Die Richtlinie ist fertig ausverhandelt und wurde Ende 2022 im Amtsblatt der EU veröffentlicht und damit in Kraft gesetzt. Als nationale Umsetzungsfrist sind 21 Monate vorgesehen, sodass ab 18. Oktober 2024 eine Novelle des österreichischen NISG und der Begleitverordnungen in Kraft treten werden.
Generell werden alle NIS-1-Betroffenen auch von der NIS-2 betroffen sein, die Nomenklatur ändert sich aber: Aus den Betreibern wesentlicher Dienste (BwD) werden Wesentliche Einrichtungen, die auch in Zukunft ex ante geprüft werden müssen, die sogenannten Anbieter digitaler Dienste werden zu einem Teil der Wichtigen Einrichtungen.
Auf Grund der neu hinzukommenden Branchen und Bereiche und des Wegfalls der Schwellwerte in den NIS-1-Betroffenen Bereichen, wird die Zahl der derzeit 99 BwDs voraussichtlich auf mehr mehr als 3.000 anwachsen. Derzeitige Schätzungen gehen von ca. 900 Wesentlichen Einrichtungen und ca. 2.500 Wichtigen Einrichtungen aus.
Folgende Branchen kommen neu in den Bereich der Wesentlichen Einrichtungen hinzu:
- Energie: Fernwärme und Wasserstoff
- Verkehr: Schifffahrt
- Gesundheitsbereich: Labore, Forschung und Herstellung von pharmazeutischen und medizinischen Produkten und Geräten
- Digitale Infrastruktur: Betreiber von Rechenzentren, Inhaltszustellnetze, Vertrauensdiensteanbieter und öffentliche elektronische Kommunikationsnetze
und als gänzlich neu betroffen kommen die Bereiche Abwasser, Weltraum und die öffentliche Verwaltung (jedenfalls der Bundesdienst und die Länder, optional auch Gemeinden) hinzu.
Neben der Ausweitung der Anzahl der betroffenen Einrichtungen bilden die Haftung und Schulungsverpflichtung des Topmanagements und die stark gestiegenen Höchststrafen für die Einrichtungen einen geeigneten Hebel, um der neuen Richtlinie zu einer schnellen und angemessenen Umsetzung zu verhelfen.