Informationssicherheit

NIS2 in Österreich: Offene Fragen?

Michael Mrak

Michael Mrak

2 min read
NIS2 in Österreich: Offene Fragen?
Photo by Markus Winkler / Unsplash

Mehr als ein Jahr nach Ablauf der Umsetzungsfrist liegt mit dem NISG 2026 nun ein neuer österreichischer Entwurf zur Umsetzung der EU-Cybersicherheitsrichtlinie NIS2 vor. Das Ziel der Richtlinie ist eigentlich klar: ein höheres, europaweit konsistentes Cybersicherheitsniveau. Die Realität sieht leider etwas anders aus. Der vorliegende Entwurf schafft aus Sicht der Autoren einer Analyse wenig Klarheit und droht, die Umsetzung eher zu bremsen als zu beschleunigen.

Die inhaltliche Analyse und Recherche zu den hier angesprochenen offenen Punkten geht maßgeblich auf Lukas Feiler und Silvia Grohmann zurück. Ihre Analyse legt die strukturellen Schwächen der aktuellen Umsetzung schonungslos offen.

Anspruch vs. Wirklichkeit

Aktuelle Cyberangriffe auf kritische Infrastrukturen zeigen, wie real das Risiko ist. Genau hier soll NIS2 ansetzen. Gleichzeitig bleibt der österreichische Gesetzestext in zentralen Punkten vage. Interpretationsspielräume werden nicht geschlossen, sondern teilweise sogar erweitert. Das Ergebnis ist regulatorische Unsicherheit mit handfesten Konsequenzen, nämlich Bußgelder, persönliche Haftungsrisiken für das Management und erhebliche operative Schäden im Ernstfall.

Die Kernfrage lautet: Wie sollen Unternehmen rechtskonform handeln, wenn schon der Anwendungsbereich unklar ist?

Wer ist betroffen, wer nicht?

NIS2 richtet sich an Organisationen in „kritischen“ und „wichtigen“ Sektoren. Doch die Definitionen sind so weit gefasst, dass die Betroffenheit in der Praxis oft erst nach umfangreicher detaillierter Rechtsanalyse seriös beurteilt werden kann. Beispiele:

  • Fernwärme und Fernkälte: Erfasst sind potenziell auch Unternehmen, die entsprechende Systeme ausschließlich für den Eigenbedarf betreiben. War das intendiert?
  • Lebensmittelsektor: Das NISG 2026 beschränkt die Anwendung auf Unternehmen mit industrieller Produktion und Weiterverkauf an gewerbliche Kunden. Große Teile der Versorgungskette könnten damit faktisch ausgenommen sein. Stärkt das die Resilienz – oder unterläuft es den Zweck der Richtlinie?
  • RKEG als Umweg: Gleichzeitig fallen zahlreiche Unternehmen über das Resilienz kritischer Einrichtungen-Gesetz dennoch wieder in den Anwendungsbereich. Entsteht hier ein regulatorisches Parallelsystem?
Es ergibt sich die Fragestellung nach welchen objektiven Kriterien Unternehmen ihre Betroffenheit verlässlich bestimmen sollen?

Nebentätigkeiten mit Hauptfolgen

Besonders schwer verständlich wirkt das Fehlen einer klaren Abgrenzung für Nebentätigkeiten. Das NISG 2026 kennt kein Konzern- oder Bagatellprivileg.

Die Folge: Eine an sich unkritische Organisation kann allein durch eine untergeordnete Tätigkeit vollständig NIS2-pflichtig werden, inklusive aller Governance-, Risiko- und Berichtspflichten für das gesamte Unternehmen.

Ist es verhältnismäßig, das gesamte Unternehmen zu regulieren, wenn nur ein Randbereich betroffen ist?

Eigene IT als regulatorisches Risiko?

Auch gruppeninterne IT-Leistungen sind nicht ausgenommen. Ein Vorhandensein eines internen IT-Helpdesk kann ausreichen, um ein Unternehmen in den Anwendungsbereich des NISG 2026 zu ziehen. Gleiches gilt möglicherweise für Unternehmen, die externe Cloud-Dienste einkaufen und intern weiterreichen.

Die EU-Mitgliedstaaten hätten hier Spielraum zur Entschärfung, nutzen ihn aber bislang nicht. Auch Österreich folgt diesem Trend leider.

Ab wann wird auch interne IT-Unterstützung rechtlich zu einem regulierten digitalen Dienst?

Mehrere Staaten, mehrere Pflichten

Besonders herausfordernd ist die Mehrstaatenzuständigkeit. Je nach Tätigkeit gelten unterschiedliche Anknüpfungspunkte. Für Managed Services, Cloud-Dienste oder Rechenzentren zählt nicht der Sitz, sondern der Ort der maßgeblichen Cyber-Risikomanagement-Entscheidungen. In der Praxis bedeutet das für die betroffenen Unternehmen:

  • Registrierung bei mehreren nationalen Behörden
  • Mehrfache Meldepflichten bei Sicherheitsvorfällen
  • Vergleich und Umsetzung der jeweils strengsten nationalen Anforderungen
Wie soll ein konsistentes Sicherheitsniveau umgesetzt werden, wenn die regulatorischen Vorgaben auseinanderlaufen?

Mein Fazit: Viel Analyse, wenig Umsetzung

Die NIS2 Richtlinie beschäftigt viele Unternehmen seit Monaten. Nicht wegen der technischen Maßnahmen, sondern wegen der rechtlichen Unsicherheiten. Auch das NISG 2026 liefert leider keine klare Orientierung. Der weite Anwendungsbereich, fehlende Konzernprivilegien und komplexe Zuständigkeitsregeln führen dazu, dass erhebliche Ressourcen bereits in die bloße Abgrenzungsanalyse fließen.

Das läuft dem eigentlichen Zweck der Richtlinie zuwider. Statt Cybersicherheit pragmatisch zu stärken, entsteht aus Sicht der Autoren ein regulatorisches Vorfeld, das Zeit, Budget und Aufmerksamkeit bindet.

Read more

Risikobewertung gemäß Art. 28 DSGVO für den Einsatz eines US-Cloud-Anbietern

Risikobewertung gemäß Art. 28 DSGVO für den Einsatz eines US-Cloud-Anbietern

Die nachfolgende Risikoanalyse stützt sich auf ein weiterhin maßgebliches Rechtsgutachten der Universität zu Köln vom März 2025. 1. Ausgangslage und Scope Geprüft wurde der Einsatz von US-Cloud-Service-Providern zur Speicherung oder Verarbeitung personenbezogener Daten. Die Anbieter unterliegen als US-Unternehmen den extraterritorialen Zugriffsbefugnissen von US-Behörden. Die Bewertung nach Art. 28 DSGVO erfolgte

By Michael Mrak
NISG 2026: Cybersicherheit wird zur Chefsache

NISG 2026: Cybersicherheit wird zur Chefsache

Mit dem NISG 2026 (Bundesgesetz, mit dem das Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2026 – NISG 2026) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden) setzt nun auch Österreich mit mehr als einjähriger Verspätung die EU-NIS-2-Richtlinie um und definiert

By Michael Mrak