Seit Juli 2016 ist die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-RL) in Kraft und diese wäre eigentlich per 10. Mai 2018 von den Mitgliedsstaaten in nationales Recht umzusetzen (in Österreich ist dies noch nicht erfolgt, siehe unten). Diese NIS-RL gibt die Rahmenbedingungen für organisatorische und technische Informationssicherheitsmaßnahmen für Betreiber jener Dienste (Betreiber wesentlicher Dienste – BwD) vor, die von hoher Bedeutung für die Versorgung der Bevölkerung, die Wirtschaft, die öffentliche Sicherheit, die Landesverteidigung und für öffentliche Einrichtungen sind – also für jene Dienstleistungen, bei denen Cyber-Sicherheit darauf abzielt, möglichst Versorgungsengpässe oder Gefährdungen zu vermeiden. Bei den Alpbacher Technologiegesprächen leitete FH-Prof. DI Robert Kolmhofer, Departmentleiter Sichere Informationssysteme an der FH Oberösterreich, eine  hochkarätig besetzte Breakout Session zum Thema. Sie zeigte: Österreich läuft Gefahr, den Anschluss zu verlieren. Noch hat Österreich die NIS-RL nicht in nationales Recht überführt, der Entwurf für das „Netz- und Informationssystemsicherheitgesetz – NISG“ ist erst seit 19.9.2018 in parlamentarischer Begutachtung, deren Frist am 31.10.2018 endet. Auch die Liste der entsprechenden Betreiber wesentlicher Dienste sollte bis 9. November in Brüssel einlangen – und bis heute gibt es kaum eine echte Auseinandersetzung mit dem Thema, vor allem nicht auf einer öffentlichen politischen Ebene. „Sehr pointiert könnte man sagen, da befinden wir uns in schlechter Gesellschaft mit 17 weiteren EU-Staaten“, meint Kolmhofer sarkastisch, „aber das kann nicht der Zugang sein. Hier geht es um relevante Entscheidungen, die Land und Menschen betreffen.“ Während beispielsweise die Energieversorger früh auf die Expertise von Kolmhofer und seinem Team setzten, scheint das politische Österreich andere Prioritäten zu haben. In Deutschland seien die Prozesse viel weiter gediehen: Dort ist das IT-Sicherheitsgesetz, die nationale Umsetzung der EU NIS-RL, schon seit 2015 in Kraft. Die zuständige Behörde (BSI) ist mit entsprechende Ressourcen ausgestattet, die ersten BwD (Sektoren Energie, Informationstechnik und Telekommunikation, Wasser, Ernährung)  müssen seit in Kraft treten des ersten Teil der BSI-Kritisverordnung im Mai 2016 mit der Umsetzung von Securitymaßnahmen begonnen haben.