NIS-2 | NISG

Die Abkürzung "NIS" steht für "Netz- und Informationssystemsicherheit" und bezieht sich somit auf die Sicherheit von Netzwerken und Informationssystemen. 

NIS-2 ist die zweite Version der EU-Richtlinie, die die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und digitale Diensteanbieter in der Europäischen Union regelt. Diese Richtlinie wurde entwickelt, um die Widerstandsfähigkeit und Sicherheit von kritischen Infrastrukturen und digitalen Diensten zu erhöhen. 

Das NISG 2026 setzt die NIS-2 Richtlinie in nationales, österreichisches Gesetz um und konkretisiert in Kombination mit zwei Anhängen die geforderten Maßnahmen und Meldepflichten, welche durch Unternehmen einzuhalten sind.  

Die umfangreichen Anforderungen des NISG 2026 und der damit verbundene Umsetzungsaufwand mag für viele Unternehmen auf den ersten Blick abschreckend wirken. Es ist jedoch auch eine wertvolle Chance, sich auf sehr reale Cyber-Risiken vorzubereiten, allenfalls vorhandene Sicherheitsmaßnahmen kritisch zu hinterfragen und Prozesse zu optimieren. Dies führt langfristig zu einer sichereren, resilienteren und flexibleren Organisation. 

Es wird geschätzt, dass in Österreich 3.500 bis 5.000 Unternehmen von NISG 2026 betroffen sind. Das liegt daran, dass die Sektoren, welche als kritisch gelten, deutlich erweitert wurden. Neben den bekannten Sektoren wie Verkehr, Energie und Trinkwasserversorgung ist nun beispielsweise auch Produktion und Vertrieb von Lebensmitteln, chemischen Stoffen und Maschinenbau umfasst. Betroffene Unternehmen müssen sich initial eigenständig binnen 3 Monaten nach Inkrafttreten des NISG 2026 bei der Cybersicherheitsbehörde registrieren, das heißt bis 31.12.2026. 

Die EU-Richtlinie ist am 16.01.2023 in Kraft getreten und sollte von den EU-Mitgliedsstaaten bis spätestens 17.10.2024 in nationales Recht umgesetzt werden. Dieser Schritt erfolgte in Österreich erst am 18.12.2025. Dadurch ergeben sich folgende Stichtage: 

• 01.10.2026: Das NISG 2026 tritt in Kraft. 
• 01.01.2027 : Selbstmeldungen müssen bei der Cybersicherheitsbehörde erfolgt sein. 
• 01.10.2027: Bis zu diesem Stichtag muss eine Meldung über Risikomanagement-Maßnahmen in einer Selbstdeklaration erfolgen. 

Prüfungsnachweis: 

• Es ist außerdem vorgesehen, dass wesentliche Einrichtungen innerhalb von zwei Monaten nach Aufforderung durch die Cybersicherheits-Behörde einen Nachweis über die Wirksamkeit der getroffenen Maßnahmen zu erbringen haben. 
• Wichtige Einrichtungen müssen den Nachweis hingegen erst zwei Jahre nach Anfrage erbringen. 

Jetzt gilt es für die Unternehmen, die Betroffenheit und Einordnung (wesentlich oder wichtig) festzustellen und darauffolgend die geforderten Maßnahmen umzusetzen. 

Die NIS-2 vereinheitlicht das Cybersicherheitsniveau innerhalb der EU, stärkt die Resilienz der betroffenen Unternehmen und verbessert die Reaktion auf Sicherheitsvorfälle. Betroffene Unternehmen haben nach Stand der Technik geeignete und verhältnismäßige technische, operative und organisatorische Risikomanagement-Maßnahmen in den definierten Bereichen umzusetzen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und Cybersicherheits-Vorfälle zu verhindern bzw. deren Auswirkungen zu minimieren.