Wie schütze ich mein Unternehmen vor Cyberangriffen?

Die EU-Richtlinie NIS 2 verpflichtet Unternehmen zu höherer Cybersicherheit

Cyberangriffe zählen zu den größten Risiken für Unternehmen. Eine neue EU-Richtlinie (NIS 2 – Network and Information Security Directive 2) soll das Sicherheitsniveau in Europa verbessern. Sie verpflichtet tausende Unternehmen zur Umsetzung technischer und organisatorischer Maßnahmen zur Cybersicherheit. Auch wenn das österreichische Umsetzungsgesetz noch aussteht, ist eine frühzeitige Vorbereitung entscheidend.

Wer ist betroffen?

Laut Entwurf zum NISG 2025 werden voraussichtlich rund 4.000 mittlere und große Unternehmen aus kritischen Sektoren in den Anwendungsbereich der neuen Regelungen fallen. Dazu zählen Unternehmen aus den Bereichen Energie, Gesundheit, Verkehr, digitale Infrastruktur oder Lebensmittelproduktion. Auch Dienstleisterinnen/Dienstleister und Lieferantinnen/Lieferanten dieser Unternehmen werden Anforderungen erfüllen müssen. Kleine Unternehmen sind grundsätzlich ausgenommen, können aber über die Lieferkette indirekt betroffen sein.

Personen sitzen um einen Tisch mit Laptop

Was ist zu tun?

Unternehmen würden unter anderem folgende Pflichten treffen:

  • Risikomanagement und Sicherheitsmaßnahmen (Zugriffskontrollen, Verschlüsselung, physische Sicherheit etc.)
  • Krisenmanagement und Notfallpläne im Sinne der Geschäftskontinuität
  • Schulungen zur Cybersicherheit
  • Sicherheit in der Lieferkette sicherstellen
  • Meldepflicht bei Sicherheitsvorfällen an das nationale CSIRT binnen 24 bis 72 Stunden

Die Leitungsorgane (Geschäftsführung, Vorstand) werden für die Umsetzung verantwortlich sein und bei Verstößen haften.

Welche Strafen drohen?

Vorgesehen sind Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Zudem kann es zu Einschränkungen von Tätigkeiten und Genehmigungen kommen.

Jetzt vorbereiten

Auch wenn das österreichische Umsetzungsgesetz zur NIS 2-Richtlinie noch nicht in Kraft ist, sollten Unternehmen bereits aktiv werden: Prüfen, ob sie betroffen sein könnten, Zuständigkeiten klären, erste Risikoanalysen durchführen und Schutzmaßnahmen einleiten. Wer früh handelt, schützt Daten und Systeme und stärkt die digitale Resilienz des eigenen Unternehmens.

Letzte Aktualisierung: 1. Oktober 2025

Für den Inhalt verantwortlich: USP-Redaktion