Obwohl die Umsetzung in nationales Recht bereits Mitte Oktober 2024 hätte erfolgen müssen, hinkt Österreich – wie auch 23 weitere EU-Staaten – hinterher. Dennoch ist klar: NIS2 wird in Kürze gelten, weshalb betroffene Unternehmen bereits jetzt die bekannten Vorschriften berücksichtigen sollten.
Erweiterter Geltungsbereich
Neben den bisherigen Betroffenen – etwa dem öffentlichen Sektor und großen Betrieben – betrifft NIS2 künftig rund 4000 heimische Unternehmen. Dazu zählen mittelständische und große Firmen ab 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz in Sektoren wie der Herstellung medizinischer Geräte, der Lebensmittelbranche, Trinkwasserversorgung und Abfallwirtschaft. In bestimmten Bereichen, beispielsweise bei Vertrauensdiensteanbietern oder Betreibern öffentlicher elektronischer Kommunikationsnetze, gilt die Richtlinie sogar unabhängig von der Unternehmensgröße.
Maßnahmen & Haftungsregelungen
Unternehmen, die unter NIS2 fallen, müssen ein umfassendes Risikomanagement einführen und ihre Cybersicherheitsmaßnahmen regelmäßig überprüfen. Die Verantwortung für die Umsetzung liegt bei den Geschäftsleitungen – sie haften persönlich, wenn sie ihren Pflichten nicht nachkommen.
Im Falle eines Cybersicherheitsvorfalls gelten strenge Meldepflichten:
- Innerhalb von 24 Stunden muss eine erste Meldung in ein EU-weites Frühwarnsystem erfolgen.
- Innerhalb von 72 Stunden sind detaillierte Informationen nachzureichen.
- Spätestens einen Monat nach dem Vorfall muss ein Abschlussbericht mit Analyse und Gegenmaßnahmen vorgelegt werden.
Besonders wichtig ist auch die Sicherheit entlang der gesamten Lieferkette, da Schwachstellen bei Partnerunternehmen ebenfalls Risiken für die eigene IT-Sicherheit bedeuten können.
Mit diesen Änderungen sollen Unternehmen besser gegen Cyberangriffe gewappnet und kritische Infrastrukturen widerstandsfähiger gemacht werden. Bei Fragen zur Umsetzung oder zur Betroffenheit Ihres Unternehmens steht Ihnen Widder mit kompetenter Beratung zur Seite.