NIS2 (EU-Richtlinie für Netz- und Informationssystemsicherheit)
Die NIS2-Richtlinie ist eine EU-Richtlinie zur Stärkung der Cybersicherheit von Unternehmen und Einrichtungen in 18 kritischen Sektoren. Sie verpflichtet mittlere und große Organisationen zu Risikomanagement, Meldepflichten und erhöhten Sicherheitsmaßnahmen.
Ausführliche Erklärung
Die NIS2-Richtlinie (Richtlinie EU 2022/2555) trat am 16. Jänner 2023 in Kraft und sollte bis 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Sie ersetzt die ursprüngliche NIS-Richtlinie aus 2016 und erweitert den Anwendungsbereich erheblich: Waren bisher primär Betreiber kritischer Infrastrukturen betroffen, erfasst NIS2 nun rund 160.000 Unternehmen europaweit in 18 Sektoren, darunter Energie, Verkehr, Gesundheit, Finanzwesen, digitale Infrastruktur, aber auch Lebensmittelproduktion, Chemie und öffentliche Verwaltung.
In Österreich erfolgt die Umsetzung durch das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026), das am 1. Oktober 2026 in Kraft tritt und rund 4.000 Unternehmen betrifft. Deutschland setzte die Richtlinie durch das NIS2-Umsetzungsgesetz um, das am 6. Dezember 2025 in Kraft trat und etwa 29.500 Einrichtungen erfasst. Beide Länder überschritten die EU-Umsetzungsfrist deutlich, weshalb Vertragsverletzungsverfahren eingeleitet wurden.
Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen (essential entities) in Sektoren mit hoher Kritikalität und wichtigen Einrichtungen (important entities) in sonstigen kritischen Sektoren. Betroffen sind grundsätzlich mittlere und große Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Bestimmte Dienstleister wie DNS-Anbieter oder Telekommunikationsnetzbetreiber unterliegen den Anforderungen unabhängig von ihrer Größe. Die Verpflichtungen umfassen technische und organisatorische Risikomanagementmaßnahmen, Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden sowie die Absicherung der Lieferkette.
Ein zentrales Novum ist die persönliche Verantwortung der Geschäftsführung: Leitungsorgane müssen Sicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und können bei Verstößen haftbar gemacht werden. Bei Nichteinhaltung drohen beträchtliche Bußgelder – bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen, bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen. Für viele KMU ergibt sich eine indirekte Betroffenheit über Lieferkettenanforderungen ihrer Kunden, auch wenn sie selbst nicht direkt unter die Richtlinie fallen.
Praxisbeispiel
Ein österreichisches Steuerberatungsunternehmen mit 75 Mitarbeitenden, das IT-Dienstleistungen für ein regionales Krankenhaus erbringt, fällt selbst nicht direkt unter NIS2. Das Krankenhaus jedoch ist als wesentliche Einrichtung im Gesundheitssektor verpflichtet, die Sicherheit seiner Lieferkette zu gewährleisten. Daher wird das Steuerberatungsunternehmen vertraglich aufgefordert, Cybersicherheitsmaßnahmen nachzuweisen – etwa dokumentiertes Risikomanagement, Backup-Konzepte und Zugriffskontrollen – um den Auftrag zu behalten.
Quellen
- Die neue NIS-2-Richtlinie – Anlaufstelle NISG (Österreich)
- NISG 2026 – neue Pflichten zur Cybersicherheit für Unternehmen – WKO
- Umsetzung der NIS2-Richtlinie: Österreich vs. Deutschland
- EU NIS2 Richtlinie: Cybersecurity in Kritischen Infrastrukturen – OpenKRITIS
- Richtlinie (EU) 2022/2555 über Cybersicherheit – EUR-Lex