th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram
Mein WKO
  1. Home
  3. Innovation, Technologie und Digitalisierung
  4. IT-Sicherheit, Datensicherheit
  5. Cybersicherheits-Richtlinie NIS 2

Cybersicherheits-Richtlinie NIS 2

Neue Regelungen für mehr Cybersicherheit in der EU

Mit der neuen Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2" gelten ab Oktober 2024 für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. 

Was bedeutet NIS?

NIS steht für die Sicherheit der Netz- und Informationssysteme. Derzeit gilt die NIS-Richtlinie aus 2016, die in Österreich mit dem NIS-Gesetz umgesetzt wurde. Die derzeit geltenden Regelungen betreffen vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste).

Ab wann gelten die neuen Regelungen für Unternehmen?

Voraussichtlich spätestens ab 18. Oktober 2024.

Die NIS2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und- wird die derzeit geltende Richtlinie zur Netz- und Informationsystemsicherheit (NIS-Richtlinie) ersetzen. Die Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 umsetzen.

Was ist das Ziel von NIS2?

Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern.

Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.

Betroffene Einrichtungen müssen daher geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen.

Wer ist betroffen?

Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:

Wesentliche Einrichtungen:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten B2B
  • öffentliche Verwaltung
  • Weltraum 

Wichtige Einrichtungen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie
  • Lebensmittel
  • verarbeitendes/herstellendes Gewerbe
  • Anbieter digitaler Dienste
  • Forschung (fakultativ)

Sind auch kleine Unternehmen betroffen?

Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro  beläuft, fallen nicht unter NIS2.

Dabei gibt es jedoch Ausnahmen - folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:

  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten.

Testen Sie mit unserem Online-Ratgeber, ob Ihr Unternehmen von NIS2 betroffen ist.

Welche Regelungen sind zu beachten?

  • Risikomanagementmaßnahmen (z.B. Konzepte für Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Backupmanagement, Schulung von Mitarbeiter:innen)
  • Lieferketten und Abhängigkeiten von Partnerunternehmen müssen inkludiert werden.
  • Meldepflichten: 
  • Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.

Was passiert, wenn Unternehmen die Regelungen nicht einhalten?

Bei Nichterfüllung drohen Sanktionen bis zu EUR 10 Mio. und 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. EUR 7 Mio. und 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Leitungsorgane (Geschäftsführer und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.

Wo erhalten Unternehmen Unterstützung?

Weitere Informationen

Cybersicherheit in der EU: Was bedeutet die NIS2-Richtlinie für Unternehmen?
Webinar 

Cybersicherheits-Richtlinie NIS 2 tritt in Kraft
Neue Regelungen für mehr Cybersicherheit in der EU

Ist mein Unternehmen von NIS2 betroffen?
Online-Ratgeber NIS2

Cybersicherheit – Das NISG
Derzeit geltende Rechtslage (NIS-Richtlinie und NIS-Gesetz)

NIS - Verpflichtungen für Anbieter digitaler Dienste im Bereich Netz- und Informationssystemsicherheit
Derzeit geltende EU-NIS-Richtlinie, NIS-Gesetz und NIS-Verordnung

Stand: