Die NIS2-Durchführungsverordnung 2024/2690 — was im Detail jetzt verpflichtend wird

Die NIS2-Richtlinie selbst formuliert auf abstraktem Niveau. Sie verlangt von betroffenen Einrichtungen, dass sie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen” treffen — und überlässt die konkrete Auslegung weitgehend den Mitgliedstaaten und Sektoren. Mit der Durchführungsverordnung (EU) 2024/2690 vom 17. Oktober 2024 hat die EU-Kommission diese Lücke für eine konkrete Gruppe von Anbietern geschlossen: Anbieter digitaler Dienste und Vertrauensdiensteanbieter.

Für österreichische Unternehmen, die in diese Kategorien fallen, bedeutet die Durchführungsverordnung: Die zehn Mindestbereiche der NIS2 sind plötzlich nicht mehr reine Interpretationssache. Sie sind im Anhang der Verordnung in konkrete technische Anforderungen zerlegt — anzuwenden im Rahmen der Verhältnismäßigkeit, mit dokumentierter Begründung dort, wo die Verordnung „sofern angemessen”, „soweit anwendbar” oder „soweit durchführbar” vorsieht.

Was die Durchführungsverordnung von der Mutter-NIS2 unterscheidet

NIS2 ist eine Richtlinie — sie bindet die Mitgliedstaaten, die sie ins nationale Recht umsetzen müssen (in Österreich das NISG 2026, am 23. Dezember 2025 kundgemacht, Inkrafttreten 1. Oktober 2026). Die Durchführungsverordnung 2024/2690 ist hingegen eine Verordnung — sie gilt unmittelbar in allen EU-Mitgliedstaaten, ohne nationale Umsetzung. Was hier steht, ist ab dem Tag des Inkrafttretens (7. November 2024, 20 Tage nach Veröffentlichung im Amtsblatt vom 18. Oktober 2024) verbindlich.

Inhaltlich richtet sich die Durchführungsverordnung an einen klar abgegrenzten Adressatenkreis:

• DNS-Diensteanbieter
• TLD-Namenregister
• Cloud-Computing-Diensteanbieter
• Rechenzentrumsdiensteanbieter
• Anbieter von Content Delivery Networks
• Managed Service Provider und Managed Security Service Provider
• Anbieter von Online-Marktplätzen
• Anbieter von Online-Suchmaschinen
• Anbieter sozialer Netzwerke
• Vertrauensdiensteanbieter (z. B. qualifizierte elektronische Signatur)

Wer nicht in diese Liste fällt, bleibt bei der NIS2/NISG-Logik — abstrakte Mindeststandards, deren Umsetzung im Einzelfall verhältnismäßig zu interpretieren ist. Wer in der Liste steht, hat eine konkrete Compliance-Pflicht.

Die 13 Anforderungsbereiche im Detail

Die Durchführungsverordnung listet im Anhang 13 thematische Bereiche auf, in denen jeweils detaillierte Anforderungen formuliert sind. Sie strukturieren sich grob in drei Blöcke:

Block 1 — Governance und Risikomanagement

• Verpflichtende Risikomanagement-Politik, schriftlich dokumentiert, mit Genehmigung durch die Geschäftsführung
• Regelmäßige Aktualisierung (mindestens jährlich, anlassbezogen bei wesentlichen Änderungen)
• Klar zugewiesene Rollen und Verantwortlichkeiten — inklusive einer benannten Person, die für Cybersecurity verantwortlich ist
• Vorgaben zur Lieferantensicherheit: vertragliche Mindestanforderungen, Risikobewertungen, Audits-Rechte

Block 2 — Operative Sicherheit

• Asset-Management mit verpflichtendem Inventar aller relevanten Systeme, Daten und Schnittstellen
• Zugriffskontrolle nach dem Need-to-Know-Prinzip, starke Authentifizierungsverfahren — typischerweise Mehrfaktor-Authentifizierung — für privilegierte und administrative Konten
• Vorgaben zur Kryptographie: Mindestalgorithmen, Schlüsselmanagement, Außerbetriebnahme veralteter Verfahren
• Konkrete Anforderungen an Netzwerksegmentierung, Schwachstellenmanagement und sicheres Konfigurationsmanagement
• Pflicht zur regelmäßigen Schulung aller Mitarbeitenden mit IT-Zugriff, dokumentiert

