NIS2: alles, was du über das Cybersicherheitsgesetz und den Softwareeinkauf wissen musst
NIS2 ist das umfassendste europäische Cybersicherheitsgesetz seit Jahren. Für Organisationen in kritischen Sektoren ändert sich viel, auch im Bereich Softwareeinkauf und Lieferantenmanagement. Das ist alles, was du wissen musst.
- 15. Jänner 2025
- 5 Min.
- NIS2 – Cyber-Sicherheitsrichtlinie
Die NIS2-Richtlinie ist das größte europäische Cybersicherheitsgesetz seit Jahren. Sie hat einen breiten Anwendungsbereich, strenge Durchsetzung und ist für jede Person relevant, die in einer Organisation für den Softwareeinkauf verantwortlich ist. Das solltest du wissen.
Was ist NIS2?
NIS2 steht für Network and Information Security Directive 2, den Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Die Richtlinie verpflichtet Organisationen in kritischen Sektoren, ihre digitale Widerstandsfähigkeit nachhaltig zu stärken. NIS2 wird in Europa ab dem 17. Oktober 2024 wirksam. Die österreichische Umsetzung erfolgt voraussichtlich im zweiten Quartal 2026 über das Cybersicherheitsgesetz.
Für wen gilt NIS2?
NIS2 gilt für Organisationen in 18 kritischen Sektoren, unterteilt in essentielle und wichtige Stellen. Dazu zählen: Energie, Verkehr, Gesundheitswesen, Wasser, Digitale Infrastruktur, Finanzdienstleistungen, öffentliche Verwaltung und mehr. Aber auch Lieferanten von Organisationen in diesen Sektoren können indirekt über die Zulieferungspflicht unter das Gesetz fallen.
Was ändert sich im Vergleich zu NIS1?
Die wichtigsten Änderungen:
Breiterer Geltungsbereich: Viel mehr Sektoren und Organisationen fallen jetzt unter die Richtlinie
Persönliche Haftung: Führungskräfte sind für die Einhaltung verantwortlich und können persönlich haftbar gemacht werden
Höhere Strafen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für essentielle Stellen
Zulieferungspflicht: Organisationen müssen auch die Sicherheit ihrer Lieferanten überprüfen
Meldepflicht: Vorfälle müssen innerhalb von 24 Stunden dem CSIRT gemeldet werden
Was bedeutet NIS2 für den Softwareeinkauf?
Die Zulieferungspflicht ist der direkteste Einfluss auf den Softwareeinkauf. Organisationen sind verpflichtet,:
Eine aktuelle Übersicht über alle ICT-Lieferanten und Software zu führen
Vertragliche Sicherheitsvereinbarungen mit allen relevanten Lieferanten zu treffen
Die Sicherheit der Lieferanten regelmäßig zu überprüfen
Vereinbarungen über Eskalationsverfahren bei Vorfällen mit kritischen Softwarelieferanten zu treffen
Ohne eine strukturierte Softwareübersicht ist die NIS2-Compliance nicht möglich. SoftVaro unterstützt Organisationen dabei, diese Übersicht als Ausgangspunkt für die Compliance zu erstellen.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Was hat NIS2 mit Softwareeinkauf zu tun?
NIS2 verpflichtet Organisationen, eine aktuelle Übersicht aller Software und ICT-Lieferanten inklusive vertraglicher Sicherheitsvereinbarungen zu führen. Ohne diese Übersicht bist du nicht compliant.
Wann tritt NIS2 in Österreich in Kraft?
Das Cybersicherheitsgesetz (österreichische Umsetzung von NIS2) wird für das zweite Quartal 2026 erwartet. Organisationen müssen ab Inkrafttreten der Gesetzesvorschriften sofort compliant sein.
Welche Strafen drohen bei Nichteinhaltung von NIS2?
Essentielle Stellen riskieren Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Wichtige Stellen bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Führungskräfte können persönlich haftbar gemacht werden.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.