Anwendungsbereich NIS-2

Die NIS-2-Richtlinie (kurz „NIS-2-RL“) ist seit dem 16. Januar 2024 in Kraft und muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Österreich betrifft sie schätzungsweise 3.000 bis 5.000 Unternehmen unmittelbar, die als wesentliche und wichtige Einrichtungen eingestuft werden. Darüber hinaus können auch Lieferanten dieser Einrichtungen mittelbar von der NIS-2-RL betroffen sein.

Der Gesetzesbeschluss für die innerstaatliche Umsetzung der NIS-2-RL durch das Netz- und Informationssystemsicherheitsgesetz 2024 kam im Juli 2024 mangels erforderlicher Mehrheit im Nationalrat nicht zu Stande. Dies hat die Erwartungen an einen überarbeiteten Entwurf und eine zeitnahe Umsetzung wiederum erhöht.

Viele Unternehmen stehen nun vor der Herausforderung zu beurteilen, ob sie unter den Anwendungsbereich der NIS-2-RL fallen. Ausschlaggebend für die Beurteilung ist, ob ein Unternehmen in einem oder mehreren kritischen Sektoren tätig ist und welche Unternehmensgröße es hat, wobei es auch hiervon wiederum Ausnahmen gibt. Um bei der Beurteilung dieser Frage zu unterstützen, haben wir die nachstehende Mindmap entwickelt. Diese bietet einen ersten Überblick über das komplexe Regelwerk der NIS-2-RL und stell die wesentlichen Kriterien für die Anwendung der NIS-2-RL in Form eines Verlaufsdiagramms dar.