Block 3 — Vorfallsbehandlung und Resilienz

• Schriftlicher Incident-Response-Plan mit definierten Rollen, Eskalationspfaden und Reaktionszeiten
• Geschäftskontinuitäts- und Krisenmanagementpläne mit nachweisbarer Aktualität (regelmäßige Übungen)
• Backup- und Wiederherstellungsstrategien, regelmäßig getestet, mit dokumentierten Wiederherstellungszeiten
• Logging-Anforderungen: welche Ereignisse erfasst werden müssen, Aufbewahrungsdauern, Schutz der Logs vor Manipulation
• Vorgaben zur Vorfallsmeldung in den drei NIS2-Stufen (24h Frühwarnung, 72h Vorfallsmeldung, 30 Tage Abschlussbericht)

Was hier neu ist gegenüber NIS2 alleine: die Detailtiefe. Wo NIS2 fordert „angemessene Maßnahmen zur Vorfallsbehandlung”, schreibt die Durchführungsverordnung konkret, dass diese Maßnahmen einen schriftlichen Plan umfassen müssen, mit benannten Verantwortlichen, definierten Eskalationspfaden und einer Frequenz von Übungen.

Bedeutung für die NIS2-Meldepflichten

Die Durchführungsverordnung präzisiert auch, wann ein Vorfall „erheblich” ist — also wann er meldepflichtig wird. Das war in der Mutter-NIS2 bewusst offen gelassen worden, um Sektor-Spezifika zu erlauben. Artikel 3 der Verordnung definiert nun horizontale Kriterien, die für alle Adressaten gelten, ergänzt um sektorspezifische Schwellen im Anhang.

Horizontale Kriterien (gelten für alle Diensttypen):

• Materieller oder immaterieller Schaden ab 500.000 Euro oder 5 % des weltweiten Jahresumsatzes
• Kompromittierung von Geschäftsgeheimnissen
• Personenschaden — Todesfälle oder erhebliche gesundheitliche Beeinträchtigung
• Böswilliger unbefugter Zugriff mit Potenzial zur schwerwiegenden Störung der Dienste
• Wiederholte Vorfälle, auch wenn einzelne Vorfälle für sich genommen unter den Schwellen liegen

Sektorspezifische Kriterien ergänzen die horizontalen pro Diensttyp — etwa Verfügbarkeitsausfälle in Stunden, Zahl betroffener Nutzer, geografische Reichweite. Für einen DNS-Provider gelten andere konkrete Werte als für einen Cloud-Anbieter; die Verordnung listet sie pro Sektor im Anhang.

Praktisch heißt das: Wer als Anbieter unter die Verordnung fällt, muss seine Monitoring- und Detektions-Mechanismen so kalibrieren, dass diese Schwellen automatisch erkennbar werden. Manuelle Bewertung im Nachhinein „war das jetzt erheblich?” ist kein verteidigbarer Prozess mehr.

Was sich für Cloud-Anbieter, MSPs und Vertrauensdienste konkret ändert

Drei Adressatengruppen sind in Österreich besonders betroffen:

Cloud-Computing-Diensteanbieter — auch kleinere österreichische Hosting- und Cloud-Anbieter (Webspace, IaaS, PaaS) sind in der Verordnung adressiert. Die Anforderungen an Logging, Backup-Tests und Incident-Response-Planung gehen oft über das bisherige Niveau hinaus. Das gilt insbesondere für Anbieter, die ihr Angebot bisher als „Standard-Hosting” positioniert haben und keine eigene Sicherheitsabteilung führen.

Managed Service Provider und Managed Security Service Provider — die Verordnung adressiert beide explizit. Wer fremde IT-Infrastruktur verwaltet, trägt nach NIS2 Mitverantwortung für deren Sicherheit. Das bedeutet konkret: Verträge mit Kunden müssen Sicherheitsanforderungen widerspiegeln, Audits-Rechte abbilden und im Vorfall klare Pflichten der Anbieter regeln.

Vertrauensdienste-Anbieter — qualifizierte Signaturdienste, eIDAS-Anbieter, qualifizierte Zeitstempel. Diese Gruppe ist in Österreich überschaubar, hatte aber bisher mit eIDAS bereits einen sektoralen Rahmen. Die Durchführungsverordnung legt eine zweite Schicht obendrauf, die in einigen Punkten strenger ist als der eIDAS-Standard.

