Gesetze & Regulierung

Diese Seite hält die für österreichische und deutsche Unternehmen wichtigsten Cybersecurity- und Datenschutz-Rechtsakte kompakt zusammen. Pro Eintrag finden sich der Anwendungsbereich, die wesentlichen Pflichten, der Strafrahmen und ein Link zur offiziellen Quelle.

Die Übersicht ersetzt keine Rechtsberatung. Sie soll Geschäftsführung und IT-Verantwortlichen helfen, das jeweils einschlägige Regelwerk schnell einzuordnen.

EU-Richtlinien

NIS2-Richtlinie — (EU) 2022/2555

Die zentrale Cybersicherheits-Richtlinie der EU. Sie ersetzt die ursprüngliche NIS-Richtlinie aus 2016 und erweitert den Anwendungsbereich auf 18 Sektoren und mehrere zehntausend zusätzlich verpflichtete Unternehmen.

• Anwendungsbereich: „Wesentliche” und „wichtige” Einrichtungen ab 50 Mitarbeitenden bzw. 10 Mio. EUR Jahresumsatz in den gelisteten Sektoren (u. a. Energie, Verkehr, Gesundheit, digitale Infrastruktur, Industrie, öffentliche Verwaltung).
• Kernpflichten: Risikomanagement nach Art. 21 (zehn Mindestmaßnahmen), Meldepflichten nach Art. 23 (24h-Frühwarnung, 72h-Erstmeldung, 1-Monat-Abschlussbericht), persönliche Verantwortung der Leitungsorgane.
• Strafrahmen: bis 10 Mio. EUR oder 2 % Weltumsatz (wesentlich) bzw. 7 Mio. EUR oder 1,4 % (wichtig).
• Umsetzungsfrist: 17. Oktober 2024.
• Quelle: NIS2-Richtlinie auf EUR-Lex ansehen ↗

CER-Richtlinie — (EU) 2022/2557

Die Critical Entities Resilience-Richtlinie regelt die physische Resilienz kritischer Einrichtungen — Komplementärstück zur NIS2 (digitale Resilienz). Setzt frühere ECI-Richtlinie (2008/114/EG) ab. National in Österreich als RKEG umgesetzt, in Deutschland im Rahmen des KRITIS-Dachgesetzes.

• Anwendungsbereich: Elf Sektoren — u. a. Energie, Verkehr, Banken, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, Lebensmittel.
• Kernpflichten: Resilienzmaßnahmen gegen physische Bedrohungen (Sabotage, Naturereignisse, Terror, Insider), Meldepflicht für Vorfälle, Hintergrundprüfungen für sensitive Positionen.
• Umsetzungsfrist: 17. Oktober 2024 (nationale Umsetzung läuft).
• Quelle: CER-Richtlinie auf EUR-Lex ansehen ↗

CSDDD (Lieferkettengesetz) — (EU) 2024/1760

Die Corporate Sustainability Due Diligence Directive verpflichtet große Unternehmen, Menschenrechts- und Umweltrisiken in der gesamten Wertschöpfungskette zu identifizieren und Gegenmaßnahmen zu ergreifen.

• Anwendungsbereich: EU-Unternehmen ab 1.000 Mitarbeitenden und 450 Mio. EUR Umsatz; gestaffelte Anwendung ab 2027.
• Cybersecurity-Bezug: indirekt — Datenschutz und IKT-Sicherheit in Lieferketten werden als Teil der Sorgfaltspflichten relevant; überschneidet sich mit DORA-Drittparteien-Vorgaben und NIS2-Lieferkettenpflichten.
• Quelle: CSDDD auf EUR-Lex ansehen ↗

CSRD — (EU) 2022/2464

Die Corporate Sustainability Reporting Directive erweitert die Berichtspflicht börsennotierter und großer Unternehmen um detaillierte Nachhaltigkeitsinformationen nach den ESRS-Standards.

• Anwendungsbereich: schrittweise ab 2024 für große börsennotierte EU-Unternehmen, ab 2026 auch für KMU mit Notiz an EU-Börsen.
• Cybersecurity-Bezug: indirekt — Cyber-Risiken sind Teil der „Governance”-Säule (G1, G2 in den ESRS); Berichtspflichten zu IT-Risiken und Datenschutz-Vorfällen werden in der Praxis aus DSGVO und NIS2 abgeleitet.
• Quelle: CSRD auf EUR-Lex ansehen ↗

DSGVO — Verordnung (EU) 2016/679

Auch wenn die DSGVO formal eine Verordnung ist, wird sie wegen ihrer prägenden Rolle für Sicherheitsvorfälle hier mitgeführt. Art. 32 verlangt „geeignete technische und organisatorische Maßnahmen” — die meisten NIS2-Pflichten sind hier bereits dem Geist nach angelegt.

