Zum Inhalt springen
Vektor-Illustration eines blauen Hintergrunds, in dessen Mitte NIS zwei steht. Um den Begriff ist ein Kreis aus gelben Sternen. Auf dem blauen Hintergrund ist eine Karte des Kontinenten Europas
© Konsta | stock.adobe.com
Holzindustrie, Fachgruppe

Cybersicherheits-Richtlinie NIS2: NIS-2-Umsetzungsgesetz in Deutschland

Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Damit wird das deutsche IT-Sicherheitsrecht grundlegend modernisiert und deutlich ausgeweitet.

Lesedauer: 4 Minuten

20.11.2025

Relevanz für Unternehmen in Österreich

Das deutsche Gesetz ist auch für österreichische Unternehmen relevant, insbesondere

  • in der Konzernstruktur (wenn z. B. die deutsche Muttergesellschaft interne Richtlinien vorgibt, die auch für öst. Tochtergesellschaften gelten) oder
  • in der Lieferkette, wenn heimische Unternehmen deutsche NIS-2-Einrichtungen beliefern und diese vertraglich Cybersicherheitsanforderungen entsprechend dem NIS-2-Umsetzungsgesetz einfordern. 

Die betroffenen Unternehmen und Einrichtungen in Deutschland müssen künftig Schutzmaßnahmen wie etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen ergreifen. Cyberangriffe müssen binnen 24 Stunden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, das mit dem Gesetz mehr Aufsichtsbefugnisse erhält und bei schwerwiegenden Verstößen Bußgelder verhängen kann. 

Rechtslage in Österreich

In Österreich ist die NIS-2-Richtlinie bekannterweise noch nicht umgesetzt. Das Umsetzungsgesetz befindet sich derzeit in politischer Abstimmung. Es ist schwer zu sagen, wann es wirklich im Nationalrat eine Zweidrittelmehrheit findet.

Aber: Mit der Umsetzung in Deutschland und anderen EU-Mitgliedstaaten (derzeit haben 15 von 27 Mitgliedstaaten NIS-2 umgesetzt) steigt der Druck auf den österreichischen Gesetzgeber zunehmend, auch angesichts des laufenden Vertragsverletzungsverfahrens gegen Österreich (und andere).

Infos zur Umsetzung in Österreich >> 

Erweiterter Anwendungsbereich und neue Pflichten

Kernstück des Gesetzes ist die Novellierung des BSI-Gesetzes (BSIG). Während bisher rund 4.500 Einrichtungen unter das BSIG fielen – darunter Betreiber Kritischer Infrastrukturen und Anbieter digitaler Dienste – erweitert das neue Gesetz den Kreis auf etwa 29.500 Einrichtungen.

Anmerkung für Österreich: In Österreich gehen wir derzeit von ca. 4.000 Einrichtungen im direkten NIS-2-Anwendungsbereich aus, zusätzlich sind zigtausende Dienstleister und Lieferanten indirekt betroffen.

Ein großer Unterschied zwischen Deutschland und Österreich ist, dass es in Deutschland bisher schon eine KRITIS-Gesetzgebung gibt, auf die der Gesetzgeber aufbauen kann bzw. auch Rücksicht nehmen muss, während es in Österreich noch keine umfassende gesetzliche Regelung für die kritische Infrastruktur gibt. (Beim Stichwort kritische Infrastruktur auch gleich der Hinweis auf Resilienz kritischer Einrichtungen-Gesetz - WKO). 

Wichtige und besonders wichtige Einrichtungen in Deutschland

Neu hinzu kommen im BSIG die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“.

Anmerkung für Österreich: Der Gesetzesentwurf NISG 2024 verwendet - anders als in Deutschland-  ebenso wie die NIS-2-Richtlinie die Begriffe „wesentliche“ und „wichtige Einrichtungen“ („important and essential entities“). 

