top of page

NIS2-Richtlinie und NIS-Gesetz: Wie österreichische KMU davon betroffen sind


Die NIS2-Richtlinie, eine Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016, setzt neue Standards für die Cybersicherheit in der EU. Vorgeschrieben werden verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Einrichtungen haben geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme vorzusehen. Verpflichtet werden auch Dienstleister und Lieferanten betroffener Einrichtungen.


Obwohl die Richtlinie ursprünglich bis 17. Oktober 2024 in nationales Recht umgesetzt werden sollte, verzögert sich die Umsetzung in Österreich aufgrund des gescheiterten Gesetzgebungsprozesses zum novellierten Netz- und Informationssystemsicherheitsgesetz (NISG-Entwurf). Die neuen Regelungen werden daher erst 2025 in Kraft treten, und die nachfolgende Darstellung basiert auf dem Entwurf zur NISG-Novelle, der sich noch ändern kann. Für Unternehmen, insbesondere KMU, ist es wichtig, frühzeitig Maßnahmen zu ergreifen, um die zukünftigen Anforderungen zu erfüllen.


Auch kleine und mittlere Unternehmen (KMU) sind von der NIS2-Richtlinie betroffen
Die NIS2-Richtlinie und das NIS-Gesetz stellen hohe Anforderungen an Unternehmen

Wer ist vom neuen NIS-Gesetz betroffen?


Die NIS2-Richtlinie zielt auf die Stärkung der Sicherheit von Netz- und Informationssystemen ab und betrifft zunächst vor allem mittlere und große Unternehmen in kritischen und wichtigen Sektoren (gemäß den Anlagen 1 und 2 des NISG-Entwurfs).


Sind Unternehmen (einschließlich KMU) eine wesentliche oder wichtige Einrichtung, wie beispielsweise Vertrauensdienstanbieter, Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen Kommunikationsdiensten, Anbieter digitaler Infrastrukturen oder kritischer Dienste (einschließlich Domänennamensystem-Diensteanbieter), gelten die Verpflichtungen von NIS2 zudem zum Teil unabhängig von der Unternehmensgröße, zum anderen Teil, wenn sie als mittleres oder großes Unternehmen einzustufen sind. Betroffene Sektoren sind dabei vor allem Energie, Verkehr, Banken, Gesundheitswesen, Abwasser, öffentliche Verwaltung, Abfallwirtschaft, Chemie, Lebensmittel (Produktion, Verarbeitung, Vertrieb), Post- und Kurierdienste, Hersteller elektronischer Geräte und medizinischer Produkte, Maschinen- und Fahrzeugbau, Forschung, IKT- und digitale Dienste sowie Forschung.


Als „großes Unternehmen“ gilt ein Unternehmen jedenfalls, wenn es zumindest 250 Mitarbeiter beschäftigt. Als „mittleres Unternehmen“ gilt ein Unternehmen, wenn es zumindest 50 Mitarbeiter beschäftigt, aber noch nicht die Voraussetzungen eines „großen Unternehmens“ erreicht. Ebenso kann die Größenschwelle zum mittleren Unternehmen oder zum großen Unternehmen dadurch überschritten werden, dass ein bestimmter Jahresumsatz und eine bestimmte Jahresbilanz erreicht wird. So gilt ein Unternehmen auch dann als großes Unternehmen, wenn es einen Jahresumsatz von über 50 Mio. Euro erzielt und sich die Jahresbilanz auf über 43 Mio. Euro beläuft. Sofern ein Unternehmen nicht als großes Unternehmen gilt, ist es ein mittleres Unternehmen, wenn dessen Jahresumsatz über 10 Mio. Euro beträgt und dessen Jahresbilanz sich auf über 10 Mio. Euro beläuft.


Für unter diesen Schwellen liegende Kleinunternehmen gilt die NISG-Novelle aber dennoch, und zwar in folgenden Fällen:


  1. Das Unternehmen ist Teil einer Lieferkette, in der seine Kunden NIS2 unterliegen, da diese vertraglich Cybersicherheitsmaßnahmen einfordern könnten.


  2. Das Unternehmen gilt als wesentliche oder wichtige Einrichtung (wie oben beschrieben), ohne dass es auf die Unternehmensgröße ankäme.


  3. Das Unternehmen fiele für sich betrachtet nicht unter die Definition einer wesentlichen oder wichtigen Einrichtung, ist jedoch Partner- oder Tochterunternehmen eines größeren Konzerns – in diesem Fall wird das Unternehmen nach den konzernweiten Schwellenwerten beurteilt und könnte unter die Regelungen fallen:


    Denn bei der Berechnung der obigen Schwellenwerte müssen nicht bloß jene des eigenen Unternehmens betrachtet, sondern auch jene der mit dem Unternehmen verbundenen Unternehmen und (anteilig) jene der Partnerunternehmen hinzugerechnet werden. Als Partnerunternehmen gelten alle Unternehmen, die nicht als verbundene Unternehmen gelten und an denen ein vorgeschaltetes Unternehmen allein oder gemeinsam mit einem oder mehreren verbundenen Unternehmen 25 % oder mehr des Kapitals oder der Stimmrechte des anderen Unternehmens hält.


