NIS2: alles, was Sie über das Cybersicherheitsgesetz und den Softwareeinkauf wissen müssen
NIS2 ist das umfangreichste europäische Cybersicherheitsgesetz seit Jahren. Für Organisationen in kritischen Sektoren ändert sich viel, auch im Bereich Softwareeinkauf und Lieferantenmanagement. Das ist alles, was Sie wissen müssen.
- 15. Jänner 2025
- 5 Min.
- NIS2 – Cyber-Sicherheitsrichtlinie
Die NIS2-Richtlinie ist das umfangreichste europäische Cybersicherheitsgesetz seit Jahren. Sie hat einen breiten Anwendungsbereich, wird streng durchgesetzt und ist direkt relevant für alle, die in einer Organisation für den Softwareeinkauf verantwortlich sind. Das müssen Sie wissen.
Was ist NIS2?
NIS2 steht für Network and Information Security Directive 2, den Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Die Richtlinie verpflichtet Organisationen in kritischen Sektoren, ihre digitale Resilienz nachhaltig zu stärken. NIS2 tritt europaweit am 17. Oktober 2024 in Kraft. Die österreichische Umsetzung über das Cybersicherheitsgesetz wird für das 2. Quartal 2026 erwartet.
Für wen gilt NIS2?
NIS2 gilt für Organisationen in 18 kritischen Sektoren, unterteilt in essentielle und wichtige Einrichtungen. Dazu gehören etwa: Energie, Verkehr, Gesundheitswesen, Wasser, digitale Infrastruktur, Finanzdienstleistungen, öffentliche Verwaltung und mehr. Aber auch Lieferanten von Organisationen in diesen Sektoren können indirekt über die Lieferkettensorgfaltspflicht unter das Gesetz fallen.
Was ändert sich im Vergleich zu NIS1?
Die wichtigsten Änderungen:
Grössere Reichweite: Viel mehr Sektoren und Organisationen fallen nun unter die Richtlinie
Persönliche Haftung: Führungskräfte sind verantwortlich für die Einhaltung und können persönlich haftbar gemacht werden
Höhere Strafen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für essentielle Einrichtungen
Lieferkettensorgfaltspflicht: Organisationen müssen auch die Sicherheit ihrer Lieferanten überprüfen
Meldepflicht: Sicherheitsvorfälle müssen innerhalb von 24 Stunden beim CSIRT gemeldet werden
Was bedeutet NIS2 für den Softwareeinkauf?
Die Lieferkettensorgfaltspflicht hat den direktesten Einfluss auf den Softwareeinkauf. Organisationen sind verpflichtet:
Eine aktuelle Übersicht aller IT-Lieferanten und Software zu führen
Vertragliche Sicherheitsvereinbarungen mit allen relevanten Lieferanten zu treffen
Die Sicherheit der Lieferanten regelmässig zu bewerten
Vereinbarungen zu Eskalationsprozessen bei Vorfällen mit kritischen Softwarelieferanten zu treffen
Ohne eine strukturierte Softwareübersicht ist NIS2-Compliance nicht möglich. SoftVaro unterstützt Organisationen dabei, diese Übersicht als Ausgangspunkt für Compliance zu schaffen.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Was hat NIS2 mit Softwareeinkauf zu tun?
NIS2 verpflichtet Organisationen, eine aktuelle Übersicht über alle Software- und IT-Lieferanten zu führen, inklusive vertraglicher Sicherheitsvereinbarungen. Ohne diese Übersicht sind Sie nicht compliant.
Wann tritt NIS2 in Österreich in Kraft?
Das Cybersicherheitsgesetz (österreichische Umsetzung von NIS2) wird im 2. Quartal 2026 erwartet. Organisationen müssen ab dem Inkrafttreten der Gesetzgebung compliant sein.
Was sind die Strafen bei Nichteinhaltung von NIS2?
Essentielle Einrichtungen riskieren Strafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Führungskräfte können persönlich haftbar gemacht werden.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich die besten Angebote bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.