NIS2 in Österreich: NISG 2026 bringt neue Pflichten und hohe Strafen

Unser Experte Engelbert Mauthner:

Die NIS2-Richtlinie stellt für vie­le Unternehmen eine gro­ße Herausforderung dar, da die kom­plet­te IT-Infrastruktur auf den Prüfstand gestellt wer­den muss. Die Anforderungen sind umfang­reich und die Sanktionen bei Nichteinhaltung erheb­lich – bis zu EUR 10 Millionen oder 2% des welt­wei­ten Jahresumsatzes für wesent­li­che Einrichtungen.

Die im Sommer 2024 gegrün­de­te BG&P X IT GmbH ver­sam­melt alle IT-Kompetenzen der BG&P Unternehmensgruppe unter einem Dach, von umfang­rei­chen Beratungsleistungen bis hin zu indi­vi­du­el­len Softwarelösungen. Eine NIS2 Beratung und Compliance-Prozessbegleitung gehört zu die­sem Portfolio.

Was ändert sich gegen­über NIS?

Auch wenn Ihr Unternehmen nicht direkt unter die NIS2-Richtlinie fällt, könn­ten Sie als Teil der Lieferkette betrof­fe­ner Unternehmen den­noch in den Anwendungsbereich gelan­gen. Die Richtlinie sieht umfang­rei­che­re Maßnahmen als die ursprüng­li­che NIS vor, und die Verantwortung liegt nun expli­zit bei der Unternehmensleitung.

Risikomanagementmaßnahmen müs­sen nach einem risi­ko­ba­sier­ten Vorgehen wirk­sam eta­bliert wer­den. Zu den zen­tra­len Anforderungen zählen:

• Erstellung von Risikoanalyse- und Informationssicherheitskonzepten
• Maßnahmen zur Bewältigung von Sicherheitsvorfällen
• Maßnahmen zur Aufrechterhaltung des Betriebs (Back-up-Management und Wiederherstellung)
• Konzepte für Zugriffskontrollen
• Verwendung von Multi-Faktor-Authentifizierung und gesi­cher­ter Kommunikation

Grundlegende Maßnahmen zur Cyberhygiene müs­sen umfas­send ein­ge­führt wer­den, ins­be­son­de­re auch in Bezug auf Lieferketten:

• Risikomanagement und Sicherheitsrichtlinien
• Software-Updates und Gerätekonfiguration
• Netzwerksegmentierung und Identitäts- und Zugriffsmanagement
• Schulungen für Mitarbeiter:innen
• Meldung von Sicherheitsvorfällen und phy­si­sche Sicherheit
• Bewertung der eige­nen Cybersicherheitskapazitäten und Integration moder­ner Technologien wie Künstliche Intelligenz oder Machine Learning

Unsere Leistungen auf einen Blick

• Begleitung durch den gesam­ten Compliance-Prozess: Wir unter­stüt­zen Sie von der Analyse des IST-Zustands bis zur voll­stän­di­gen Umsetzung der NIS2-Anforderungen.
• Sicherheitsstand bewer­ten und ver­bes­sern: Wir zei­gen auf, wel­che Erfordernisse nötig sind, um die NIS2-Vorgaben zu erfüllen.
• Maßgeschneiderte Lösungen: Unsere IT-Experten ent­wi­ckeln umsetz­ba­re Maßnahmen, die auf die spe­zi­fi­schen Anforderungen Ihres Unternehmens und Ihrer Branche abge­stimmt sind.
• Erhöhte Transparenz und Klarheit: Sie erhal­ten einen detail­lier­ten Überblick über den aktu­el­len Stand Ihrer IT-Sicherheit und kla­re Handlungsempfehlungen.

Hintergrund & Ziele der NIS2-Richtlinie

Die NIS2-Richtlinie ist eine EU-weite Initiative, die dar­auf abzielt, die Cybersicherheitsstandards zu ver­ein­heit­li­chen und die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhö­hen. Ihr Hauptziel ist es, die Sicherheit von Netz- und Informationssystemen auf ein hohes Niveau zu heben.

