NIS & NIS 2 – Cybersicherheit mit System und Verantwortung
Die NIS-Richtlinie (EU 2016/1148) war die erste EU-weite Regelung zur Verbesserung der Cybersicherheit kritischer Infrastrukturen. Mit der NIS 2-Richtlinie (EU 2022/2555) hat die Europäische Union diesen Ansatz deutlich erweitert: mehr Branchen, strengere Anforderungen und klare Managementverantwortung.
Zeitplan für die Einführung des NISG 2026
Rund drei Jahre nach der Verabschiedung der NIS2-Richtlinie durch das Europäische Parlament wurde diese am 12. Dezember 2025 auch im österreichischen Nationalrat beschlossen. Damit ist die NIS2 nun endgültig in Österreich angekommen und wird als NISG 2026 in nationales Recht überführt – nur eine Woche, nachdem auch Deutschland diesen Schritt gesetzt hat.
Zunächst einmal: Die NIS2 ist kein Anlass zur Panik. Vielmehr sollte sie als Chance verstanden werden, das eigene Unternehmen gezielt gegen sehr reale Cyberrisiken abzusichern. Ein Blick auf die zeitliche Entwicklung zeigt zudem, dass der Weg zur vollständigen Erfüllung der gesetzlichen Anforderungen mehrstufig aufgebaut ist und ausreichend Zeit für eine strukturierte und planvolle Umsetzung lässt.
Ab 12. Dezember 2025 gilt das NISG 2026 als beschlossen. Ab diesem Zeitpunkt beginnt die Vorbereitungsphase, in der betroffene Unternehmen organisatorische, technische und operative Grundlagen schaffen müssen, um ihre Pflichten gegenüber der Cybersicherheitsbehörde erfüllen zu können.
Mit 01. Oktober 2026 tritt das NISG 2026 in Kraft und ersetzt die bisherige NIS1. Ab diesem Zeitpunkt sind Risikomanagement-Maßnahmen verpflichtend umzusetzen. Gleichzeitig startet die dreimonatige Registrierungsfrist für wesentliche und wichtige Einrichtungen, die spätestens bis 31. Dezember 2026 abgeschlossen sein muss.
Bis 31. Dezember 2027 müssen Unternehmen eine Selbstdeklaration einreichen, in der die umgesetzten Risikomanagement-Maßnahmen sowie die Ergebnisse der Risikoanalysen beschrieben werden. Diese Meldung erfolgt proaktiv an die Cybersicherheitsbehörde.
Ab 01. Oktober 2028 kann die Cybersicherheitsbehörde Unternehmen zur Vorlage von Umsetzungsnachweisen auffordern. Grundsätzlich steht dafür ein Zeitraum von bis zu zwei Jahren zur Verfügung. Für wesentliche Einrichtungen gelten jedoch deutlich verkürzte Fristen: Die operative und organisatorische Umsetzung muss bereits innerhalb von zwei Monaten nach Aufforderung nachgewiesen werden, was den 30. November 2028 als frühestmöglichen Nachweistermin ergibt. Während wesentliche Einrichtungen realistisch mit einer Aufforderung rechnen müssen, betrifft dies wichtige Einrichtungen meist nur anlassbezogen oder nach behördlicher Risikobewertung.
Spätestens bis 30. September 2030 ist die Wirksamkeit aller technischen, operativen und organisatorischen Maßnahmen durch einen unterzeichneten Prüfbericht gegenüber der Cybersicherheitsbehörde nachzuweisen.
Fazit: Die NIS2 erfordert kein hektisches Handeln, wohl aber eine frühzeitige, strukturierte und dokumentierte Umsetzung. Unternehmen, die rechtzeitig beginnen, vermeiden Zeitdruck, reduzieren Risiken und erhöhen nachhaltig ihre Cyberresilienz.
Wer von NIS 2 betroffen ist
Die EU-Richtlinie NIS 2 (Directive (EU) 2022/2555) verpflichtet Unternehmen und Organisationen in zahlreichen Sektoren, Maßnahmen zum Schutz ihrer Netz- und Informationssysteme zu treffen.
Die Richtlinie unterscheidet zwischen:
- Wesentlichen Einrichtungen – mit besonders kritischer Bedeutung
- Wichtigen Einrichtungen – mit erheblicher wirtschaftlicher oder gesellschaftlicher Relevanz
Die Betroffenheit nach NIS 2 hängt von Unternehmensgröße, Umsatz und dem Tätigkeitssektor ab. Grundsätzlich gilt NIS2 in den betroffenen Sektoren für große und mittlere Unternehmen.
- Große Unternehmen mit mindestens 250 Mitarbeitenden oder über 50 Mio. € Jahresumsatz gelten als wesentliche Einrichtungen.
- Mittlere Unternehmen mit ab 50 Mitarbeitenden und über 10 Mio. € Umsatz zählen zu den wichtigen Einrichtungen.
- