NIS2: Gefürchtete Cybersecurity-Gesetze verschieben sich auf 2025
Eigentlich hätte sie ja in zwei Wochen, am 18. Oktober 2024 in Kraft treten sollen, so wollte es eigentlich die EU. Aber tatsächlich wird die NIS2, also die zweite Version der EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive 2), in Österreich und Deutschland bis auf Weiteres nicht gelten.
In Deutschland rechnet das Innenministerium nicht mit fristgerechter Einführung, in Österreich wurde der Entwurf des NISG 2024 (Initiativantrag zum Netz- und Informationssicherheitsgesetz 2024) zwar im Parlament behandelt, scheiterte aber an der notwendigen Zweidrittelmehrheit und wurde nicht beschlossen.
NIS2 soll digitale Infrastruktur schützen
Eigentlich hätte NIS2 grundsätzlich für mehr Cybersecurity in Unternehmen sorgen sollen, wurde aber von diesen längst angstvoll beobachtet. Im Kern betrifft die Richtlinie eigentlich „nur“ Unternehmen der „kritischen Infrastruktur“; dazu zählen unter anderem Betriebe aus den Bereichen Energie, Bankwesen, Verkehr, Gesundheitswesen, digitale Infrastruktur oder die öffentliche Verwaltung.
NIS2 bringt hohe Anforderungen mit sich, um die digitale Infrastruktur besser zu schützen, etwa was Maßnahmen im Risikomanagement, Schutz der Lieferkette, Penetration Tests und Zusammenarbeit mit einer neu geschaffenen Behörde angeht. Weil aber nicht nur die Unternehmen selbst, sondern auch deren Zulieferer betroffen sind, würde dem „CyberRisk Report“ der KSV1870-Tochterfirma Nimbusec zufolge in Österreich jeder dritte Betrieb unter NIS2 fallen. Gerade für kleinere Firmen könnten dadurch wieder Mehrkosten, Zeit- und Personalaufwand entstehen.
NIS2: Neue Cybersecurity-Richtlinie wird zum Angstgegner für so manches Scale-up
NIS2 betrifft auch startups und Scale-ups
NIS2 würde auch österreichische Scale-ups erfassen, weil die Richtlinie für Unternehmen mit mehr als 50 Mitarbeiter:innen und einem Umsatz von mehr als 10 Mio. Euro gilt, etwa wenn sie Online-Marktplätze betreiben. Auch in den Bereichen Energie, Fintech, SpaceTech, Mobilität, Lebensmittel, Zustelldienste, Cloud oder Forschung kann NIS2 zum Tragen kommen.
Aufgeschoben ist aber nicht aufgehoben. Das deutsche Innenministerium kommuniziert laut Bundesverband der mittelständischen Wirtschaft (BVMW), dass bei einem zügigen parlamentarischen Verfahren ein Inkrafttreten des Gesetzes im ersten Quartal 2025 möglich sei. Der Verband rät KMU, Handwerksbetrieben und Startups jetzt dazu, die eigene Betroffenheit zügig zu prüfen.
Auch in Österreich sieht es ähnlich aus. Auch hierzulande wird der 18. Oktober nicht halten, und aufgrund der aktuell anstehenden Koalitionsverhandlungen ist noch nicht klar, wann im Parlament wieder eine Zweidrittelmehrheit zusammenkommen wird, um NIS2 abzusegnen. Seitens Wirtschaftskammer (WKO) heißt es, dass die Regelungen voraussichtlich 2025 in Kraft würden. „Es ist wichtig, sich jetzt vorzubereiten, da die Implementierung der Maßnahmen abhängig vom Reifegrad der Cybersicherheit viele Monate im Unternehmen in Anspruch nimmt“, heißt es dort. Weitere Informationen für Unternehmen finden sich hier.