NIS2-Richtlinie im Detail

Was Geschäftsführer in Österreich und Deutschland über die neue EU-Cybersicherheitsrichtlinie wissen müssen

NISG 2026 am 20.11.2025 im Ministerrat beschlossen

Aktueller Stand der Umsetzung

Vertragsverletzungsverfahren läuft

Die NIS-2-Richtlinie hätte bis 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Gegen Österreich, Deutschland und viele weitere EU-Staaten läuft ein Vertragsverletzungsverfahren.

16. Januar 2023

NIS2-Richtlinie (EU) 2022/2555 tritt in Kraft

17. Oktober 2024

Frist zur nationalen Umsetzung - nicht eingehalten

20. November 2025

NISG 2026 im Ministerrat beschlossen (Österreich)

Voraussichtlich Q2/Q3 2026

Inkrafttreten 9 Monate nach Kundmachung im Bundesgesetzblatt

Unsere Empfehlung

Warten Sie nicht auf das Gesetz! Nutzen Sie die Zeit, um Ihr Unternehmen vorzubereiten. Die Anforderungen der EU-Richtlinie sind klar - und wer jetzt handelt, hat einen Wettbewerbsvorteil.

Wer ist von NIS2 betroffen?

~4.000
Direkt betroffene
Betriebe in AT
50+
Mitarbeiter oder
10 Mio € Umsatz
18
Kritische
Sektoren
Zigtausende
Indirekt betroffen
(Lieferkette)

Größenschwellen

Kategorie Mitarbeiter Umsatz/Bilanz NIS2-Pflicht
Kleine Unternehmen < 50 < 10 Mio € Nein*
Mittlere Unternehmen 50-249 10-50 Mio € Ja (in kritischen Sektoren)
Große Unternehmen 250+ > 50 Mio € Ja (in kritischen Sektoren)

* Ausnahmen möglich, z.B. wenn Sie Zulieferer für NIS2-pflichtige Unternehmen sind

Betroffene Sektoren

Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Energie
🚂 Verkehr
🏦 Bankwesen
📈 Finanzmärkte
🏥 Gesundheit
💧 Trinkwasser
🚿 Abwasser
💻 Digitale Infrastruktur
🛡️ IKT-Dienste (B2B)
🏛️ Öffentliche Verwaltung
🚀 Weltraum

Sonstige kritische Sektoren (wichtige Einrichtungen)

📬 Post & Kurier
🗑️ Abfallwirtschaft
🧪 Chemie
🍞 Lebensmittel
�icing Produktion/Hersteller
🌐 Digitale Dienste
🔬 Forschung

Was NIS2 von Ihnen verlangt

👔 Leitungsverantwortung

Geschäftsführer müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Eine Delegation an die IT reicht nicht aus!

📊 Risikomanagement

Dokumentiertes Risikomanagement für Netz- und Informationssysteme mit regelmäßiger Überprüfung

🔗 Lieferkettensicherheit

Cybersicherheitsanforderungen in Verträgen mit Lieferanten und Dienstleistern verankern

🚨 Incident Response

Plan zur Behandlung von Sicherheitsvorfällen und Wiederherstellung des Betriebs

📢 Meldepflichten

Dreistufiges Meldeverfahren bei erheblichen Vorfällen (24h, 72h, Abschlussbericht)

🎓 Schulungen

Cybersicherheits-Schulungen für Leitungsorgane und Mitarbeiter

Meldepflichten im Detail

Zeitrahmen Meldung Inhalt
Innerhalb 24 Stunden Frühwarnung Erste Information über den Vorfall an CSIRT
Innerhalb 72 Stunden Vorfallsmeldung Schweregrad, Auswirkungen, erste Bewertung
Innerhalb 1 Monat Abschlussbericht Vollständige Analyse, Ursachen, Maßnahmen

Strafen bei Nichteinhaltung

10 Mio €
oder 2% Umsatz
Wesentliche Einrichtungen
7 Mio €
oder 1,4% Umsatz
Wichtige Einrichtungen

Persönliche Haftung der Geschäftsführung

NIS2 sieht vor, dass Leitungsorgane für Verstöße persönlich haftbar gemacht werden können. Die Überwachung der Cybersicherheit ist keine delegierbare Aufgabe mehr!

"Die Delegation an die IT-Abteilung entbindet den Geschäftsführer nicht von seiner Überwachungspflicht."

— Rechtsprechung zur Geschäftsführerhaftung

Auswirkungen auf KMU (auch unter 50 MA)

Auch wenn Sie nicht direkt betroffen sind...

...werden Sie als Zulieferer oder Dienstleister von NIS2-pflichtigen Unternehmen indirekt betroffen sein. Diese werden Cybersicherheitsanforderungen in ihre Einkaufsrichtlinien aufnehmen.

Was das für Sie bedeutet:

  • Vertragliche Verpflichtung zur Einhaltung bestimmter Sicherheitsstandards
  • Regelmäßige Audits durch Ihre Kunden
  • Nachweis von Cybersicherheitsmaßnahmen als Voraussetzung für Aufträge
  • Möglicher Ausschluss von Ausschreibungen ohne Sicherheitsnachweis
  • Wettbewerbsvorteil für Unternehmen mit nachgewiesener Cybersicherheit

Jetzt vorbereiten - Vorsprung sichern!

AIM-IT hilft Ihnen, alle NIS2-Anforderungen zu erfüllen - auch wenn Sie (noch) nicht direkt betroffen sind.

Zur Compliance-Checkliste Zur GF-Präsentation

Offizielle Quellen & Weiterführende Links

Stand: November 2025 | Hinweis: Diese Informationen dienen der Übersicht und ersetzen keine rechtliche Beratung.

AIM-IT Cyberschutz Präsentations-System

Version 4.4 | November 2025

Kontakt: michael.volgger@aim-it.at | www.cyberschutz.it