// NIS2 · Compliance · Österreich

NIS2 für KMU in Österreich: Was Geschäftsführer konkret tun müssen

NIS2 ist seit Oktober 2024 österreichisches Gesetz. Bußgelder bis zu 10 Millionen Euro drohen. Und die meisten KMU wissen noch nicht einmal, ob sie betroffen sind – oder was sie konkret tun müssen.

Inhalt: Was ist NIS2? Wer ist betroffen? Was fordert NIS2 konkret? Awareness als Pflicht Bußgelder & Haftung NIS2-Checkliste für KMU FAQ

Was ist NIS2 – in einem Satz für Geschäftsführer erklärt

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die Unternehmen in kritischen und wichtigen Sektoren dazu verpflichtet, ein nachweisbares Mindestmaß an Cybersicherheit umzusetzen – und bei Verstößen mit empfindlichen Strafen rechnen zu müssen.

Konkret: Wo bisher kaum gesetzliche Anforderungen an die IT-Sicherheit von Unternehmen galten, gibt es nun verbindliche Pflichten. Risikoanalysen müssen durchgeführt, Sicherheitsvorfälle gemeldet und Mitarbeiter geschult werden. Die Richtlinie wurde in Österreich mit dem NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) in nationales Recht umgesetzt und gilt seit Oktober 2024.

Wer prüft das? In Österreich ist die Rundfunk und Telekom Regulierungs-GmbH (RTR) in Kooperation mit dem BMLV und dem nationalen CERT die zuständige Aufsichtsbehörde. Unternehmen können auch von der Wirtschafts- und Korruptionsstaatsanwaltschaft bei Verstößen verfolgt werden.

Das Besondere an NIS2 gegenüber der Vorgängerrichtlinie NIS1: Der Anwendungsbereich wurde massiv erweitert. Während NIS1 nur die allerwichtigsten Infrastrukturbetreiber betraf, erfasst NIS2 nun auch mittelgroße Unternehmen in einer deutlich breiteren Liste von Sektoren.

Wer ist von NIS2 in Österreich betroffen?

NIS2 unterscheidet zwei Kategorien: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Die Schwellenwerte und Sektoren:

Kategorie Schwellenwert Betroffene Sektoren (Auswahl) Höchststrafe
Wesentliche Einrichtung ≥ 250 MA oder ≥ 50 Mio. € Umsatz Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, Digitale Infrastruktur, Raumfahrt, öffentliche Verwaltung 10 Mio. € / 2 %
Wichtige Einrichtung ≥ 50 MA oder ≥ 10 Mio. € Umsatz Post & Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, Fahrzeugbau, Digitale Dienste, Forschung 7 Mio. € / 1,4 %

Quelle: NIS2-Richtlinie (EU) 2022/2555, NISG 2024 (Österreich)

Wichtig: Die Schwellenwerte beziehen sich auf den jeweiligen Sektor. Ein Unternehmen mit 55 Mitarbeitern im Bereich Lebensmittelverarbeitung fällt damit unter NIS2 – auch wenn es kein IT-Unternehmen ist.

Lieferkette: Auch wenn Ihr Unternehmen selbst nicht direkt unter NIS2 fällt – wenn Sie Lieferant einer betroffenen Einrichtung sind, werden diese von Ihnen als Zulieferer NIS2-konforme Sicherheitsmaßnahmen fordern. Das ist explizit in der Richtlinie vorgesehen (Supply-Chain-Sicherheit).

Was fordert NIS2 konkret?

NIS2 Artikel 21 definiert verbindliche Sicherheitsmaßnahmen. Die wichtigsten für KMU im Überblick:

01

Risikoanalyse und Sicherheitskonzept

Unternehmen müssen die Risiken für ihre Informationssysteme systematisch analysieren und dokumentieren. Das bedeutet: Welche Systeme sind kritisch? Welche Bedrohungen bestehen? Welche Gegenmaßnahmen sind implementiert?

02

Vorfallmanagement und Meldepflichten

Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden (Frühwarnung), innerhalb von 72 Stunden ein vollständiger Bericht folgen. Innerhalb eines Monats ist ein Abschlussbericht fällig. Betroffene Einrichtungen benötigen dafür klare interne Prozesse.

03

Supply-Chain-Sicherheit

Die Sicherheit von Lieferanten und Dienstleistern muss bewertet und vertraglich abgesichert werden. Das gilt für Cloud-Anbieter, IT-Dienstleister und alle Partner mit Zugang zu Ihren Systemen.

04

Kryptografie und Zugriffskontrollen

Einsatz von Verschlüsselung für sensible Daten, Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Zugänge sowie ein rollenbasiertes Berechtigungskonzept (Least Privilege) sind gefordert.

05

Awareness-Training und Sicherheitstests

NIS2 Anhang A fordert explizit regelmäßige Schulungen für alle Mitarbeiter sowie Tests der implementierten Sicherheitsmaßnahmen. Phishing-Simulationen gelten als direkte Umsetzung dieser Anforderung.

Awareness als NIS2-Pflicht: Warum die Phishing-Simulation zählt

Viele Unternehmen konzentrieren sich bei NIS2 ausschließlich auf technische Maßnahmen – Firewalls, Endpoint-Protection, Backups. Das greift zu kurz. NIS2 Artikel 21 Abs. 2 (g) fordert explizit:

NIS2 Artikel 21 (2)(g): „grundlegende Verfahren im Bereich Cyberhygiene und Schulungen im Bereich Cybersicherheit" als Teil der zu ergreifenden Sicherheitsmaßnahmen.

