logo_klein
Vertragsverletzungsverfahren gegen Österreich: Nichtumsetzung der NIS-2-RL und der RL über die Resilienz kritischer Infrastruktur
Vertragsverletzungsverfahren gegen Österreich: Nichtumsetzung der NIS-2-RL und der RL über die Resilienz kritischer Infrastruktur
Dr. Klara Geuer
März 21, 2025
3:12 pm

Ende November 2024 leitete die Europäische Kommission Vertragsverletzungsverfahren Nr. 2024/0254 und 2024/0255 gegen Österreich ein. Grund hierfür war die Nichtumsetzung zweier zentraler EU-Richtlinien: der Richtlinie (EU) 2022/2555, bekannt als NIS-2-Richtlinie, und der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen.

Die NIS-2-Richtlinie

Die NIS-2-Richtlinie zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau innerhalb der EU zu gewährleisten. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie und umfasst nun zusätzliche Sektoren wie Energie, Transport, Gesundheitswesen und digitale Infrastruktur. Unternehmen in diesen Bereichen sind verpflichtet, angemessene Sicherheitsmaßnahmen zu implementieren und Sicherheitsvorfälle zu melden.

Richtlinie über die Resilienz kritischer Einrichtungen

Diese Richtlinie verpflichtet die Mitgliedstaaten, Risiken für kritische Einrichtungen zu bewerten und Maßnahmen zu ergreifen, um deren Schutz zu verbessern. Ziel ist es, die Widerstandsfähigkeit dieser Einrichtungen gegenüber physischen Bedrohungen wie Naturkatastrophen oder Terroranschlägen zu stärken.

Vertragsverletzungsverfahren: Bedeutung und Ablauf

Ein Vertragsverletzungsverfahren wird eingeleitet, wenn ein Mitgliedstaat seine Verpflichtungen aus dem EU-Recht nicht erfüllt. Der Prozess beginnt mit einem Aufforderungsschreiben der Kommission, gefolgt von einer mit Gründen versehenen Stellungnahme. Reagiert der Mitgliedstaat nicht oder unzureichend, kann die Kommission den Europäischen Gerichtshof anrufen, der finanzielle Sanktionen verhängen kann.​

Auswirkungen auf österreichische Unternehmen

Unternehmen in den betroffenen Sektoren sollten die Entwicklungen aufmerksam verfolgen. Eine verspätete Umsetzung der Richtlinien kann zu Unsicherheiten führen und den Wettbewerb auf EU-Ebene beeinträchtigen. Außerdem kann es sein, dass Österreich die Richtlinien unter dem Druck des Vertragsverletzungsverfahrens dann doch recht plötzlich umsetzt und innerhalb kurzer Zeit neue aufwändige Compliance-Pflichten gelten. Es ist ratsam, bereits jetzt interne Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls anzupassen, um zukünftigen gesetzlichen Anforderungen gerecht zu werden.​

Empfehlungen für Unternehmen

  1. Compliance-Check: Überprüfen Sie, ob Ihr Unternehmen von den Richtlinien betroffen ist, und evaluieren Sie den aktuellen Stand der Umsetzung.​
  2. Risikomanagement: Führen Sie eine Risikoanalyse durch und entwickeln Sie Strategien zur Minimierung identifizierter Risiken.​
  3. Mitarbeiterschulung: Sensibilisieren Sie Ihre Mitarbeiter für Sicherheitsfragen und schulen Sie sie entsprechend.​
  4. Externe Beratung: Ziehen Sie bei Bedarf externe Experten hinzu, um sicherzustellen, dass alle Anforderungen erfüllt werden.​

Fazit

Die Einhaltung der NIS-2-Richtlinie und der Richtlinie über die Resilienz kritischer Einrichtungen ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein wesentlicher Schritt zur Sicherstellung der Betriebsfähigkeit und des Schutzes vor potenziellen Bedrohungen. Unternehmen sollten proaktiv handeln, um den zukünftigen Anforderungen gerecht zu werden und mögliche Sanktionen zu vermeiden.​

Sie haben weitere Fragen zum Thema Cybersicherheit und Recht?

Sie haben weitere Fragen hierzu oder wollen sich zu ähnlichen Rechtsthemen von einem Rechtsanwalt beraten lassen? Schauen Sie gerne bei unseren Services vorbei oder melden Sie sich per E-Mail unter office@geuer.at bzw telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Category : Wirtschaftsrecht
Tags : Cybersicherheitsrecht deutsches Cybersicherheitsrecht EU-Cybersicherheitsrecht österreichisches Cybersicherheitsrecht Rechtsanwalt Cybersecurity
Scroll to Top