Die NIS2-Richtlinie der EU soll für Unternehmen in Europa, die besonders wichtig für das gesellschaftliche Zusammenleben sind, einheitlich hohe Sicherheitsstandards schaffen. Sie ist EU-weit seit 17. Oktober 2024 aktiv – und hätte bis zu diesem Stichtag in jedem Mitgliedsstaat in nationales Recht umgesetzt werden sollen. Denn die NIS2-Regelungen gelten für die Unternehmen des jeweiligen EU-Staates erst mit der Umsetzung in nationales Recht. Diese Umsetzung ist in vielen EU-Mitgliedsstaaten (darunter Österreich und Deutschland) nicht passiert, was EU-Vertragsverletzungsverfahren ausgelöst hat. In Österreich hat der Gesetzesentwurf zu NIS 2, der auch Verfassungsbestimmungen enthält, 2024 im Parlament die dafür notwendige Zweidrittelmehrheit für eine Beschlussfassung nicht geschafft. Laut der österreichischen Wirtschaftskammer ist der genaue Zeitpunkt, zu dem die Umsetzung in Österreich erfolgt, vom parlamentarischen Gesetzgebungsprozess abhängig und derzeit noch offen. Es sei aber damit zu rechnen, dass die Regelungen noch 2025 in Kraft treten könnten.
Weiter vorbereiten
Die Wirtschaftskammer empfiehlt deshalb allen von NIS 2 betroffenen Unternehmen, bereits begonnene Maßnahmen weiterhin zügig voranzutreiben, denn die grundlegenden Vorgaben, was zu tun ist, lägen mit der NIS2-Richtlinie schon längst vor. Von den damit verbundenen Sicherheitsvorschriften und Meldepflichten sind in Österreich rund 4000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten Sektoren betroffen. Es sei wichtig, konsequent an der Umsetzung zu arbeiten, da die Implementierung – abhängig vom Reifegrad der Cybersicherheit eines Unternehmens – einige Monate in Anspruch nehmen könne.