NIS2 in Österreich und die Rolle von Pre-Empoyment Checks und Re-Screening im Human Risk Management 

Die EU-Richtlinie NIS2 verschärft die Anforderungen an die Cybersicherheit in Österreich erheblich. Dazu gehört auch ein wirksames Human Risk Management, in dem Background Checks eine Schlüsselrolle spielen. 

NIS2 ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (EU 2022/2555) und löst die erste NIS-Richtlinie von 2016 ab. Während sich NIS1 nur auf wenige Betreiber kritischer Dienste abzielte, erweiterte NIS2 den Geltungsbereich erheblich und harmonisiert die Cybersicherheitsstandards in der EU. 

Die Gründe für NIS2 liegen in den Erfahrungen der vergangenen Jahre: Unterschiedliche nationale Umsetzungen, zunehmende Cyberangriffe, hybride Bedrohungen und geopolitische Spannungen haben gezeigt, dass Cybersicherheit strenger und einheitlicher geregelt werden muss. 


NIS2 betrifft zwei Gruppen von Unternehmen: 

  1. Essential Entities (wesentliche Einrichtungen): Betreiber kritischer Infrastrukturen, beispielsweise aus den Bereichen Energie, Wasser, Verkehr, Gesundheit, Banken oder digitale Infrastruktur. 
  2. Important Entities (wichtige Einrichtungen): Zulieferer und Dienstleister, die für kritische Prozesse unverzichtbar sind, beispielsweise IT-Dienstleister, Post- und Kurierdienste, Lebensmittelproduktion oder chemischen Industrie. 


In der Regel gilt eine Unternehmensgrösse von mehr als 50 Mitarbeitenden oder einem Jahresumsatz von 10 Millionen Euro als Kriterium. Damit fallen Zehntausende Unternehmen in der EU unter die neuen Vorgaben, welche seit Oktober 2024 gelten. Verstösse können mit Bussgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. 


NIS2 betont ausdrücklich, dass Cybersicherheit nicht nur eine technische, sondern auch eine organisatorische und menschliche Dimension hat. Unternehmen müssen sicherstellen, dass nur vertrauenswürdige Personen Zugang zu kritischen IT-Systemen und sensiblen Daten haben. Dies erfordert: 

  1. Background Checks bereits im Anstellungsprozess (z. B. Identitätsprüfung, Sanktionslistenabgleich, Überprüfung relevanter Vorstrafen in kritischen Bereichen). 
  2. Regelmässige Nachprüfungen (Re-Screenings) während des Arbeitsverhältnisses, insbesondere bei Mitarbeitenden in sicherheitskritischen Rollen. 
  3. Eine klare Verantwortung des Managements, das für die Umsetzung organisatorischer Massnahmen – inklusive Screening – haftbar gemacht werden kann. 


Fazit: Damit wird Background Screening zu einem integralen Bestandteil des Human Risk Managements im Rahmen von NIS2. Es ergänzt technische Sicherheitsmassnahmen und reduziert Insider-Risiken – ein entscheidender Faktor für die Resilienz moderner Organisationen. 


👇👇👇Jetzt einen Experten anfragen oder eine Demo vereinbaren👇👇👇