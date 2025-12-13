Wir nutzen künstliche Intelligenz, um Zusammenfassungen unserer Artikel zu erstellen. Jeder Text wird vor der Veröffentlichung von einem Redakteur geprüft.

Ein Vertragsverletzungsverfahren bei der EU war bereits anhängig. Am Freitag wurde das Netz- und Informationssicherheitsgesetz mit einer Verspätung von mehr als einem Jahr schließlich vom Nationalrat mit Zweidrittelmehrheit beschlossen. Das Regelwerk, mit dem die entsprechende EU-Richtlinie (NIS-2) in Österreich umgesetzt wird, soll heimische Unternehmen widerstandsfähiger gegen Cyberangriffe machen. Das dürfte notwendig sein. Eine Studie der Unternehmensberater von KPMG hat zuletzt etwa gezeigt, dass jeder siebente Cyberangriff hierzulande erfolgreich ist.

Von dem Regelwerk betroffen sind rund 4.000 Firmen aus 18 kritischen Sektoren wie Energie, Transport, Gesundheitswesen oder Digitalinfrastruktur. Sie müssen Risikoanalysen durchführen, technische und organisatorische Maßnahmen für mehr Cybersicherheit setzen, unterliegen bei Vorfällen strengen Meldepflichten und müssen über Verträge mit Dienstleistern und Lieferanten sicherstellen, dass die Sicherheit in den Lieferketten gegeben ist. Bei Verstößen drohen Strafen bis zu 10 Mio. Euro oder zwei Prozent des Jahresumsatzes. Fristen Neun Monate nach Kundmachung im Bundesgesetzblatt, also voraussichtlich im Herbst 2026, wird das Gesetz in Kraft treten. Betroffene Firmen haben dann drei Monate Zeit, sich zu registrieren und müssen ein Jahr nach Inkrafttreten eingeleitete Cybersicherheitsmaßnahmen deklarieren. Nachweise zur Umsetzung müssen sie frühestens zwei Jahre nach Inkrafttreten des Gesetzes erbringen. "Nichts misszuverstehen" Für Unternehmen, die sich auch schon bisher an gängige Standards in der Cybersicherheit gehalten haben, etwa an die internationale Norm für Informationssicherheits-Managementsyteme ISO 27001, sei die Umstellung nicht so groß, sagt Michael Krausz. „Wer jetzt jammert, hat in der Vergangenheit geschlafen, befindet der Cybersicherheitsexperte, der mit seiner i.s.c. group Firmen und Organisationen weltweit in Fragen der IT-Sicherheit, Informationssicherheit und Compliance berät. Die österreichische Umsetzung der EU-Richtlinie hält er für gelungen. Es sei für jeden klar, was zu tun sei, sagt Krausz: „Es gibt nichts misszuverstehen.“