Die Richtlinie knüpft an die NIS-Richtlinie von 2018 an und moder­ni­siert den Rechtsrahmen auf­grund der zuneh­men­den Digitalisierung, der ver­än­der­ten Bedrohungslandschaft und der Defizite der ursprüng­li­chen NIS. Sie wur­de am 27. Dezember 2022 im Amtsblatt der Europäischen Union ver­öf­fent­licht und muss­te bis zum 17. Oktober 2024 in natio­na­les Recht umge­setzt werden.

Wesentliche Neuerungen im NISG 2026

1. Unterscheidung zwi­schen wesent­li­chen und wich­ti­gen Einrichtungen

Wesentliche Einrichtungen umfas­sen Sektoren wie Energie, Verkehr, Wasserversorgung, Gesundheitswesen, Abwasser, digi­ta­le Infrastruktur, öffent­li­che Verwaltung und Weltraum. Für sie gel­ten stren­ge­re Anforderungen und höhe­re Sanktionen.

Wichtige Einrichtungen umfas­sen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelproduktion, Hersteller bestimm­ter Waren, Anbieter digi­ta­ler Dienste und Forschungseinrichtungen.

2. Anwendungsbereich

Um Divergenzen zwi­schen Mitgliedstaaten zu ver­mei­den, defi­niert die Richtlinie den Anwendungsbereich selbst: Sie umfasst alle mitt­le­ren und gro­ßen Unternehmen in den wesent­li­chen und wich­ti­gen Sektoren. Wichtig: Es gibt kein Konzernprivileg, jede Gesellschaft ist sepa­rat zu betrachten.

3. Umfangreiche Risikomanagementmaßnahmen

Die Unternehmensleitung trägt die Verantwortung für die Einhaltung. Erforderlich sind unter anderem:

• Risikoanalyse- und Informationssicherheitskonzepte
• Maßnahmen zur Bewältigung von Sicherheitsvorfällen
• Back-up-Management und Wiederherstellung
• Zugriffskontrollen und Multi-Faktor-Authentifizierung
• Software-Updates, Netzwerksegmentierung, Gerätekonfiguration
• Schulungen für Mitarbeiter:innen
• Lieferkettenmanagement und phy­si­sche Sicherheit

4. Strikte Meldepflichten

Erhebliche Sicherheitsvorfälle müs­sen zeit­nah gemel­det werden:

• Frühwarnung: Innerhalb von 24 Stunden nach Kenntnisnahme
• Meldung: Innerhalb von 72 Stunden
• Abschlussbericht: Spätestens 1 Monat nach der Meldung

5. Aufsichts- und Durchsetzungsmaßnahmen

Die Cybersicherheitsbehörde (eine nach­ge­la­ger­te Behörde des BMI) ist ermäch­tigt zu Vor-Ort-Kontrollen, Sicherheitsprüfungen und Ad-hoc-Prüfungen. Für orga­ni­sa­to­ri­sche Aspekte sind bestehen­de Nachweise (z.B. ISO/IEC 27001) anre­chen­bar, tech­ni­sche Wirksamkeitskontrollen müs­sen jedoch sepa­rat nach­ge­wie­sen wer­den (z.B. durch Penetrationstests).

6. Erhebliche Sanktionen

• Wesentliche Einrichtungen: Bis zu EUR 10 Millionen oder 2% des welt­wei­ten Jahresumsatzes (je nach­dem, wel­cher Betrag höher ist)
• Wichtige Einrichtungen: Bis zu EUR 7 Millionen oder 1,4% des welt­wei­ten Jahresumsatzes

Zusätzlich besteht für Leitungsorgane das Risiko von Schadenersatzforderungen bei Pflichtverletzungen.