Cybersicherheit: Was du jetzt über NIS2 wissen musst

NIS2 gibt neue Regeln für Cybersicherheit in der EU vor. Wir haben die wichtigsten Infos über die EU-Richtlinie für dich.

Wer diesen Beitrag lesen sollte:

  • Entrepreneur:innen
  • Wirtschaftsexpert:innen

Lesedauer:

4 Minuten

AutorIn: Stephanie Dirnbacher-Krug

KI-generiertes Bild einer jungen Frau vor einem Laptop i
T-REX | stock.adobe.com
Digitalisierung Österreich
14.10.2024

Warum die für Oktober 2024 geplante EU-Richtlinie NIS2 in Österreich doch noch nicht kommt, wie sie die EU besser gegen Cyberangriffe rüsten soll und wer jetzt was beachten muss – das erfährst du hier.

Am 17. Oktober 2024 sollte die Umsetzung der NIS2-Richtlinie in Österreich und den anderen EU-Mitgliedstaaten wirksam werden. Das NISG 2024, der Gesetzesvorschlag der Bundesregierung, konnte aber vor den Nationalrats-Wahlen nicht mehr beschlossen werden. Wie es jetzt weitergeht und die Antworten auf alle wichtigen Fragen rund um NIS2 findest du hier.

Was ist die NIS2-Richtlinie?

Cyberattacken zählen auch 2024 wieder zu den Top-Risiken für Unternehmen. Die Zunahme solcher Bedrohungen und die damit verbundenen negativen Folgen für Wirtschaft und Gesellschaft waren für die EU Gründe, die NIS2-Richtlinie (NIS steht für die Sicherheit von Netz- und Informationssystemen) auf den Weg zu bringen. 

Rechtzeitig vorbereiten!

  • Die Wirtschaftskammer hat mit den Landingpages it-safe.at und wko.at/nis2 ein umfangreiches Informations- und Serviceangebot rund um das Thema Cybersicherheit im Unternehmen.
  • Darüber hinaus gibt es laufend Veranstaltungen, z.B.  am 4.11. "Cybersecurity in der Lieferkette"
  • Eigene NIS2-Workshops zum Thema bietet die FV UBIT Akademie incite an.
  • Eine Auflistung zu Basismaßnahmen für Cybersicherheit in Unternehmen findest du hier

Wie sieht der Zeitplan für die Verabschiedung und Umsetzung der NIS2-Richtlinie aus und sind noch relevante Änderungen zu erwarten?

"Die Umsetzung ist abhängig vom politischen und parlamentarischen Gesetzgebungsprozess", erklärt Verena Becker von der Bundessparte Information und Consulting der WKÖ. Unternehmen sollten damit rechnen, dass die neue NIS-Richtlinie und die zugehörigen Verordnungen im Laufe des Jahres 2025 in Kraft treten. Die verspätete Umsetzung in nationales Recht verschaffe den Unternehmen mehr Zeit für die Vorbereitung, die dringend notwendig ist und unbedingt genutzt werden sollte.

Warum braucht es die NIS2-Richtlinie?

"Cyberkriminelle agieren immer professioneller, die Cyberattacken steigen jährlich massiv an", sagt Verena Becker. "Mit der Cybersicherheits-Richtlinie will die EU gegensteuern und die Resilienz und Reaktion auf Sicherheitsvorfälle in der EU verbessern."


Teaser für Anmeldung zum MARIE MAIL i
WKÖ/DMC

Spannende Updates für dich 

Mit der MARI€ MAIL erhältst du unsere wichtigsten Infos direkt in deine Mailbox.

Jetzt zum Newsletter anmelden


Was beinhaltet die NIS2-Richtline konkret?

Die NIS2-Richtlinie schreibt konkrete Mindestmaßnahmen für das Risikomanagement vor – darunter etwa Datensicherungskonzepte, Mitarbeiterschulungen, Konzepte und Verfahren für den Einsatz von Kryptographie oder Multi-Faktor-Authentifizierung. Die Unternehmen müssen die Maßnahmen laufend auf Wirksamkeit evaluieren undanpassen. Erhebliche Sicherheitsvorfälle müssen unverzüglich, jedenfalls binnen 24 Stunden an die Cybersicherheitsbehörde gemeldet werden.

Unternehmen sollten keinesfalls warten, bis das neue NISG beschlossen wird, sondern JETZT handeln.

Verena Becker, Bundessparte Information und Consulting der WKÖ


Verena Becker von der Bundessparte Information und Consulting in der WKÖ i
WKÖ/Nadine Studeny

"Die neuen Vorgaben sind eine Herausforderung, aber enorm wichtig für jedes Unternehmen. Letztendlich zahlt sich der Einsatz aus, wenn man bedenkt, dass Unternehmen nach Cyberattacken mitunter monatelang damit beschäftigt sind, wieder auf die Beine zu kommen", erklärt WKÖ-Sicherheitsexpertin Verena Becker.

