Die Bedrohungslage im Cyberraum hat sich für österreichische Unternehmen dramatisch verschärft. Ransomware-Angriffe auf Kärntner Landesbehörden oder Datenlecks bei Wiener Großunternehmen zeigen: Freiwillige Sicherheitsstandards reichen nicht mehr aus. Die Antwort der EU darauf ist die NIS-2-Richtlinie (Network and Information Security Directive), die in Österreich nun durch das neue Netz- und Informationssystemsicherheitsgesetz (NISG) in nationales Recht gegossen wird.
Für die heimische Wirtschaft ist dies der größte regulatorische Eingriff in die IT-Sicherheit seit der DSGVO. Schätzungen gehen davon aus, dass in Österreich zwischen 3.500 und 5.000 Unternehmen direkt betroffen sein werden – deutlich mehr als unter der alten Regelung. Doch viele Betriebe wissen noch nicht, dass sie unter die neuen Pflichten fallen, da der Anwendungsbereich massiv ausgeweitet wurde. Wer jetzt nicht handelt, riskiert nicht nur den Betriebsausfall, sondern auch empfindliche Strafen.
Wer ist betroffen? Der erweiterte Anwendungsbereich in Österreich
Die Zeiten, in denen nur Energieversorger oder Krankenhäuser als „kritisch“ galten, sind vorbei. NIS-2 unterscheidet nun zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Sobald ein Unternehmen in einem der definierten Sektoren tätig ist und mehr als 50 Mitarbeiter beschäftigt oder über 10 Millionen Euro Jahresumsatz erzielt, fällt es in der Regel unter das Gesetz.
Zu den betroffenen Sektoren zählen nun auch die Lebensmittelproduktion, die Abfallbewirtschaftung, Postdienste und vor allem digitale Anbieter. Gerade Online-Plattformen, die täglich tausende Transaktionen verarbeiten, stehen im Fokus. So setzen beispielsweise führende Anbieter im Bereich des digitalen Entertainments bereits auf fortschrittliche Verschlüsselung und Identitätsmanagement, um die Integrität ihrer Dienste zu gewährleisten. Solche hohen Sicherheitsstandards, wie sie bei Mr Bet oder im Bankwesen üblich sind, werden durch NIS-2 nun für einen viel breiteren Kreis von Unternehmen zum gesetzlichen Mindeststandard. Auch IT-Dienstleister und Managed Service Provider (MSPs) in Österreich rücken ins Visier: Sie gelten oft als Einfallstor in die Systeme ihrer Kunden und müssen daher besonders streng kontrolliert werden.
Die Frage ist also nicht mehr „Ob“, sondern „Wie“ man die Anforderungen umsetzt. Die Richtlinie verlangt keinen bloßen Papier-Tiger, sondern echte, operative Resilienz.
Die 5 dringendsten Maßnahmen für Ihren Sicherheitsplan
Um den Anforderungen des österreichischen Gesetzgebers gerecht zu werden, müssen Unternehmen einen Maßnahmenkatalog („All-Hazards-Approach“) implementieren, der technische, operative und organisatorische Aspekte abdeckt.
Folgende fünf Punkte sollten auf Ihrer Agenda für 2025 ganz oben stehen:
- Risikoanalyse und Sicherheitspolitik: Dies ist das Fundament. Unternehmen müssen dokumentieren, welche Cyber-Risiken bestehen und wie sie diese bewerten. Es reicht nicht, eine Firewall zu haben; Sie müssen beweisen können, dass diese Firewall als Antwort auf ein spezifisches Risiko konfiguriert wurde.
- Bewältigung von Sicherheitsvorfällen (Incident Management): Wenn der Hackerangriff passiert, zählt jede Minute. Es muss ein klarer Plan existieren: Wer wird informiert? Wie werden Systeme isoliert?
- Business Continuity & Backup-Management: NIS-2 fordert, dass der Betrieb auch während oder kurz nach einem Angriff weiterlaufen kann. Dies erfordert offlinefähige Backups und regelmäßige Wiederherstellungstests, nicht nur einmal im Jahr, sondern kontinuierlich.
- Sicherheit der Lieferkette (Supply Chain Security): Sie haften für die Sicherheit Ihrer Zulieferer. Prüfen Sie, ob Ihre Software-Lieferanten sicher entwickeln und ob Ihre Hardware-Partner zertifiziert sind.