• Relevante Artikel für Cybersecurity: Art. 32 (Sicherheit der Verarbeitung), Art. 33 (Meldepflicht binnen 72h), Art. 34 (Benachrichtigung Betroffener), Art. 35 (Datenschutz-Folgenabschätzung).
• Strafrahmen: bis 20 Mio. EUR oder 4 % Weltumsatz.
• Quelle: DSGVO-Volltext auf EUR-Lex ansehen ↗

EU-Verordnungen

NIS2-Durchführungsverordnung — (EU) 2024/2690

Konkretisiert die zehn Mindestmaßnahmen aus Art. 21 NIS2 für bestimmte Sektoren mit hoher Digitalisierungsdichte (u. a. DNS-Diensteanbieter, Cloud-Anbieter, Rechenzentren, Online-Marktplätze, Anbieter elektronischer Kommunikationsdienste).

• Bedeutung: Sie ist unmittelbar anwendbar — keine nationale Umsetzung nötig. Für die genannten Anbieter konkretisiert sie, was unter „angemessen” zu verstehen ist.
• Quelle: NIS2-Durchführungsverordnung auf EUR-Lex ansehen ↗

EU Cybersecurity Act — (EU) 2019/881

Etabliert das Mandat der ENISA als ständige EU-Cybersicherheitsagentur und schafft den Rahmen für EU-weite Cybersecurity-Zertifizierungen (Schemata wie EUCC für Common-Criteria-Produkte, EUCS für Cloud-Dienste).

• Anwendungsbereich: Hersteller, Diensteanbieter und Konformitätsbewertungsstellen, die freiwillige EU-Cybersecurity-Zertifizierungen anstreben oder anbieten.
• Bedeutung: Bildet die rechtliche Grundlage für die zukünftig im CRA verpflichtenden Konformitätsbewertungen; schafft einen EU-Binnenmarkt für vertrauenswürdige IKT-Produkte.
• Anwendbar seit: 27. Juni 2019.
• Quelle: EU Cybersecurity Act auf EUR-Lex ansehen ↗

DORA — Digital Operational Resilience Act, (EU) 2022/2554

Eigene Cybersicherheits-Regulierung für den Finanzsektor. DORA ist gegenüber NIS2 sektorspezifisch und damit lex specialis für Banken, Versicherungen, Wertpapierfirmen, Krypto-Dienstleister, Zahlungsdienstleister und deren IKT-Drittanbieter.

• Anwendungsbereich: Praktisch alle regulierten Finanzunternehmen sowie deren als „kritisch” eingestufte IT-Dienstleister.
• Kernpflichten: IKT-Risikomanagement, Vorfallmeldung, Pflichttests (inkl. TLPT — bedrohungsgeleitete Penetrationstests), Lieferkettenverträge mit Mindestklauseln, Informationsaustausch.
• Anwendbar seit: 17. Jänner 2025.
• Quelle: DORA-Volltext auf EUR-Lex ansehen ↗

Cyber Resilience Act (CRA) — (EU) 2024/2847

Verpflichtet Hersteller von „Produkten mit digitalen Elementen” zu Sicherheitsanforderungen über den gesamten Produktlebenszyklus — von Software-Bibliotheken bis vernetzten Geräten.

• Bedeutung: Erweitert die Cybersicherheits-Regulierung von Betreibern (NIS2) auf Produkte und Hersteller. CE-Kennzeichnung wird um eine Cybersecurity-Konformität erweitert.
• Anwendbar ab: schrittweise, vollständige Anwendbarkeit ab Dezember 2027.
• Quelle: Cyber Resilience Act auf EUR-Lex ansehen ↗

AI Act — (EU) 2024/1689

Erste umfassende Regulierung von Künstlicher Intelligenz weltweit. Risiko-basierter Ansatz: verbotene Praktiken, Hochrisiko-KI-Systeme, KI mit Transparenzpflichten, allgemeine Pflichten für GPAI-Modelle.

