NIS2 Österreich: Das NISG 2024
verständlich erklärt.

Das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) ist die österreichische Umsetzung der NIS2-Richtlinie. Es löst das alte NISG aus 2018 ab und erweitert dessen Anwendungsbereich erheblich. Zuständige Behörde ist das Bundesministerium für Inneres (BMI) in Kooperation mit dem Bundeskanzleramt. Meldestelle für Vorfälle ist das GovCERT Austria.

NIS2 und das NISG 2024 gelten in Österreich für mittlere und große Unternehmen (ab 50 Mitarbeitenden oder EUR 10 Mio. Umsatz) in 18 Sektoren. Wesentliche Einrichtungen: Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff), Transport (Luft, Schiene, Straße, Wasser), Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-B2B, Raumfahrt, öffentliche Verwaltung. Wichtige Einrichtungen: Post, Abfall, Chemie, Lebensmittel, Produktion, digitale Anbieter, Forschung. Größenunabhängig gelten DNS-Provider, TLD-Registries und Vertrauensdienste.

Signifikante Sicherheitsvorfälle sind an das GovCERT Austria zu melden: Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme, detaillierte Vorfallsmeldung innerhalb von 72 Stunden mit erster Einschätzung, Zwischenbericht auf Anforderung, Abschlussbericht binnen 30 Tagen mit Ursache, Auswirkungen und Maßnahmen. Die Meldung erfolgt über das offizielle NIS-Portal des BMI. Bei grenzüberschreitenden Vorfällen wird an die jeweils betroffenen CSIRTs weitergeleitet.

Wesentliche Einrichtungen riskieren in Österreich Verwaltungsstrafen bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen bis zu EUR 7 Mio. oder 1,4 %. Zusätzlich kann die Leitungsebene persönlich belangt werden. Das NISG 2024 sieht darüber hinaus Zwangsmaßnahmen vor: Anordnung von Schutzmaßnahmen durch die Behörde, vorübergehende Suspendierung von Zertifizierungen, in besonders schweren Fällen Untersagung der Ausübung von Leitungsfunktionen.

Das alte NISG (2018) betraf nur Betreiber wesentlicher Dienste und digitale Dienstleister in wenigen Sektoren. Das NISG 2024 erweitert den Anwendungsbereich drastisch: von einigen hundert auf mehrere tausend betroffene österreichische Unternehmen. Neu sind die Registrierungspflicht bei der zuständigen Behörde, strengere technische Mindestmaßnahmen, deutlich höhere Strafen, explizite Management-Verantwortung, Pflicht zur Cybersicherheits-Schulung der Leitungsorgane und die Lieferkettensicherheit als expliziter Control-Bereich.

Schritt 1: Betroffenheitsanalyse – prüfen, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung gilt. Schritt 2: Registrierung über das österreichische NIS-Portal. Schritt 3: Gap-Analyse gegen die zehn Maßnahmen aus Art. 21 NIS2 (ins NISG 2024 übernommen). Schritt 4: Aufbau eines systematischen Risikomanagementprozesses. Schritt 5: Technische Maßnahmen (MFA, Netzwerksegmentierung, Backups, Monitoring, EDR). Schritt 6: Meldeprozess für GovCERT Austria etablieren. Schritt 7: Richtlinien und Managementfreigabe. Schritt 8: Schulung der Leitungsebene. Schritt 9: Kontinuierliche Überwachung. Matproof ist für den DACH-Markt gebaut und unterstützt österreichische Unternehmen mit NISG-2024-konformen Control-Bibliotheken und GovCERT-Meldevorlagen.

Ja. Während Deutschland das NIS2UmsuCG erlassen hat (ändert das BSIG und wird beim BSI zentral vollzogen), hat Österreich ein eigenständiges NISG 2024 als kombiniertes Spezialgesetz. Zuständigkeiten und Meldewege sind unterschiedlich: Deutschland meldet an das BSI, Österreich an das GovCERT Austria via BMI. Die technischen Anforderungen sind in beiden Ländern NIS2-konform und weitgehend deckungsgleich – die Umsetzungsprozesse und Dokumentationsanforderungen unterscheiden sich im Detail. Matproof bietet länderspezifische Konfigurationsprofile für DE und AT.