrategien deines Unternehmens persönlich prüfen und offiziell freigeben.
• Schulungspflicht: Als Geschäftsführer oder Inhaber musst du nachweisbar an regelmäßigen Cybersicherheits-Schulungen teilnehmen.

Einhaltung der dreistufigen Meldepflicht

Bei erheblichen Sicherheitsvorfällen musst du strikte, staatliche Meldefristen an die nationalen Behörden einhalten:

• Innerhalb von 24 Stunden: Eine erste Frühwarnung über den Vorfall abgeben.
• Innerhalb von 72 Stunden: Eine detaillierte Meldung inklusive einer ersten Schadensbewertung einreichen.
• Spätestens nach 1 Monat: Einen umfassenden Abschlussbericht mit Ursachenanalyse vorlegen.

Geschäftskontinuität

• Backup-Management: Erstelle regelmäßige, physisch oder logisch getrennte Backups, die vor Ransomware geschützt sind.
• Notfallpläne: Halte dokumentierte Prozesse bereit, wie Systeme nach einem Totalausfall schnellstmöglich wiederhergestellt werden.

Die NIS-2-Richtlinie greift nicht für jedes Unternehmen und jedes Szenario. Standardmäßig sind in der Regel keine NIS-2-Pflichten zu erwarten, wenn dein Betrieb

• kleiner als ein mittleres Unternehmen ist: weniger als 50 Beschäftigte und weder Jahresumsatz noch Bilanzsumme über 10 Millionen Euro,
• keine kritischen Sonderrollen erfüllt (z. B. bestimmte DNS-Dienste oder Vertrauensdienste — hier kann die Regelung bereits ab dem ersten Mitarbeiter greifen),
• ausdrücklich ausgenommene Bereiche betrifft, etwa bestimmte Tätigkeiten im Bereich nationaler Sicherheit, Verteidigung oder Strafverfolgung (eigene Regelungen).

Hinweis: Auch wenn du formal nicht unter NIS-2 fällst, können Großkunden oder Verträge vergleichbare Sicherheitsanforderungen an deine Lieferkette stellen (siehe FAQ).

Bei Verstößen gegen die Risikomanagement- oder Meldepflichten drohen erhebliche Bußgelder:

• Für wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
• Für wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Ein Worst Case Beispiel:

Im schlimmsten Fall erleidet dein Unternehmen eine erfolgreiche Cyber-Attacke, bei der zum Beispiel alle Kundendaten verschlüsselt werden. Da du im Vorfeld keine Risikoanalyse durchgeführt, die Lieferkette nicht geprüft und die Multi-Faktor-Authentifizierung vernachlässigt hast, liegt ein schwerwiegendes Organisationsverschulden vor.

Die Konsequenzen in diesem Szenario:

• Persönliche Haftung: Du haftest als Geschäftsführer mit deinem Privatvermögen für den entstandenen Schaden, da du deine gesetzliche Sorgfaltspflicht verletzt hast.
• Berufsverbot: Die zuständige Aufsichtsbehörde kann dir die Ausübung der Geschäftsführung vorübergehend untersagen, bis die Mängel vollständig behoben sind.
• Reputationsverlust und Insolvenz: Neben dem Bußgeld führt der Vertrauensverlust bei Kunden und Partnern im Regelfall zum wirtschaftlichen Stillstand.