Worauf müssen die betroffenen Unternehmen jetzt besonders achten?

"Unternehmen sollten keinesfalls warten, bis das neue NISG beschlossen wird, sondern JETZT handeln. Unabhängig von NIS2 sollte jedes Unternehmen – egal welcher Größe und Branche – Mindestmaßnahmen treffen, um bei Cybersicherheitsvorfällen gerüstet zu sein", so Becker. Dies betrifft zum Beispiel Backupsysteme, regelmäßige Sicherheitsupdates und Awareness-Schulungen der Mitarbeiter:innen. Mit grundlegenden Maßnahmen kann ein Großteil der Angriffe abgewehrt werden.

Die 5 wichtigsten Punkte von NIS2

Um die EU für aktuelle und zukünftige IT-Sicherheitsrisiken zu rüsten, sieht die NIS2-Richtlinie folgende Maßnahmen für bestimmte gesellschaftlich relevante Sektoren vor:

  1. Die neuen Regeln gelten für alle mittleren und großen Unternehmen, die in aufgelisteten kritischen Bereichen tätig sind. Dazu zählen beispielsweiseVerkehr, Energie, Trinkwasser, Gesundheit, aber auch der Sektor Chemie. Der Lebensmittelbereich oder Betriebe mit herstellendem Gewerbe wie etwa ein Maschinenbauunternehmen sind auch darunter. Unabhängig von ihrer Größe fallen auch Unternehmen, die digitale Infrastruktur bereitstellen – etwa Netzbetreiber – in den Anwendungsbereich der neuen Richtlinie. In Österreich sind schätzungsweise 4.000 Unternehmen direkt und zigtausende weitere Dienstleister und Lieferanten von der neuen Cybersicherheits-Richtlinie betroffen.
  2. Achtung Kleinunternehmen! Auch Kleinunternehmen, die an von NIS2 betroffene Unternehmen liefern, müssen aufgrund der vorgeschriebenen Sicherheit der Lieferkette Sicherheitsanforderungen nachweisen können.
  3. Vorsicht vor Dominoeffekt: Um einem solchen vorzubeugen, müssen sich von NIS2 betroffene Einrichtungen auch um die Cybersicherheit ihrer Lieferant:innen kümmern und mit ihnen Risikomanagementmaßnahmen im Bereich Cybersicherheit vertraglich festlegen.
  4. Maßnahmen für Risikomanagement und Reaktion: Ein Ziel von NIS2 ist, durch EU-weite konkrete Risikomanagementmaßnahmen und Vorgaben, was im Falle einer Cyberattacke zu tun ist, unionsweit ein einheitliches Cybersicherheitsniveau zu schaffen und so für mehr Cyberresilienz in der EU zu sorgen.
  5. Strenge Haftung für Geschäftsführung: Für die Umsetzung der Regelungen sind die Leitungsorgane der betroffenen Organisationen (Geschäftsführer:in bei GmbH, Vorstände und Aufsichtsräte bei Aktiengesellschaft) verantwortlich. Sie müssen sich Schulungen unterziehen und sind für die Einhaltung der Vorgaben verantwortlich. Wenn Unternehmen gegen die Regelungen verstoßen, drohen Sanktionen bis zu 10 Millionen Euro oder 2% des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Millionen Euro oder 1,4% des Gesamtjahresumsatzes des Konzerns.

Wie werden betroffene kleine und mittlere Unternehmen bei der Umsetzung von NIS2 unterstützt?

Es stehen mit KMU DIGITAL & GREEN, den Cybersecurity-Schecks und verschiedenen Förderungen in den Bundesländern attraktive Förderungen zur Verfügung, bei denen bis zu 40% der Investitionskosten gefördert werden. Die Wirtschaftskammer stellt Informationen, Musterdokumente und Checklisten zur Verfügung, um Unternehmen bei der Erhöhung ihrer Cyberresilienz zu unterstützen.

Das Wichtigste in Kürze:

  • Die NIS2-Richtlinie zielt darauf ab, die Cyberresilienz von Wirtschaft und Gesellschaft in der EU zu verbessern.
  • Die Richtlinie schreibt strenge Risikomanagementmaßnahmen und eine Meldepflicht bei erheblichen Cybersicherheitsvorfällen vor.
  • Rund 4.000 heimische Betriebe sind direkt von NIS2 betroffen.
  • Zusätzlich müssen deren Dienstleister:innen und Lieferant:innen Sicherheitsanforderungen erfüllen.
  • In Österreich wird das Gesetz voraussichtlich im Lauf des Jahres 2025 in Kraft treten.
  • Unternehmen sollten entsprechende Cybersicherheitsmaßnahmen auch im eigenen Interesse umsetzen. Die Wirtschaftskammer Österreich begleitet dabeimit einem umfangreichen Informations- und Serviceangebot.