Cybersicherheit im Vergabeverfahren: NIS 2 macht IT Sicherheit zur Pflicht

Der europäische Binnenmarkt ist angesichts der fortschreitenden Digitalisierung vermehrt neuen Risiken ausgesetzt. Nicht zuletzt die wachsende Zahl von immer komplexer werdenden Angriffen auf kritische Systeme im digitalen Raum macht deutlich, dass das Fehlen einheitlicher Sicherheitsstandards in den Mitgliedstaaten eine erhebliche Gefahr für die europäische Integration darstellt.   

Damit wird Cybersicherheit auch im Vergabeverfahren zunehmend zum entscheidenden Faktor. Mit der Umsetzung der NIS 2 Richtlinie in Österreich durch das NISG 2026 wird IT-Sicherheit für viele Unternehmen zur verpflichtenden Voraussetzung bei öffentlichen Ausschreibungen. 

Unternehmen, die sich an Vergabeverfahren beteiligen, müssen künftig nachweisen, dass sie definierte Sicherheitsstandards erfüllen. Was bedeutet das konkret für Bieterinnen und Bieter? 

Was ist die NIS 2 Richtlinie? 

Die NIS 2 Richtlinie (EU 2022/2555) verfolgt das Ziel, ein einheitlich hohes Cybersicherheitsniveau in der Europäischen Union sicherzustellen. Sie reagiert auf die zunehmende Bedrohung durch Cyberangriffe und die bisher uneinheitliche Umsetzung von Sicherheitsstandards in den Mitgliedstaaten. 

In Österreich erfolgt die Umsetzung durch das Netz und Informationssicherheitsgesetz 2026 (NISG 2026), das am 1. Oktober 2026 in Kraft tritt. 

Warum Cybersicherheit im Vergaberecht wichtiger wird 

Mit der neuen Rechtslage verändert sich die Rolle von Cybersicherheit grundlegend. Während IT-Sicherheit bislang oft nur ein Zuschlagskriterium oder Wettbewerbsvorteil war, wird sie nun zur zwingenden Voraussetzung im Vergabeverfahren. 

Das betrifft insbesondere öffentliche Auftraggeber:innen in kritischen Sektoren wie: 

• Öffentliche Verwaltung  
• Gesundheitswesen  
• Energie  
• Verkehr  
• Forschung  

Diese sind verpflichtet, umfassende Risikomanagementmaßnahmen im Bereich Cybersicherheit umzusetzen und Sicherheitsvorfälle zu melden. 

Auswirkungen auf Unternehmen und Bieter:innen 

Das NIS-2-Regime beeinflusst das gesamte Vergabeverfahren. Es ist sowohl bei der Festlegung des Leistungsbildes als auch im Rahmen der Eignungsprüfung von zentraler Bedeutung. Stellte die Gewährleistung von Cybersicherheit bislang höchstens einen Vergabevorteil dar, ist sie nunmehr Kernbestandteil der geschuldeten Leistung und zugleich zwingende Voraussetzung für die technische Leistungsfähigkeit eines/einer Bieter:in. Nicht zuletzt ist NIS-2 auch bei der Vertragsgestaltung zu berücksichtigen.  

Konkrete Beispiele aus der Vergabepraxis 

Typische Anforderungen im Rahmen von Ausschreibungen können sein: 

• Vorlage eines ÖNORM A 7700 Zertifikats als Nachweis der IT Sicherheit  
• Verpflichtung zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden  
• Vertragsstrafen bei Verstößen gegen Sicherheitsvorgaben  
• Regelmäßige Sicherheits- und Compliance Audits durch Auftraggeber:innen  

Diese Maßnahmen zeigen, dass Cybersicherheit nicht mehr optional ist, sondern integraler Bestandteil der Leistungserbringung. 

Weiterführende Informationen zu NIS-2 erhalten Sie hier.