NIS2 in Österreich: Was Unternehmen konkret umsetzen müssen

Die österreichische NIS2-Umsetzung: NISG 2024

Österreich hat die NIS2-Richtlinie durch das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) in nationales Recht umgesetzt. Das Gesetz ist seit Oktober 2024 anwendbar. Im Vergleich zur Vorgängerregelung (NISG 2018) ist der Kreis der betroffenen Unternehmen deutlich größer geworden.

Wer ist betroffen?

Das NISG 2024 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen:

Wesentliche Einrichtungen sind typischerweise große Unternehmen (>250 Mitarbeiter oder >50 Mio. € Umsatz) in kritischen Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienste (B2B), öffentliche Verwaltung und Raumfahrt.

Wichtige Einrichtungen umfassen mittlere Unternehmen (>50 Mitarbeiter oder >10 Mio. € Umsatz) in denselben sowie weiteren Sektoren: Post und Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung von Medizinprodukten, Elektronik, Fahrzeugbau, allgemeiner Maschinenbau, digitale Anbieter und Forschung.

Wichtig: Auch wenn Ihr Unternehmen die Größenschwelle nicht erfüllt, kann es als wesentliche Einrichtung gelten, wenn es der einzige Anbieter eines bestimmten kritischen Dienstes ist oder wenn ein Ausfall erhebliche Folgen hätte.

Was konkret umgesetzt werden muss

Das NISG 2024 schreibt folgende Maßnahmen vor:

Risikomanagement: Identifikation und Bewertung von Risiken für Netz- und Informationssysteme; Implementierung geeigneter technischer und organisatorischer Maßnahmen.

Sicherheitsmaßnahmen (exemplarisch): Policies zur Informationssicherheit, Business Continuity, Kryptographie und Zugangskontrolle; Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen; Schulungen; Multi-Faktor-Authentifizierung.

Lieferkettensicherheit: Bewertung und Management von Sicherheitsrisiken durch Lieferanten und Dienstleister.

Meldepflichten: Schwerwiegende Vorfälle müssen innerhalb von 24 Stunden (Frühwarnung), 72 Stunden (Notification) und 30 Tagen (Abschlussbericht) an das CERT.at gemeldet werden.

Registrierungspflicht: Betroffene Unternehmen müssen sich beim BMLRT (Bundesministerium für Landwirtschaft, Regionen und Tourismus als zuständige Behörde) registrieren.

Sanktionen und Durchsetzung

Das NISG 2024 sieht Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen vor. Für wichtige Einrichtungen gelten Bußgelder von bis zu 7 Mio. Euro oder 1,4 % des Umsatzes. Zusätzlich ist wie in der Richtlinie vorgesehen die persönliche Haftung von Leitungsorganen möglich.

Erste Schritte in der Praxis

Der praktische Einstieg beginnt mit einer Bestandsaufnahme: Bin ich überhaupt betroffen? Welche Systeme und Prozesse fallen unter NISG 2024? Welche Maßnahmen habe ich bereits, welche fehlen noch? Auf Basis dieser Analyse lässt sich ein priorisierbarer Umsetzungsplan entwickeln.

Hinweis: Dieser Artikel gibt einen allgemeinen Überblick über das NISG 2024 und ersetzt keine Rechts- oder Compliance-Beratung.