NIS2 — was die Richtlinie für österreichische Unternehmen wirklich bedeutet

NIS2 ist seit Oktober 2024 EU-weit in Kraft. Österreich hat die Richtlinie mit dem Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) in nationales Recht übergeführt. Was in der Pressewelle aus dem Vorjahr untergegangen ist: Die Richtlinie verlangt nicht primär Tools, sondern eine Sicherheitsführung, die im Management ankommt — nachweisbar, dokumentiert, persönlich verantwortet.

Wer das als reine IT-Aufgabe behandelt, wird die Anforderungen nicht erfüllen.

Wer ist betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Beide Kategorien fallen in den Anwendungsbereich, beide müssen liefern — der Unterschied liegt vor allem in der Aufsichtsintensität und im Strafrahmen.

In den Anwendungsbereich fallen Unternehmen ab 50 Mitarbeitenden oder ab 10 Mio. EUR Jahresumsatz, sofern sie in einer der gelisteten Sektoren tätig sind. Dazu zählen unter anderem:

• Energie, Wasser, Verkehr, Bankwesen
• Gesundheitsversorgung und pharmazeutische Industrie
• Digitale Infrastruktur (Cloud, Rechenzentren, Managed Services)
• Herstellung von Medizinprodukten, Maschinen, Chemie, Lebensmitteln
• Öffentliche Verwaltung auf zentraler und regionaler Ebene

Wichtig: Auch Zulieferer entlang der Wertschöpfungskette werden indirekt erfasst — über die Lieferanten-Risikomanagement-Anforderungen ihrer NIS2-pflichtigen Kunden. Wer also „nicht direkt betroffen” ist, wird in der Regel über Verträge und Audits seiner Auftraggeber doch wieder eingebunden.

Die zehn Mindestmaßnahmen — was sich dahinter verbirgt

Artikel 21 der Richtlinie nennt zehn Bereiche, in denen Unternehmen geeignete und verhältnismäßige Maßnahmen ergreifen müssen. Übersetzt in die Praxis sind das:

1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme — also ein dokumentiertes Risikomanagement, das laufend gepflegt wird.
2. Bewältigung von Sicherheitsvorfällen — strukturierte Incident Response, nicht improvisiert beim Vorfall erfunden.
3. Aufrechterhaltung des Betriebs — Backup-Konzepte, Notfallpläne, Wiederanlauf in definierten Zeiten.
4. Sicherheit der Lieferkette — Lieferanten kennen, ihre Sicherheitslage einschätzen, vertraglich verankern.
5. Sicherheit bei Erwerb, Entwicklung und Wartung — Security-by-Design, kein nachträgliches Härten.
6. Konzepte zur Bewertung der Wirksamkeit — KPIs, regelmäßige Reviews, dokumentierte Nachjustierung.
7. Cyberhygiene und Schulungen — alle Mitarbeitenden, regelmäßig, nicht nur die IT.
8. Kryptografie — Konzepte und Vorgaben, nicht „die IT macht das schon”.
9. Personelle Sicherheit, Zugriffskontrolle, Asset Management — Wer hat Zugriff worauf, und warum.
10. Multi-Faktor-Authentifizierung und sichere Kommunikation — überall dort, wo es sinnvoll ist, nicht nur dort, wo es einfach ist.

Die Liste klingt umfassend — und ist es auch. Der entscheidende Punkt ist nicht die Vollständigkeit. Es ist die Verhältnismäßigkeit: Die Maßnahmen müssen zum Risiko und zur Größe des Unternehmens passen. Ein 80-Personen-Maschinenbauer braucht keine SOC-24/7-Überwachung im Bankenstil. Aber er braucht ein klares Bild seiner Risiken und nachweisliche Maßnahmen dazu.

Persönliche Verantwortung der Geschäftsführung

Das ist der Punkt, der die meisten Unternehmen unterschätzt: NIS2 macht Geschäftsführung und Vorstand persönlich für die Cybersicherheit verantwortlich. Konkret heißt das:

• Die Leitungsorgane müssen die Risikomanagementmaßnahmen billigen — formal, dokumentiert.
• Sie müssen ihre Umsetzung überwachen — nicht nur abnicken.
• Sie müssen sich regelmäßig schulen lassen — die Kompetenz im Top-Management ist Pflicht, nicht Empfehlung.
• Bei Verstößen drohen persönliche Haftung und im Extremfall ein vorübergehendes Tätigkeitsverbot.

Der Strafrahmen liegt für wesentliche Einrichtungen bei bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes — der höhere Wert gilt. Für wichtige Einrichtungen entsprechend bei 7 Mio. EUR oder 1,4 %.

Eine realistische Roadmap

Der Reflex, „NIS2-Compliance” als Projekt zu beauftragen, führt in der Regel zu PDF-Stapeln, die niemand liest. Was tatsächlich funktioniert:

1. Reality Check. Eine strukturierte Standortbestimmung in 1–2 Tagen. Wo stehen wir gegen die zehn Mindestmaßnahmen — ehrlich, nicht beschönigt.
2. Top-Risiken priorisieren. Aus dem Reality Check ergeben sich typischerweise 5–10 echte Lücken. Die werden nach Risiko und Aufwand sortiert.
3. Governance vor Tools. Verantwortlichkeiten klären, Prozesse aufsetzen, Dokumentation aufbauen. Tools kommen danach — nicht davor.
4. Schulung der Geschäftsführung. Die Pflicht-Schulung der Leitungsorgane vorziehen, nicht nachholen.
5. Lieferanten ins Boot holen. Risikoeinstufung, Verträge anpassen, Audit-Recht verankern.
6. In den laufenden Betrieb übergeben. ISMS-Light, jährliches Review, klar definierte Verantwortliche.

Der ganze Pfad lässt sich für ein typisches mittelständisches Unternehmen in 6–12 Monaten gehen. Schneller wird es selten — und wer Tempo verkauft, verkauft meist Papier.

Fazit

NIS2 ist keine Modeerscheinung und keine reine Bürokratiepflicht. Die Richtlinie tut etwas, das in vielen Unternehmen überfällig ist: Sie macht Cybersicherheit zur Führungsaufgabe und verlangt einen Nachweis dafür.

Das ist anstrengend. Es ist aber auch eine Gelegenheit, die seit Jahren halb-fertige IT-Sicherheit auf eine Grundlage zu stellen, die hält. Wer die Richtlinie als Hebel nutzt — und nicht als lästige Pflicht abarbeitet — kommt strukturell weiter.

Der erste Schritt ist immer derselbe: ehrlich hinschauen.