Artikelinhalt
Warum Sie als DSGVO-erfahrenes Unternehmen nichts zu befürchten haben – und was jetzt wirklich zu tun ist.
Kaum ein neues Regelwerk sorgt derzeit für so viele Schlagzeilen, Newsletter-Alarmierungen und Beratungsangebote wie NIS2. Die EU-Richtlinie zur Erhöhung der Cybersicherheit soll europaweit Mindeststandards für digitale Resilienz schaffen. Klingt sinnvoll – und ist es auch. Trotzdem: Die Aufregung, die mancherorts erzeugt wird, erinnert stark an die DSGVO-Einleitungspanik von 2018.
Dabei ist NIS2 weniger ein radikaler Neustart – sondern eher eine systematische Erweiterung bekannter Prinzipien.
Worum geht es bei NIS2 überhaupt?
NIS2 ist die überarbeitete Fassung der EU-Richtlinie für Netz- und Informationssicherheit (NIS1 von 2016). Sie richtet sich an Unternehmen und Organisationen, die für das Funktionieren der Gesellschaft oder Wirtschaft relevant sind: Kritische Infrastrukturen, Gesundheitswesen, Verkehr, Energie, Verwaltung, – aber auch bestimmte digitale Dienste und mittlere/größere Unternehmen in ausgewählten Branchen.
Konkret bedeutet das:
- Registrierungspflicht für bestimmte Unternehmen
- Pflicht zur Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen
- Risikomanagement mit Fokus auf Informationssicherheit
- Meldepflicht für Sicherheitsvorfälle
- Haftung von Unternehmensleitungen
In Österreich: Noch keine Klarheit
Anders als oft vermittelt, ist die gesetzliche Umsetzung in Österreich noch nicht abgeschlossen. Es gibt derzeit keine finale Fassung des NIS2-Umsetzungsgesetzes. Auch die zuständige Behörde wird aktuell noch aufgebaut.
Was das heißt:
- Keine akuten Meldepflichten
- Kein zentrales Online-Portal
- Noch keine verpflichtende Maßnahmenliste
Das heißt aber nicht, dass man warten sollte – sondern: Jetzt ist der richtige Zeitpunkt, um sich mit den Anforderungen vertraut zu machen.
Was ist wirklich neu? Und was nicht?
NIS2 erweitert den bisherigen Anwendungsbereich und schärft die Verantwortlichkeiten. Neu ist vor allem die Einbindung der Unternehmensleitung, die zukünftig für die Umsetzung von Cybersicherheitsstrategien verantwortlich ist.
Aber viele der geforderten Elemente kennen wir bereits aus der DSGVO:
- Risikobasierter Ansatz
- Technisch-organisatorische Maßnahmen (TOMs)
- Vorfallmanagement
- Dokumentationspflichten
Wer seine Hausaufgaben zur DSGVO gemacht hat, muss für NIS2 nicht bei null anfangen.
Besonders hilfreich: Unternehmen, die sich bereits mit ISO/IEC 27001 (Informationssicherheitsmanagement) auseinandergesetzt haben, sind konzeptionell gut aufgestellt. Die Norm liefert das passende Vokabular und die richtigen Prozesse für ein strukturiertes Risikomanagement.
Was ist jetzt zu tun?
-
Prüfen Sie, ob Ihr Unternehmen betroffen ist
- Gehören Sie zu den in NIS2 genannten Sektoren?
- Erfüllen Sie die Schwellenwerte (z. B. 50+ Mitarbeitende oder >10 Mio. € Umsatz)?
-
Verschaffen Sie sich einen Überblick über Ihre IT-Risiken
- Wo liegen Schwachstellen? Welche Systeme sind kritisch?
-
Dokumentieren Sie bestehende Schutzmaßnahmen
- Technisch (Firewalls, Zugriffsrechte etc.)
- Organisatorisch (Prozesse, Zuständigkeiten, Schulungen)
-
Vorbereitende Risikobewertung durchführen
- Analog zur Datenschutz-Folgenabschätzung (DSFA)
- Aber mit erweitertem Fokus: nicht nur Daten, sondern gesamte Systemverfügbarkeit
-
Nicht in Panik verfallen
- Es gibt noch keine Bußgeldpraxis
- Die Umsetzungsfrist reicht ins Jahr 2024/25
- Seriöse Beratung ist sinnvoll, aber Panikmache ist fehl am Platz
Fazit
NIS2 ist eine wichtige Weiterentwicklung europäischer Sicherheitsstandards. Aber sie ist kein Grund zur Panik. Wer die DSGVO nicht nur oberflächlich abgehakt hat, sondern mit gesundem Menschenverstand umgesetzt hat, hat jetzt einen Startvorteil.
Nutzen Sie die Gelegenheit, Ihre Informationssicherheit strukturiert zu denken – nicht nur wegen NIS2, sondern weil es für Ihr Unternehmen ohnehin sinnvoll ist.