Eine Phishing-Simulation ist dabei mehr als eine Schulungsmaßnahme: Sie testet die reale Reaktion Ihrer Mitarbeiter auf echte Angriffsmuster und liefert messbare Ergebnisse – Klickraten, Meldequoten, Abteilungsvergleiche. Damit können Sie gegenüber der Aufsichtsbehörde nachweisen, dass Sie die Awareness-Anforderung ernst nehmen und systematisch adressieren.

In der Praxis bedeutet das für NIS2-konforme Dokumentation:

  • Datum und Umfang der durchgeführten Simulation
  • Klickrate vor und nach Training
  • Dokumentiertes Ergebnis und eingeleitete Maßnahmen
  • Wiederholungsintervall (mindestens jährlich empfohlen)

Der rechtliche Rahmen für Phishing-Simulationen in Österreich ist dabei klar geregelt: Mit korrekter Betriebsvereinbarung und DSGVO-konformem Ansatz sind sie vollständig rechtssicher durchführbar.

Bußgelder und persönliche Haftung: Was droht wirklich?

NIS2 sieht nicht nur Unternehmensstrafen vor – es gibt auch eine explizite persönliche Haftung der Geschäftsführung. Das ist ein fundamentaler Unterschied zur früheren Rechtslage.

Kategorie Maximale Geldbuße Zusätzliche Maßnahmen
Wesentliche Einrichtung 10.000.000 € oder 2 % des weltweiten Jahresumsatzes Behördliche Anweisungen, öffentliche Bekanntmachung, temporäres Betätigungsverbot für Leitungsorgane
Wichtige Einrichtung 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes Behördliche Anweisungen, öffentliche Bekanntmachung

Quelle: NIS2-Richtlinie Art. 34, NISG 2024 §§ 44–47

Besonders kritisch: Die Richtlinie sieht vor, dass Leitungsorgane (Geschäftsführer, Vorstände) bei grober Fahrlässigkeit persönlich haftbar gemacht werden können – auch wenn der Schaden durch einen Cyberangriff entstand, der bei ausreichenden Schutzmaßnahmen hätte verhindert werden können. „Ich wusste nicht, dass wir betroffen sind" ist keine ausreichende Verteidigung.

Wichtige Klarstellung: Die Behörde kann auch Unternehmen prüfen, die nicht selbst einen Vorfall gemeldet haben. Anlassprüfungen auf Basis von Hinweisen oder Stichproben sind ausdrücklich vorgesehen.

NIS2-Checkliste für KMU: 8 Punkte zum Start

Diese Checkliste ist kein Ersatz für eine vollständige Compliance-Prüfung, aber ein guter Ausgangspunkt zur Selbsteinschätzung:

  • Betroffenheitsprüfung: Haben Sie festgestellt, ob Ihr Unternehmen unter NIS2 fällt (Sektor, Mitarbeiteranzahl, Umsatz)?
  • Verantwortlichkeit: Gibt es eine benannte Person (intern oder extern), die für NIS2-Compliance zuständig ist?
  • Risikoanalyse: Wurde eine dokumentierte Analyse der IT-Risiken und kritischen Systeme durchgeführt?
  • Vorfallmanagement: Haben Sie einen Prozess, um Sicherheitsvorfälle intern zu erkennen und innerhalb von 24h zu melden?
  • Technische Maßnahmen: Sind MFA, Verschlüsselung und Zugriffskontrolle für kritische Systeme implementiert?
  • E-Mail-Sicherheit: Sind DMARC, SPF und DKIM korrekt konfiguriert? (E-Mail Security Audit als schnelle Überprüfung)
  • Awareness-Training: Findet regelmäßiges Sicherheitstraining für alle Mitarbeiter statt, dokumentiert und messbar?
  • Phishing-Simulation: Wurde die reale Reaktion der Mitarbeiter auf Phishing-Angriffe getestet und dokumentiert?

Häufige Fragen zu NIS2 für österreichische KMU

Ab wann gilt NIS2 in Österreich?

Die EU-Richtlinie NIS2 wurde mit dem österreichischen NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) seit Oktober 2024 in nationales Recht umgesetzt. Betroffene Unternehmen sind seit diesem Zeitpunkt zur Einhaltung verpflichtet – auch wenn die aktive Behördenprüfung noch anlaufen muss.

Welche KMU sind von NIS2 betroffen?

Grundsätzlich gilt NIS2 für Unternehmen in kritischen und wichtigen Sektoren. Als „wichtige Einrichtung" gilt ein Unternehmen mit 50+ Mitarbeitern oder 10+ Mio. € Umsatz in den genannten Sektoren. Auch Lieferanten von betroffenen Unternehmen werden zunehmend mit Compliance-Anforderungen konfrontiert.

Zählt eine Phishing-Simulation als NIS2-Maßnahme?

Ja. NIS2 Artikel 21 fordert explizit Schulungen im Bereich Cybersicherheit und grundlegende Verfahren für den Umgang mit Cybersicherheit. Eine Phishing-Simulation mit anschließendem Training erfüllt diese Anforderung direkt und ist als technisch-organisatorische Maßnahme (TOM) gegenüber der Aufsichtsbehörde dokumentierbar.

Was droht bei NIS2-Verstößen?

Für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des Jahresumsatzes. Zusätzlich können Geschäftsführer persönlich haftbar gemacht werden – das ist ein bewusstes Instrument der Richtlinie, um Sicherheit zur Chefsache zu machen.

NIS2 fordert nachweisbares Handeln – nicht gute Absichten. Mit der Phishing-Simulation (Awareness-Pflicht) und dem E-Mail Security Audit (technische Maßnahmen) decken Sie zwei zentrale NIS2-Anforderungen ab. Ab 290 € Fixpreis, DSGVO-konform, dokumentiert.

Kostenloses Erstgespräch buchen →