NIS 2
NIS 2: Zeit zum Handeln
Die NIS 2 bringt umfassende Cybersicherheitsvorgaben für wesentliche und wichtige Unternehmen. Betroffenen Betriebe sollten – trotz der österreichischen Verzögerung – die nötigen Maßnahmen ergreifen

Die NIS 2 zielt darauf ab, Unternehmen in der EU zu einem harmonisierten und einheitlichen Sicherheitsniveau zu bringen – eine Notwendigkeit angesichts global agierender Cyberkrimineller.
Bild: Freepik
Seit 17. Oktober gilt in Österreich die EU-Richtlinie NIS 2, die umfassende Änderungen im Bereich der Cybersicherheit mit sich bringt. Unternehmen sollten sich dieser Realität nicht verschließen, denn die wachsende Zahl an Cyberattacken bedroht nicht nur einzelne Betriebe, sondern ganze Sektoren. Die Richtlinie zielt darauf ab, Unternehmen in der EU zu einem harmonisierten und einheitlichen Sicherheitsniveau zu bringen – eine Notwendigkeit angesichts global agierender Cyberkrimineller.
Warum NIS 2.
Cyberkriminelle kennen keine nationalen Grenzen, weshalb rein nationale Sicherheitsmaßnahmen oft unzureichend sind. „Es geht darum, den europäischen Cyberschutz zu vereinheitlichen und sicherzustellen, dass kein Unternehmen zur Schwachstelle im Netzwerk wird“, sagt ein Sicherheitsexperte aus der Branche. Denn gerade in kritischen Infrastrukturen wie der Energieversorgung oder dem Gesundheitswesen kann eine einzige Schwachstelle gravierende Auswirkungen haben.
Der Anwendungsbereich des NIS 2 umfasst 18 Sektoren, wobei zwischen wesentlichen und wichtigen Einrichtungen unterschieden wird. Zu ersteren zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Wichtige Einrichtungen sind Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste und Forschung.
Verzögerungen bei der Umsetzung.
Die EU-Kommission hat bereits im Mai 2022 die NIS 2-Richtlinie verabschiedet, bis Mitte Oktober 2024 sollte sie in österreichisches Recht gegossen sein. Das ist bislang nicht gelungen. Unternehmen sollten jedoch nicht auf die nationale Umsetzung warten oder auf Änderungen hoffen. Denn die NIS 2 wird in jedem Fall umgesetzt, und die entsprechenden Sanktionen – darunter Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – sind gravierend. Betroffene Unternehmen sind daher gut beraten mit der Umsetzung der Security-Maßnahmen zu beginnen. Aber nicht um den Strafen zu entgehen, sondern weil es zu den unternehmerischen Grundaufgaben gehört, wie Expert:innen nicht müde werden zu mahnen.
Was ist tun.
Die NIS 2 schreibt klare Maßnahmen zur Cybersicherheit vor. Zu den technischen Anforderungen gehören beispielsweise die Einführung von Multi-Faktor-Authentifizierung und Verschlüsselung. Doch damit ist es nicht getan. Vielmehr fordert die Richtlinie einen umfassenden Ansatz: Unternehmen müssen Risikoanalysen durchführen, Notfallpläne erstellen und sicherstellen, dass sie nach einem Cyberangriff weiterarbeiten können. Diese sog. Business Continuity ist ein zentraler Bestandteil der Richtlinie. Wichtig ist zudem, dass Cybersicherheit nicht länger als IT-Thema betrachtet wird. Die Geschäftsleitung selbst ist verantwortlich für die Umsetzung der Maßnahmen und kann bei Verstößen haftbar gemacht werden.
Cybersicherheit als Daueraufgabe.
Auch wenn Unternehmen NIS 2-konform sind, bedeutet das nicht, dass sie dauerhaft sicher sind. Cybersicherheit ist ein fortlaufender Prozess, der regelmäßige Updates, Patch-Management und die kontinuierliche Schulung von Mitarbeitenden erfordert. Hacker entwickeln sich ständig weiter und finden immer neue Schwachstellen in Systemen. Daher gilt es, wachsam zu bleiben und Cybersicherheit als festen Bestandteil des Unternehmensalltags zu etablieren.