Mit der NIS2-Richtlinie steigt die Zahl der zur Cybersicherheit verpflichteten Unternehmen in Österreich von rund 100 auf über 4 000. Wer betroffen ist, hat seit dem 18. Oktober 2024 konkrete Pflichten — und die Geschäftsführung haftet persönlich für deren Umsetzung.

NIS2 ist keine reine IT-Vorschrift mehr. Sie ist eine Compliance-Richtlinie mit klaren Mindestanforderungen, Meldepflichten innerhalb von 24 Stunden und Bußgeldern bis zu 10 Mio. € oder 2 % des Jahresumsatzes. Dieser Beitrag erklärt, welche Unternehmen betroffen sind, was konkret zu tun ist — und worauf die Aufsichtsbehörde im Audit besonders schaut.

Verbindung zur DSGVO: NIS2 und DSGVO überlappen erheblich. Wer beide Regime sauber umsetzt, kann Synergien nutzen — wer nur eines bedient, dokumentiert doppelt. In der Beratungspraxis empfiehlt sich, beide gemeinsam aufzusetzen.

Wer ist betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Faustregel für KMU: Sie sind betroffen, wenn Ihr Unternehmen mindestens 50 Mitarbeiter ODER 10 Mio. € Jahresumsatz aufweist und in einem der 18 NIS2-Sektoren tätig ist (Energie, Gesundheit, Banken, Verkehr, IKT, Lebensmittel, Abfallwirtschaft, Post, öffentliche Verwaltung u. a.).

Wichtig: Auch IT-Dienstleister, die für betroffene Unternehmen tätig sind, fallen indirekt unter NIS2 — über die Lieferketten-Anforderungen. Wer als IT-Systemhaus für ein Krankenhaus arbeitet, muss die NIS2-Anforderungen mit erfüllen, auch wenn die Schwellenwerte selbst nicht erreicht werden.

Schritt 01 · Risikoanalyse

Risikomanagement-Konzept dokumentieren

Art. 21 NIS2 verlangt ein dokumentiertes Risikomanagement für Netz- und Informationssysteme. Konkret: eine Aufstellung aller IT-Assets, eine Risikobewertung pro Asset (Vertraulichkeit, Integrität, Verfügbarkeit) und ein Maßnahmenplan zur Risikominderung.

In der Praxis ist das Konzept das Pendant zum Verarbeitungsverzeichnis der DSGVO — nur aus Cybersecurity-Perspektive. Beide lassen sich gut parallel führen.

Asset-Inventar (Server, Cloud-Dienste, Endgeräte, IoT, OT-Systeme)
Risikobewertung pro Asset, mind. jährlich aktualisiert
Maßnahmenkatalog mit Verantwortlichkeiten und Fristen

Schritt 02 · Meldepflichten

24-Stunden-Meldekette aufbauen

Bei einem signifikanten Sicherheitsvorfall haben Sie 24 Stunden für die Erstmeldung an die nationale Behörde (in Österreich: GovCERT bzw. das Bundesministerium für Inneres). Innerhalb von 72 Stunden folgt die Zwischenmeldung, nach einem Monat der Abschlussbericht.

Diese Frist ist strenger als die DSGVO (72 h). Wer am Freitagabend einen Vorfall bemerkt, muss bis Samstagabend erstmelden — auch wenn er noch nicht abschließend versteht, was passiert ist.

Schritt 03 · Geschäftsführerhaftung

Schulung der Geschäftsleitung nachweisen

Art. 20 NIS2 schreibt vor, dass Geschäftsführer und Vorstände für die NIS2-Umsetzung persönlich verantwortlich sind — und regelmäßig geschult werden müssen. Im Falle eines Vorfalls prüft die Behörde, ob die Geschäftsführung ihre Aufsichtspflicht erfüllt hat.

Empfehlung: jährliche, dokumentierte NIS2-Schulung für die gesamte Geschäftsleitung. Teilnahme schriftlich festhalten. Im Bußgeldverfahren ist dieser Nachweis der zentrale Entlastungsbeweis.

Schritt 04 · Lieferkette

Vertragspflichten an IT-Dienstleister durchreichen

NIS2 verlangt explizit, dass Sie die Sicherheit Ihrer Lieferkette gewährleisten. Das bedeutet: Verträge mit IT-Dienstleistern, Cloud-Anbietern und Software-Lieferanten müssen konkrete Sicherheitsanforderungen enthalten — analog zum Auftragsverarbeitungsvertrag der DSGVO.

Mindestens: Meldepflicht bei Sicherheitsvorfällen, Audit-Recht, Mindeststandards für Patch-Management und Zugangskontrollen, Subunternehmer-Klausel.

Bußgeldrahmen: Wesentliche Einrichtungen können mit bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes bestraft werden — je nachdem, was höher ist. Wichtige Einrichtungen: 7 Mio. € oder 1,4 %. Zusätzlich kann die Behörde Geschäftsführer persönlich haftbar machen oder die Tätigkeit untersagen.

Was unterscheidet NIS2 von der DSGVO?

Die DSGVO schützt personenbezogene Daten. NIS2 schützt die Verfügbarkeit und Integrität kritischer Dienste. Ein Ransomware-Angriff, der Patientendaten verschlüsselt, ist gleichzeitig ein DSGVO-Vorfall (Datenschutzverletzung) und ein NIS2-Vorfall (Verfügbarkeitsausfall) — und muss an beide Behörden gemeldet werden, mit unterschiedlichen Fristen.

Wer ein integriertes Information-Security-Management nach ISO 27001 aufsetzt, deckt rund 80 % beider Regime ab. Der zusätzliche Aufwand für die NIS2-Compliance ist dann überschaubar.

NIS2 ist nicht die nächste IT-Aufgabe. Es ist eine Geschäftsführungsaufgabe — mit persönlicher Haftung im Vorfall. Aus der Beratungspraxis

Was jetzt konkret zu tun ist

Drei Fragen entscheiden, ob Sie betroffen sind: Sektor, Größe, Lieferanten-Status. Wer mindestens eine davon mit „Ja" beantwortet, sollte innerhalb der nächsten zwölf Wochen ein Risikomanagement-Konzept aufsetzen, eine Meldekette etablieren und die Geschäftsleitung schulen.

Im kostenlosen Erstgespräch klären wir, ob NIS2 für Ihr Unternehmen verbindlich ist und in welcher Reihenfolge die Umsetzung erfolgen sollte. Bei kombinierten DSGVO-/NIS2-Projekten lassen sich rund 30 % Doppelarbeit vermeiden.

NIS2 Cybersecurity KMU Compliance Geschäftsführerhaftung How-To