Pflichten

Für diese Unternehmen gelten künftig umfassende gesetzliche Pflichten:

  • Registrierung beim BSI
  • Meldung erheblicher IT-Sicherheitsvorfälle
  • Umsetzung technischer und organisatorischer Maßnahmen zum Risikomanagement
  • Berücksichtigung der Sicherheit in der Lieferkette
  • Verantwortung der Geschäftsleitung für die Einhaltung der Vorgaben

Anmerkung für Österreich: Auch der Gesetzesentwurf NISG 2024 sieht diese Pflichten vor, wobei die Behördenstruktur in Österreich beim BMI angesiedelt werden soll. 

Keine Übergangsfrist vorgesehen

Das BISG sieht keine Übergangsfrist für die Umsetzung vor, Unternehmen müssen daher rasch entsprechende Maßnahmen umsetzen!

Die Veröffentlichung im Bundesgesetzblatt und die Unterzeichnung durch den Bundespräsidenten stehen noch aus, das Inkrafttreten wird jedoch sehr bald erwartet. 

Anforderungen an die Bundesverwaltung

Auch die Bundesverwaltung wird verpflichtet, Mindeststandards der Informationssicherheit einzuhalten. Diese orientieren sich unter anderem am IT-Grundschutz-Kompendium des BSI. Darüber hinaus soll eine ressortübergreifende IT-Governance-Struktur etabliert werden, um Cybersicherheit gemeinsam und kontinuierlich weiterzuentwickeln. Die Koordination übernimmt auch hier das BSI als CISO Bund. 

Fazit: Jetzt handeln – NIS-2 rasch umsetzen!

Die Verabschiedung des NIS-2-Umsetzungsgesetzes in Deutschland zeigt deutlich: Die Anforderungen an die Cybersicherheit steigen europaweit – und zwar ohne Übergangsfristen. Auch in Österreich steht die Umsetzung der NIS-2-Richtlinie bevor, wenn wir auch noch nicht wissen, wann genau.

Unternehmen, die in den Anwendungsbereich der Richtlinie fallen oder derartigen Einrichtungen als Kunden haben, sind daher gut beraten, jetzt aktiv zu werden. 

Was ist zu tun?

  • Rechtliche Einordnung prüfen: Gehört mein Unternehmen zu den „wesentlichen“ oder „wichtigen Einrichtungen“? Ist mein Unternehmen Lieferant oder Dienstleister für NIS-2 Einrichtungen in der EU?
  • Pflichten analysieren: Welche Anforderungen gelten konkret – z. B. in Bezug auf Risikomanagement, Meldepflichten oder Lieferkettensicherheit? Was davon ist schon umgesetzt, was muss noch umgesetzt werden?
  • Maßnahmen umsetzen: Aufbau oder Anpassung eines angemessenen Informationssicherheitsmanagementsystems (ISMS), Schulung der Geschäftsleitung, Etablierung von Meldeprozessen uvm. 

Hier noch einige interessante Details des BSI-Gesetzes bei erster Durchsicht: 

Einschränkung Anwendungsbereich:

Besonders spannend finde ich den § 28 Abs.3:

Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.

Einschränkungen auf Schwerpunkttätigkeiten sieht die NIS-2-Richtlinie nur für 2 Sektoren (Abwasser und Abfallwirtschaft) vor. Die weite Einschränkung des Anwendungsbereichs des § 28 Abs.3 BSIG ist  daher meines Erachtens nicht EU-rechtskonform. Es bleibt abzuwarten, wie die Kommission das sieht.  

Zur Zurechnung im Konzern:

Ausdrückliche Erwähnung der Nichthinzurechnung von Umsatz und Mitarbeiterzahl bei der Größenberechnung bei Unabhängigkeit von anderen Gesellschaften:

28 Abs. 4:

Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung der Kommission 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen ist.

Mehr Infos findet Sie hier: https://wko.at/nis  

Weitere interessante Artikel