Die EU-Richtlinie zur Cybersicherheit (NIS 2) wird bald österreichisches Recht. Damit wächst der Handlungsdruck für Unternehmen
deutlich. Wer vorbereitet ist, muss weder geschäftliche noch persönliche Haftung fürchten. Der Entwurf zum neuen NIS-Gesetz (NISG)
befindet sich seit April 2025 im EU-Notifizierungsverfahren, dessen Abschluss noch im Laufe des Jahres erwartet wird.
Dringender Handlungsbedarf
„Wer bisher nichts unternommen hat, sollte jetzt aktiv werden – Behörden, Kund:innen und Partner:innen erwarten bereits sichtbare Maßnahmen“, warnt Thomas Simon, Cyber Security Experte bei BDO.
Wen betrifft NIS 2?
Neben Sektoren wie Energie und Gesundheit gelten die neuen Vorgaben auch für IT-Dienstleister:innen, Softwareunternehmen, Logistik, Großhandel, Maschinenbau, digitale Plattformen, Postdienste und Hosting-Anbieter. Bereits Unternehmen ab 50 Mitarbeitenden oder mit über 10 Mio. Euro Jahresumsatz können betroffen sein.
Was wird gefordert?
Pflicht ist der Aufbau eines strukturierten Risikomanagements für IT-Systeme, eine 24-Stunden-Meldepflicht bei Sicherheitsvorfällen, die Prüfung von IT-Dienstleister:innen, ein Sicherheitskonzept für die Lieferkette sowie ein funktionierendes ISMS (Informationssicherheitsmanagementsystem). Auch die Geschäftsführung muss eingebunden werden.
Hohe Strafen drohen
Bei Verstößen sind Strafen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vorgesehen – je nach Klassifizierung als „wesentliche“ (z.B. Energieerzeuger und Netzbetreiber) oder „wichtige Einrichtung“ (z. B. Produzent und Vertreiber von Lebensmitteln). Zusätzlich drohen Haftungsrisiken, Reputationsverluste sowie der Ausschluss von Ausschreibungen oder Lieferketten.
Jetzt starten – nicht warten
Viele hoffen auf einen Aufschub, doch laut BMI sind rund 80 % der Richtlinienanforderungen bereits im Gesetzesentwurf enthalten, der bald in geltendes Recht umgesetzt wird. Wer jetzt handelt, kann strukturiert und ohne Zeitdruck reagieren. Die zentralen Fragen lauten: Ist Ihr Unternehmen vorbereitet? Gibt es Risikoanalysen, Notfallpläne und ein Sicherheitskonzept für Dienstleister:innen? Ist Ihre Geschäftsführung involviert?
„NIS 2 ist kein Zukunftsthema“, betont Simon. „Die Anforderungen müssen bereits heute erfüllt werden. Jetzt ist der richtige Moment, um technische und organisatorische Maßnahmen umzusetzen – verantwortungsvoll und nachvollziehbar.“
Kontakt:
Thomas Simon, Director & Prokurist
BDO Austria GmbH
QBC 4 – Am Belvedere 4
1100 Wien
✆ +43 05 70 375 1000
✉ thomas.simon@bdo.at
www.bdo.at