• Anwendungsbereich: Anbieter, Betreiber, Einführer und Händler von KI-Systemen mit EU-Bezug.
• Cybersecurity-Bezug: Hochrisiko-KI-Systeme müssen nach Art. 15 „angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit” gewährleisten — Resilienz gegen Manipulationsversuche, Data Poisoning, Adversarial Examples; Logging und Monitoring sind Pflicht.
• Strafrahmen: bis 35 Mio. EUR oder 7 % Weltumsatz (verbotene Praktiken).
• Anwendbar ab: schrittweise, vollständige Anwendbarkeit ab August 2026.
• Quelle: AI Act auf EUR-Lex ansehen ↗

Data Governance Act (DGA) — (EU) 2022/868

Schafft den Rechtsrahmen für vertrauenswürdiges Datenteilen in der EU — über Datenintermediäre, „Data Altruism Organizations” und Weiterverwendung von Daten der öffentlichen Hand.

• Anwendungsbereich: Betreiber von Datenvermittlungsdiensten, datenaltruistische Organisationen, öffentliche Stellen.
• Cybersecurity-Bezug: Anforderungen an technische, organisatorische und rechtliche Maßnahmen zum Schutz nicht-personenbezogener sensitiver Daten (Geschäftsgeheimnisse, Statistik, geistiges Eigentum); Notifikationspflicht für Datenintermediäre.
• Anwendbar seit: 24. September 2023.
• Quelle: Data Governance Act auf EUR-Lex ansehen ↗

EU Data Act — (EU) 2023/2854

Regelt Zugangs- und Nutzungsrechte an Daten aus vernetzten Geräten (IoT, Industrie 4.0) und schafft horizontale Regeln für B2B-, B2C- und B2G-Datenflüsse.

• Anwendungsbereich: Hersteller vernetzter Produkte, Anbieter verbundener Dienste, Cloud- und Edge-Anbieter; öffentliche Stellen mit Datenzugriffsrecht in Notlagen.
• Cybersecurity-Bezug: Pflichten zum Cloud-Anbieterwechsel (Switching, Datenportabilität, Schutz vor unrechtmäßigem Drittstaatenzugriff durch Cloud-Anbieter); Anti-CLOUD-Act-Klauseln (Art. 32).
• Anwendbar ab: 12. September 2025.
• Quelle: EU Data Act auf EUR-Lex ansehen ↗

Digital Services Act (DSA) — (EU) 2022/2065

Regelt Pflichten von Online-Vermittlungsdiensten — von Hosting-Anbietern bis sehr großen Plattformen (VLOPs) und Suchmaschinen (VLOSEs).

• Anwendungsbereich: Vermittlungsdienste, Hosting-Anbieter, Online-Plattformen, sehr große Plattformen/Suchmaschinen ab 45 Mio. EU-Nutzenden monatlich.
• Cybersecurity-Bezug: Notice-and-action-Mechanismen, jährliche Risikoanalysen (für VLOPs/VLOSEs) inkl. Manipulationen, Desinformation, Datenmissbrauch; Vorgaben zu Datenzugriffen für Forschende.
• Anwendbar seit: 17. Februar 2024.
• Quelle: Digital Services Act auf EUR-Lex ansehen ↗

Digital Markets Act (DMA) — (EU) 2022/1925

Reguliert „Gatekeeper” — sehr große Plattformen mit hoher Marktmacht — durch konkrete Verhaltenspflichten und Verbote.

• Anwendungsbereich: Sechs „Gatekeeper” (Stand 2024: Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft) und ihre als „Core Platform Services” benannten Dienste.
• Cybersecurity-Bezug: indirekt — Pflicht zur Interoperabilität von Messaging-Diensten und Vorgaben zu Datenportabilität haben Sicherheits- und Datenschutzimplikationen.
• Anwendbar seit: 2. Mai 2023; volle Pflichten der Gatekeeper ab 6. März 2024.
• Quelle: Digital Markets Act auf EUR-Lex ansehen ↗

Maschinenverordnung — (EU) 2023/1230

Modernisiert die Maschinenrichtlinie 2006/42/EG. Nimmt erstmals Cybersecurity als Schutzziel im Maschinenbau auf — relevant für vernetzte und KI-gesteuerte Maschinen.

• Anwendungsbereich: Hersteller, Importeure und Händler von Maschinen, Sicherheitsbauteilen, Lastaufnahmemitteln in der EU.
• Cybersecurity-Bezug: Anhang III erweitert die Sicherheitsanforderungen um „Schutz vor Korruption” und Resilienz gegen Manipulation (Schutzfunktion, Software-Updates, Authentifizierung); überlappt mit CRA bei Maschinen mit digitalen Elementen.
• Anwendbar ab: 14. Jänner 2027.
• Quelle: Maschinenverordnung auf EUR-Lex ansehen ↗

Internationale Abkommen / Drittstaaten-Bezug

EU-US Data Privacy Framework

Adäquanzbeschluss der EU-Kommission vom 10. Juli 2023, der die Übermittlung personenbezogener Daten von der EU in die USA an zertifizierte US-Unternehmen ohne zusätzliche Garantien erlaubt. Nachfolger des durch Schrems II (2020) gekippten Privacy Shield.