    So wäre etwa – um nur ein Beispiel herauszugreifen – eine „kleine“ GmbH in Österreich mit einer geringen Mitarbeiterzahl, die Teil eines (ausländischen) Konzerns ist und die lediglich Forschungstätigkeit (Anlage 2 des NIGS-Entwurfs) ohne Generierung eigener Umsätze und mit einer Bilanzsumme von nicht mehr als 10 Mio. EUR betreibt, trotzdem direkt erfasst, sofern die Schwellenwerte durch aufgrund des Konzernverbunds überschritten werden.


Pflichten und Anforderungen nach NIS2-Richtlinie und NISG-Entwurf


KMU, die unter NIS2 fallen oder indirekt betroffen sind, müssen sich auf eine Reihe von Verpflichtungen einstellen. Dazu gehören unter anderem:


  1. Risikomanagementmaßnahmen


    Unternehmen müssen technische, organisatorische und operative Maßnahmen implementieren, um Cybersicherheitsrisiken zu minimieren.


Besonders wichtig ist die Bewältigung von Risiken, die die Lieferkette von Einrichtungen und deren Beziehungen zu den Lieferanten, z.B. Anbietern von Datenspeicherungs- und -verarbeitungsdiensten oder Anbietern von verwalteten Sicherheitsdiensten und Softwareherstellern, betreffen.


Wesentliche und wichtige Einrichtungen haben daher Schwachstellen von unmittelbaren Lieferanten und Anbietern sowie die Gesamtqualität und Widerstandsfähigkeit der Produkte und Dienste, die darin enthaltenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Cybersicherheitsverfahren ihrer Lieferanten und Anbieter, einschließlich der Sicherheit deren Entwicklungsprozesse, zu bewerten und zu berücksichtigen, um die Sicherheit ihrer Lieferketten gewährleisten zu können.


Eine wesentliche oder wichtige Einrichtung muss etwa zur Einhaltung von NIS2-Richtlinie und NISG-Entwurf bei der Auswahl von neuen Lieferanten oder Anbietern oder bei vertraglichen Vereinbarungen generell diese genannten Aspekte berücksichtigen, und wird auf entsprechenden vertraglichen Zusicherungen und Haftungsregelungen bestehen.


  1. Berichtspflichten (Meldepflichten)


Sicherheitsvorfälle müssen innerhalb klar definierter Fristen gemeldet werden.


  1. Verantwortung der Leitungsorgane


Ein wesentlicher Punkt von NIS2-Richtlinie und NIS-Gesetz ist die direkte Verantwortlichkeit der Unternehmensleitung – erfasst werden wesentliche und wichtige Einrichtungen. Übertragungen der Haftung auf IT-Abteilungen oder externe Dienstleister sollen nicht möglich sein. Leitungsorgane müssen etwa:


  • Die Einhaltung der Cybersicherheitsvorgaben überwachen und sicherstellen.

  • Regelmäßig an Schulungen zur Cybersicherheit teilnehmen.

  • Haftung für Verstöße übernehmen, wenn diese durch Fahrlässigkeit oder mangelnde Aufsicht verursacht wurden.


Herausforderungen für KMU bei der Umsetzung von NIS2-Richtlinie und NIS-Gesetz


KMU sehen sich oft mit begrenzten personellen und finanziellen Ressourcen konfrontiert. Die Einführung neuer Cybersicherheitsmaßnahmen sowie die Anpassung an die Anforderungen der Lieferkette können erhebliche Investitionen erfordern. Zudem werden KMU bereits durch eine Vielzahl weiterer europäischer Vorgaben und Überwachungsmechanismen eingeschränkt und gegängelt (man denke etwa nur an das EU Lieferkettengesetz).


Da die Umsetzung der NIS2-Richtlinie in Österreich noch aussteht, herrscht derzeit außerdem Rechtsunsicherheit. Viele Unternehmen zögern, notwendige Maßnahmen zu implementieren, da noch unklar ist, welche spezifischen Anforderungen auf nationaler Ebene gelten werden.


KMU, die als Zulieferer für größere Unternehmen agieren, müssen sich auf strenge vertragliche Vorgaben einstellen. Diese reichen von der Implementierung bestimmter Cybersicherheitsstandards bis hin zur regelmäßigen Auditierung durch Kunden.


Bei Nichteinhaltung der vorgeschriebenen Cybersicherheitsmaßnahmen drohen empfindliche Geldstrafen: Bei wesentlichen Einrichtungen belaufen sich diese bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist; bei wichtigen Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.


Fazit


Auch wenn die Umsetzung der NIS2-Richtlinie in Österreich erst 2025 erfolgen wird, sollten KMU die Zeit nutzen, um sich auf die neuen Anforderungen vorzubereiten. Besonders wichtig ist die Implementierung von Risikomanagementmaßnahmen sowie die Sicherung der Lieferkette, da dies auch unabhängig von der direkten Betroffenheit durch die Richtlinie bzw. das novellierte NISG von Kunden gefordert werden kann und wird. Frühzeitige Investitionen in Cybersicherheit und eine ganzheitliche rechtliche Beratung können nicht nur Risiken minimieren, sondern auch Wettbewerbsvorteile schaffen und das Vertrauen von Geschäftspartnern stärken.


Rechtsanwalt Wirtschaftsrecht


Rechtsanwalt Dr. Simon Harald Baier LL.M. berät zu Fragen der des Wirtschaftsrechts, Handelsrechts und Europarechts.

bottom of page