NIS2: Was jetzt auf Österreichs Unternehmen zukommt

Die EU-Richtlinie NIS2 verpflichtet ab 2025 deutlich mehr Unternehmen in Österreich zu umfassenden Maßnahmen im Bereich Cyber- und Informationssicherheit. Was bisher vor allem Betreiber kritischer Infrastruktur betraf, betrifft künftig produzierende Betriebe, Versorger, Gesundheitsdienstleister, Gemeinden, Forschungseinrichtungen und Teile der Verwaltung. Wer vorbereitet ist, reduziert Risiken, Kosten und Haftung. Wer es ignoriert, riskiert im Ernstfall die Existenz.

Ein Montag in einer österreichischen Region

Ein regionaler Wasserversorger betreibt mehrere Brunnen, ein kleines Aufbereitungswerk und versorgt rund 25.000 Menschen in sechs Gemeinden. An diesem Montag steht die Leitwarte still. Auf den Überwachungsmonitoren für Durchfluss und Chlorung erscheint nur noch eine rote Meldung: „Zugriff verweigert. System gesperrt.“

Die Technikerinnen und Techniker versuchen, die Kontrollen manuell zu übernehmen. Die Gemeinden werden informiert, die Hotline läuft heiß. Die Versorgung kann auf Notbetrieb umgestellt werden, aber die Sicherheit der Wasserqualität ist unklar. Noch am selben Abend berichten lokale Medien.

Später stellt sich heraus: Ein kompromittiertes Administrationskonto, keine Zwei-Faktor-Authentifizierung, unzureichende Protokollierung. Die Wiederherstellung dauert Tage, die Ursachenanalyse Wochen. Das Vertrauen der Bevölkerung länger. Und die Behörde stellt Fragen.

Das Beispiel ist erfunden, könnte aber genauso passieren. Laut österreichischem Cybersecurity-Bericht erleidet fast jedes zweite Unternehmen jährlich mindestens einen relevanten Angriff. Ransomware ist ein solides Geschäftsmodell geworden. Und sie trifft längst nicht mehr nur „die Großen“.

Warum NIS2 jetzt kommt

Die erste EU-Richtlinie NIS aus 2016 war ein Anfang, aber sie war eng. Sie fokussierte auf Energie, Gesundheit, Wasser, Verkehr. Doch unsere Wirtschaft hängt heute in viel mehr Bereichen digital zusammen. Ein mittelständischer Zulieferer kann genauso systemrelevant sein wie ein großes Kraftwerk – wenn er der einzige ist, der ein bestimmtes Teil fertigt.

Deshalb erweitert NIS2 ab 2025 den Kreis der verpflichteten Organisationen deutlich. Für Österreich bedeutet das: Statt rund 100 direkt betroffenen Unternehmen werden es künftig 3.000 bis 5.000 sein. Dazu zählen: produzierendes Gewerbe, Lebensmittelhersteller, Labor- und Forschungsinstitute, kommunale Dienste, Entsorgungsunternehmen, IT-Dienstleister und Teile der öffentlichen Verwaltung.

Viele dieser Betriebe merken erst jetzt, dass sie betroffen sind.

„NIS2 macht klar: Informationssicherheit ist keine IT-Frage mehr, sondern eine Führungsaufgabe. Unternehmen werden künftig nicht danach beurteilt, ob sie gehackt werden – sondern wie gut sie vorbereitet waren.“ — Bernhard Prokop, Prokop Sponner und Partner

Erfahrung aus der Analyse kritischen Infrastruktur

Prokop Sponner und Partner arbeitet derzeit bei NIS2 mit dem Frankfurter Unternehmen DE-bit zusammen. In Deutschland ist DE-bit seit vielen Jahren im Bereich Audits und Informationssicherheitsprüfung von kritischen Infrastrukturen tätig – etwa bei Energieversorgern, Krankenhäusern, großen kommunalen Betrieben oder Ministerien.

Diese Perspektive aus der praktischen Prüfungspraxis zeigt, wie Sicherheitsanforderungen im Alltag aussehen, welche Maßnahmen tatsächlich funktionieren und woran Unternehmen in Audits häufig scheitern. Für österreichische Betriebe kann dieser Blick von außen helfen, Prioritäten richtig zu setzen und Umsetzungshürden realistisch einzuschätzen. Debit empfiehlt, was jetzt zu tun ist:

Die Lage ernst nehmen.
Nicht dramatisieren, aber priorisieren. Informationssicherheit ist kein Luxus.
Ist-Stand klären.
Welche Systeme sind kritisch? Wo liegen Daten? Welche Risiken sind real?
Zeit einplanen.
Sicherheit braucht Monate, nicht Wochen.
Dokumentieren.
Nicht nur handeln – nachweisbar handeln.
Lieferketten einbinden.
Der schwächste Partner entscheidet das Risiko.

NIS2 schreibt nicht ein bestimmtes technisches System vor, sondern verlangt ein funktionierendes Sicherheitsmanagement, das in der Organisation verankert ist. Dazu gehören:

Risikomanagement nach Stand der Technik

Notfall- und Wiederanlaufkonzepte

Melde- und Berichtspflichten bei Sicherheitsvorfällen

Schutz der Lieferkette (Third Party Risk Management)

Schulungen und Rollenverantwortlichkeit

und: aktive Verantwortung der Geschäftsführung

Der entscheidende Punkt: Informationssicherheit wird zur Führungsaufgabe. Ein „Das macht unsere IT“ reicht nicht mehr. Geschäftsleitung und Aufsichtsorgane haften künftig bei grober Vernachlässigung.

Der Blick nach vorn

NIS2 wird Aufwand bedeuten. Aber es wird auch Professionalität, Resilienz und Zukunftssicherheit stärken. Wer heute beginnt, hat morgen keinen Stress. Wer wartet, wird später hektisch, teuer und möglicherweise juristisch handeln müssen.

Cyber- und Informationssicherheit ist keine Zusatzaufgabe. Sie ist die Grundlage einer funktionierenden Wirtschaft.

Prokop Sponner und Partner – Transformation Consultants

Prokop Sponner & Partner GmbH ist eine Unternehmensberatung mit Sitz in Linz und Wien. Der Schwerpunkt liegt auf Reorganisation, Restrukturierung und dem unternehmerischen Fortbestand in Krisensituationen. Das Leistungsportfolio umfasst Gutachten und Prognosen, Interimsmanagement sowie Strategieberatung für die produzierende Industrie, das Gesundheitswesen und den Medienbereich.

Mit den kommenden Anforderungen durch NIS2 unterstützt Prokop Sponner & Partner nun zusätzlich Organisationen beim Aufbau von Informationssicherheit und Resilienz. Dabei arbeitet das Unternehmen mit dem deutschen Spezialisten DE-bit zusammen, der seit vielen Jahren Audits und Sicherheitsprüfungen in kritischen Infrastrukturen durchführt. Diese Erfahrung fließt in die Beratung österreichischer Betriebe ein – von der Analyse relevanter Systeme bis hin zur realistischen Umsetzungsplanung.

So verbindet Prokop Sponner & Partner bewährte Krisen- und Transformationskompetenz mit praxisorientierter Informationssicherheit für die Anforderungen von morgen.

Wenn Sie dieses Thema beschäftigt oder Sie mehr erfahren möchten, kontaktieren Sie uns gerne für ein unverbindliches Gespräch.