• Anwendungsbereich: US-Unternehmen, die sich beim US-Handelsministerium nach den DPF-Prinzipien zertifizieren lassen.
• Bedeutung: Praktisch wichtigster Übermittlungsmechanismus für personenbezogene Daten in die USA — relevant bei jeder Cloud-Nutzung mit US-Bezug. Ein erneutes „Schrems III”-Verfahren beim EuGH ist anhängig; Bestand des Frameworks bleibt unsicher.
• Quelle: EU-US Data Privacy Framework Adäquanzbeschluss auf EUR-Lex ansehen ↗

US CLOUD Act — Clarifying Lawful Overseas Use of Data Act

US-Bundesgesetz von 2018, das US-Strafverfolgungsbehörden den Zugriff auf Daten ermöglicht, die von US-Unternehmen verarbeitet werden — unabhängig vom physischen Speicherort, also auch in EU-Rechenzentren.

• Anwendungsbereich: US-Diensteanbieter (auch deren EU-Tochtergesellschaften, sofern „US-controlled”). Betrifft alle großen US-Cloud-Hyperscaler.
• Cybersecurity-Bezug: Direkter Konflikt mit DSGVO und EU Data Act. Schutzmaßnahmen in der Praxis: Verschlüsselung mit eigenen Schlüsseln (BYOK/HYOK), Cloud-Souveränitätsstrategien, EU-eigene Cloud-Anbieter, Vertragsklauseln mit „Schutz vor Drittstaatenzugriff” (Data-Act-Konformität).
• Quelle: CLOUD Act auf congress.gov ansehen ↗

Österreichische Umsetzungen

NISG 2024 — Netz- und Informationssystemsicherheitsgesetz

Die nationale Umsetzung der NIS2-Richtlinie in Österreich. Das Gesetz wurde am 16. April 2025 im Nationalrat beschlossen und ersetzt das ursprüngliche NISG 2018.

• Zuständige Behörde: Bundesministerium für Inneres (BMI) als Cyber-Sicherheits-Behörde, GovCERT Austria als Computer Security Incident Response Team.
• Besonderheit: Eingrenzung über Sektorenliste und Schwellwerte folgt der Richtlinie nahezu 1:1, ergänzt um österreichische Spezifika (z. B. Ausnahmen für Bundesheer und Nachrichtendienste).
• Strafrahmen: wie in der Richtlinie vorgegeben.
• Quelle: NISG 2024 im Rechtsinformationssystem des Bundes (RIS) ansehen ↗

DSG — Datenschutzgesetz

Ergänzung zur DSGVO mit den Öffnungsklausel-Regelungen für Österreich (u. a. zur Datenschutzbehörde, zur Verarbeitung im öffentlichen Bereich, zu Bildverarbeitung).

• Quelle: Datenschutzgesetz im Rechtsinformationssystem des Bundes (RIS) ansehen ↗

Deutsche Umsetzungen

NIS2UmsuCG — NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Deutschlands Umsetzung der NIS2-Richtlinie. Status: Der Gesetzgebungsprozess hat sich mehrfach verzögert; aktueller Stand und in Kraft getretene Fassung sollten direkt beim BMI / Bundestag geprüft werden.

• Zuständige Behörde: Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Cybersicherheitsbehörde.
• Wesentliche Erweiterung gegenüber NIS-1: Der Anwendungsbereich wächst von ca. 4.500 auf geschätzt 30.000+ deutsche Unternehmen.
• Quelle: BSI — Bundesamt für Sicherheit in der Informationstechnik (Website) ↗

KRITIS-Dachgesetz

Eigenständiges Gesetz zur physischen Resilienz kritischer Infrastrukturen — flankierend zum NIS2UmsuCG, das die digitale Dimension abdeckt. Die Trennung digital/physisch ist in Deutschland bewusst gewählt; in der EU ergibt sich die Komplementarität aus NIS2 + CER-Richtlinie.

• Quelle: BMI — Bundesministerium des Innern und für Heimat (Website) ↗

BDSG — Bundesdatenschutzgesetz

Wie das österreichische DSG die nationale Ergänzung zur DSGVO mit deutschen Öffnungsklauseln.

• Quelle: BDSG-Volltext beim Bundesministerium der Justiz ansehen ↗