Cybersicherheitsgesetz bringt neue Pflichten
Das neue Cybersicherheitsgesetz verschärft ab 2025 die Vorgaben für Unternehmen und kritische Infrastruktur.
Mit dem Beschluss des Netz- und Informationssicherheitsgesetzes (NIS-2) setzt Österreich eine zentrale EU-Vorgabe zur Cybersicherheit um. Abseits politischer Debatten bringt das Gesetz vor allem konkrete, teils weitreichende Neuerungen für Unternehmen, Betreiber kritischer Infrastruktur und staatliche Stellen.
Wen das Gesetz künftig betrifft
Der Anwendungsbereich wird deutlich ausgeweitet. Neben klassischer kritischer Infrastruktur wie Energie, Wasser oder Verkehr fallen nun auch zahlreiche weitere Branchen unter die neuen Regeln. Dazu zählen unter anderem:
- Lebensmittelproduktion und -handel
- Abfall- und Abwasserwirtschaft
- Digitale Dienste, Rechenzentren und Cloud-Anbieter
- Teile der Industrie mit zentraler Bedeutung für Lieferketten
Insgesamt rechnet der Gesetzgeber mit rund 4.000 betroffenen Organisationen in Österreich. Maßgeblich sind dabei Unternehmensgröße, Marktstellung und systemische Relevanz.
Neue Sicherheits- und Meldepflichten
Kern des Gesetzes sind verbindliche Mindeststandards für IT- und Netzwerksicherheit. Unternehmen müssen künftig nachweisen, dass sie Risiken systematisch analysieren und geeignete Schutzmaßnahmen umsetzen. Dazu zählen etwa:
- Risikoanalysen und Sicherheitskonzepte
- Notfall- und Wiederanlaufpläne
- Schulungen für Mitarbeiter
- Absicherung von Lieferketten und externen IT-Dienstleistern
Neu sind auch strengere Meldepflichten. Schwerwiegende Sicherheitsvorfälle müssen binnen kurzer Fristen gemeldet werden, damit Schäden rasch eingegrenzt werden können.
Hohe Strafen bei Verstößen
Erstmals sieht das österreichische Recht in diesem Bereich empfindliche Sanktionen vor. Bei schweren oder wiederholten Verstößen drohen Geldbußen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens. Damit orientiert sich das Gesetz an der Logik der DSGVO und soll die Umsetzung verbindlich machen.
Neues Bundesamt für Cybersicherheit
Institutionell bringt das Gesetz ebenfalls eine Neuerung: Ein eigenes Bundesamt für Cybersicherheit wird als zentrale Anlaufstelle eingerichtet. Es soll Unternehmen beraten, Vorfälle koordinieren und als Schnittstelle zu europäischen Behörden fungieren. Der Ansatz lautet offiziell „Beraten vor Strafen“, zumindest in der Anfangsphase der Umsetzung.
Übergangsfristen und Anpassungen
Betroffene Organisationen erhalten Übergangsfristen, um die neuen Anforderungen umzusetzen. Diese Fristen sind je nach Branche und Risikoprofil unterschiedlich ausgestaltet. Ziel ist es, bestehende Sicherheitsstrukturen schrittweise anzuheben, ohne den laufenden Betrieb abrupt zu gefährden.
Für wen das Cybersicherheitsgesetz gilt
Das neue Cybersicherheitsgesetz betrifft nicht die gesamte Wirtschaft, sondern eine klar abgegrenzte Gruppe von Unternehmen und Organisationen, deren Ausfall erhebliche Folgen hätte.
Betroffen sind Unternehmen, wenn mindestens eines dieser Kriterien zutrifft:
1. Kritische Versorgung
Unternehmen, die für die Grundversorgung unverzichtbar sind, etwa:
- Energieerzeugung und -netze
- Wasser- und Abwasserwirtschaft
- Verkehr, Logistik und Verkehrssteuerung
- Gesundheitsversorgung
- Finanz- und Zahlungsverkehr
2. Versorgung mit Lebensmitteln
Neu erfasst sind auch:
- Lebensmittelproduktion
- Lebensmittelgroßhandel
- Große Handelsketten mit regionaler oder nationaler Bedeutung
3. Digitale Schlüsselrolle
Unternehmen mit zentraler IT-Funktion:
- Rechenzentren
- Cloud- und Hostinganbieter
- IT-Dienstleister für kritische Kunden
- Betreiber zentraler Software- oder Datenplattformen
4. Industrie mit Systemrelevanz
Industriebetriebe, die:
- unverzichtbare Vorprodukte liefern
- Teil kritischer Lieferketten sind
- eine marktbeherrschende Stellung einnehmen
5. Mindestgröße
In der Regel gilt das Gesetz für Unternehmen mit:
- mehr als 50 Mitarbeitern oder
- mehr als 10 Millionen Euro Jahresumsatz
Kleinst- und Kleinbetriebe sind grundsätzlich ausgenommen, außer sie erfüllen eine Schlüsselrolle für Versorgung oder Infrastruktur.
Wer nicht betroffen ist
- kleine Handwerksbetriebe
- lokale Einzelhändler
- klassische KMU ohne systemische Bedeutung
- Unternehmen ohne kritische IT-Abhängigkeit anderer
(APA/red)