EU-Harmonisierung — die Rolle von ENISA

Die European Union Agency for Cybersecurity (ENISA) hat in der Verordnung eine unterstützende, nicht regelsetzende Rolle. ENISA kann Leitlinien und Handreichungen zur Auslegung der Verordnung veröffentlichen — diese ergänzen die Verordnung, ersetzen sie aber nicht und sind selbst nicht unmittelbar verbindlich. Die rechtlich maßgebliche Quelle bleibt die Verordnung selbst, ergänzt um die nationale Aufsichtspraxis.

Für österreichische Unternehmen heißt das: Wer Compliance plant, sollte die ENISA-Publikationen ↗ im Blick behalten, weil die nationale Aufsicht sich in der Praxis häufig an diesen Orientierungen anlehnt. Bindend sind sie aber nicht.

Das hat einen positiven Nebeneffekt: Die Anforderungen der Verordnung selbst sind in allen EU-Mitgliedstaaten gleich. Ein steirisches Cloud-Hosting-Unternehmen, das auch deutsche oder italienische Kunden bedient, kann sich auf einen einheitlichen Compliance-Rahmen stützen — nicht auf 27 verschiedene Auslegungen.

Was steirische Unternehmen jetzt konkret prüfen müssen

Drei Schritte für Unternehmen, die sich nicht sicher sind, ob die Durchführungsverordnung sie betrifft oder welche der Anforderungen schon erfüllt sind:

Schritt 1 — Anwendbarkeit klären. Liegt das Unternehmen in einer der zehn Adressaten-Kategorien? Bei einigen ist die Antwort offensichtlich (Online-Marktplatz, DNS-Anbieter). Bei anderen — etwa „Managed Service Provider” — ist die Abgrenzung nicht trivial. Ein IT-Dienstleister, der Server und Cloud-Konten für Kunden verwaltet, fällt darunter. Einer, der ausschließlich On-Premise-Hardware verkauft, eher nicht.

Schritt 2 — Lückenanalyse gegen die 13 Anforderungsbereiche. Wer ein etabliertes ISMS nach ISO 27001 hat, ist in vielen Bereichen vorbereitet — aber nicht in allen. Insbesondere die Anforderungen an Logging, an Backup-Tests und an die Lieferantenkette sind in der Verordnung detaillierter formuliert als in ISO 27001 üblich. Eine strukturierte Bestandsaufnahme — etwa über einen Cyber Reality Check — zeigt die Lücken in 1 bis 2 Tagen.

Schritt 3 — Umsetzungs-Roadmap mit Fristen. Anders als bei einem klassischen ISMS-Aufbau gibt es bei der Durchführungsverordnung keinen Spielraum bei der Frist — die Anforderungen sind seit November 2024 anwendbar. Wer Lücken hat, sollte sie nach Risikobeitrag priorisieren und in den nächsten 12 Monaten schließen, dokumentiert nachweisbar. Im Zweifelsfall ist ein strukturiertes NIS2-Beratungsmandat der effizientere Weg als ein internes Crash-Programm.

Fazit

Die Durchführungsverordnung 2024/2690 ist kein Papier-Tiger. Sie macht aus den abstrakten NIS2-Mindestmaßnahmen für eine konkrete Gruppe von Anbietern eine messbare Compliance-Anforderung — mit unmittelbarer Geltung, ohne nationalen Umsetzungsspielraum. Wer in dieser Gruppe liegt und seine Maßnahmen nicht entlang der 13 Anforderungsbereiche dokumentieren kann, hat im Auditfall keinen tragfähigen Verteidigungsstand.

Für viele steirische Cloud-Hoster, MSPs und IT-Dienstleister bedeutet das: Die letzten Monate des informellen Übergangs sind vorbei. Was als „Best Practice” galt, wird zur Pflicht. Die gute Nachricht: Wer ISO 27001 implementiert hat, ist nahe an der Compliance. Die ungute: „Nahe dran” reicht nicht — die Lücken müssen konkret geschlossen werden, im Wirksamkeitsnachweis dokumentiert. Was im Audit zählt, ist der Nachweis, nicht die Absicht.