Anforderungen an Cybersicherheit – auch für Ihr Unternehmen
Die EU-Richtlinie betreffend Cybersicherheit gilt und wird bald in österreichisches Recht überführt. Für Unternehmen steigt somit der Handlungsdruck. Doch wer heute vorbereitet ist, muss morgen keine Haftung fürchten – weder geschäftlich noch persönlich.
Der Entwurf des neuen NIS-Gesetzes (NISG) wurde im April 2025 vom Bundesministerium für Inneres (BMI) erstellt und befindet sich bereits im Notifizierungsverfahren der EU-Kommission. Damit beginnt die finale Phase zur gesetzlichen Umsetzung in Österreich. Diese hat Auswirkungen auf rund 3.400 Unternehmen.
Was bedeutet das in der Praxis? „Wer bis jetzt noch nichts unternommen hat, sollte rasch aktiv werden – denn Behörden, Kund:innen und Partner:innen erwarten bereits sichtbare Umsetzungsschritte“, erklärt Thomas Simon, Experte für Cyber Security bei BDO.
Wer ist betroffen?
NIS 2 weitet den Kreis der verpflichteten Unternehmen stark aus. Neben klassischen Bereichen wie Energie oder Gesundheit betrifft die Richtlinie nun auch Software- und IT-Dienstleister:innen, Logistik- und Transportunternehmen, digitale Plattformen, Maschinenbau, Großhandel, Postdienste sowie Rechenzentren, Hosting-Anbieter etc.
Bereits Unternehmen ab 50 Mitarbeitenden oder EUR 10 Mio. Jahresumsatz können betroffen sein.
Was verlangt NIS 2 konkret?
Verpflichtend zu schaffende Rahmenbedingungen sind: Risikomanagement für IT-Systeme und Prozesse, Meldepflicht bei IT-Sicherheitsvorfällen (binnen 24 Stunden), Schutz der Lieferkette und Überprüfung von IT-Dienstleister:innen, Einbindung der Geschäftsführung in die Sicherheitsverantwortung sowie Einführung und laufende Wartung eines ISMS (Informationssicherheitsmanagementsystems).
Drohende Konsequenzen
NIS 2 sieht bei Verstößen empfindliche Strafen vor: bis zu EUR 10 Mio. oder 2% des weltweiten Jahresumsatzes bei „wesentlichen Einrichtungen“ (z.B. Energieerzeuger und Netzbetreiber) bzw. bis zu EUR 7 Mio. oder 1,4% des Umsatzes bei „wichtigen Einrichtungen“ (z.B. Produzent und Vertreiber von Lebensmitteln). Zusätzlich drohen Haftungsrisiken, Reputationsverluste sowie der Ausschluss von Ausschreibungen oder Lieferketten.
Warten ist das größte Risiko
Viele Unternehmen hoffen auf mehr Zeit. Doch laut dem Bundesministerium für Inneres (BMI) sind rund 80 % der NIS 2-Inhalte bereits im aktuellen Gesetzesentwurf abgebildet. Der Vollzug wird in den kommenden Monaten erwartet. Wer jetzt mit der Vorbereitung beginnt, kann strukturiert und ohne Hektik auf NIS 2 reagieren.
Prüfen Sie jetzt: Ist Ihr Unternehmen betroffen? Gibt es bereits strukturierte IT-Risikoanalysen? Ist Ihre Geschäftsführung eingebunden? Wissen Sie, was im Fall eines Angriffs zu tun ist? Gibt es ein Sicherheitskonzept für Ihre Dienstleister:innen?
„NIS 2 ist kein Zukunftsthema, denn die Anforderungen betreffend Cybersicherheit müssen bereits in der Gegenwart erfüllt werden. Die EU verlangt mehr Cybersicherheit, und die nationale Umsetzung steht unmittelbar bevor“, betont der Spezialist. Jetzt ist der richtige Moment, um die noch erforderlichen technischen und organisatorischen Maßnahmen umzusetzen – verantwortungsvoll, strukturiert und nachvollziehbar.