- Kryptografie und Verschlüsselung: Der Einsatz von Ende-zu-Ende-Verschlüsselung wird faktisch zur Pflicht, wo immer sensible Daten übertragen werden.
Besonders der Punkt der Lieferkettensicherheit bereitet vielen österreichischen Einkaufsabteilungen Kopfzerbrechen, da hier vertragliche Nachbesserungen mit oft hunderten Lieferanten notwendig werden.
Deep Dive: Die neuen Meldepflichten als organisatorische Hürde
Ein oft unterschätzter Aspekt ist das extrem enge Zeitkorsett für Meldungen. Unter NIS-2 müssen „erhebliche Sicherheitsvorfälle“ innerhalb von 24 Stunden als Frühwarnung an die zuständige nationale Behörde (in Österreich das BMI bzw. GovCERT) gemeldet werden. Nach 72 Stunden muss ein ausführlicher Bericht folgen.
Um die Unterschiede zur alten Rechtslage zu verdeutlichen, lohnt sich ein Blick auf die Details.
NIS-1 vs. NIS-2: Was sich für Österreich ändert
Die Verschärfungen sind signifikant. Während NIS-1 oft als zahnloser Tiger wahrgenommen wurde, bringt NIS-2 echte Sanktionsmöglichkeiten mit sich.
| Merkmal | NIS-1 (Alte Rechtslage) | NIS-2 (Neue Rechtslage ab 2025) |
| Betroffene Sektoren | Wenige (Energie, Verkehr, Banken). | Viele (inkl. Lebensmittel, Chemie, Digitales, Abfall). |
| Größenkriterium | Identifizierung durch Behörde notwendig. | „Size-Cap-Rule“: Automatisch betroffen ab 50 MA / 10 Mio. € Umsatz. |
| Sanktionen | Eher gering, selten exekutiert. | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. |
| Haftung | Unklar geregelt. | Persönliche Haftung der Geschäftsführung (CEO/Vorstand). |
| Aufsicht | Ex-post (Reaktion nach Vorfall). | Ex-ante (Proaktive Audits) bei wesentlichen Einrichtungen. |
Diese Tabelle zeigt: Ignoranz ist keine Option mehr. Besonders der Punkt der Geschäftsführerhaftung sorgt in den Chefetagen für Unruhe.
Haftung: Warum Cybersecurity jetzt Chefsache ist
Das vielleicht schärfste Schwert der neuen Richtlinie ist die direkte Inpflichtnahme der Leitungsorgane. In Österreich bedeutet dies, dass Geschäftsführer einer GmbH oder Vorstände einer AG persönlich haftbar gemacht werden können, wenn sie die Umsetzung der Maßnahmen vernachlässigen.
Es ist nicht mehr möglich, die Verantwortung einfach an den „IT-Leiter“ zu delegieren. Die Geschäftsführung muss:
- Risikomanagement-Maßnahmen billigen.
- Die Umsetzung überwachen.
- Regelmäßig an Schulungen teilnehmen (und diese für Mitarbeiter anordnen).
Kommt es zu einem Schaden durch einen Cyberangriff, der auf mangelnde Umsetzung von NIS-2 zurückzuführen ist, kann der Geschäftsführer mit seinem Privatvermögen haften. Dies soll sicherstellen, dass IT-Sicherheit endlich als strategisches Unternehmensziel und nicht nur als Kostenstelle gesehen wird.
Handeln Sie, bevor das Gesetz greift
Die Umsetzung der NIS-2-Richtlinie ist ein Kraftakt für die österreichische Wirtschaft, aber auch eine notwendige Modernisierung. In einer vernetzten Welt ist ein unsicheres Unternehmen ein Risiko für alle. Nutzen Sie die verbleibende Zeit bis zum scharfen Start der Kontrollen. Beginnen Sie mit einer GAP-Analyse: Wo steht Ihre IT-Sicherheit heute und was fehlt zur Compliance?
Die Investition in NIS-2-Konformität ist letztlich eine Investition in den Fortbestand Ihres Unternehmens. Wer sicher ist, bleibt geschäftsfähig – auch im Krisenfall.
