Die NIS2-Richtlinie (EU 2022/2555) ist seit Oktober 2024 in österreichisches Recht umgesetzt — durch das NISG 2024 (Netz- und Informationssystemsicherheitsgesetz 2024). Für betroffene Unternehmen gilt: Die Anforderungen sind keine Empfehlung, sondern Pflicht — mit erheblichen Bußgeldern bei Nichteinhaltung.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities). Die Einordnung richtet sich nach Sektor und Größe:

Wesentliche Einrichtungen (höhere Anforderungen)

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Bahn, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Internet Exchange Points, DNS, TLD, Rechenzentren, Cloud-Anbieter, CDN, Vertrauensdienstleister, öffentliche elektronische Kommunikation)
  • IKT-Dienstemanagement (B2B)
  • Öffentliche Verwaltung (zentrale Ebene)
  • Weltraum

Unternehmen in diesen Sektoren ab 250 Mitarbeitern oder 50 Mio. € Umsatz gelten als wesentliche Einrichtungen.

Wichtige Einrichtungen (etwas geringere Anforderungen)

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie, Lebensmittel
  • Verarbeitendes Gewerbe / Maschinenbau
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Hier gilt die Schwelle ab 50 Mitarbeitern oder 10 Mio. € Umsatz.

Achtung Selbstregistrierung: Das NISG 2024 verpflichtet betroffene Einrichtungen zur Registrierung bei der zuständigen Aufsichtsbehörde. Wer sich nicht registriert, riskiert Bußgelder — auch unabhängig von Sicherheitsvorfällen.

Die 10 Pflichtmaßnahmen nach Art. 21 NIS2

Beide Kategorien müssen mindestens folgende Maßnahmen umsetzen:

  1. Risikoanalyse und Sicherheitskonzept für Netz- und Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen — Incident-Response-Prozesse
  3. Business Continuity — Backups, Wiederherstellung, Krisenmanagement
  4. Sicherheit der Lieferkette — Sicherheitsanforderungen an Lieferanten und Dienstleister
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen
  6. Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
  7. Cyber-Hygiene und Schulungen für Mitarbeiter
  8. Kryptographie und Verschlüsselung
  9. Zugriffskontrolle und Asset-Management
  10. Multi-Faktor-Authentisierung und sichere Kommunikation

Meldepflichten bei Sicherheitsvorfällen

NIS2 führt eine dreistufige Meldepflicht ein:

  • Frühwarnung — innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls
  • Meldung — vollständige Vorfallmeldung innerhalb von 72 Stunden
  • Abschlussbericht — spätestens 1 Monat nach der Meldung

Meldestelle in Österreich ist das Bundesamt für Cybersicherheit (BMBF) bzw. sektorspezifische Aufsichtsbehörden (z. B. FMA für den Finanzsektor).

Bußgelder bei Verstößen

Das NISG 2024 sieht empfindliche Sanktionen vor:

  • Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
  • Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
  • Zusätzlich: persönliche Haftung der Geschäftsführung (Art. 20 NIS2-Richtlinie)

ISO 27001 als Grundlage für NIS2-Compliance

ISO 27001 adressiert viele der NIS2-Anforderungen bereits systematisch: Risikoanalyse (Klausel 6), Incident Management (Annex A 5.24–5.28), Business Continuity (Annex A 5.30), Lieferantensicherheit (Annex A 5.19–5.22) und Zugriffskontrolle (Annex A 5.15–5.18). Ein bestehendes ISMS nach ISO 27001 ist daher die effizienteste Grundlage für NIS2-Compliance — reduziert aber den Aufwand, ersetzt ihn nicht vollständig (Meldeprozesse, Registrierung, Governance müssen ergänzt werden).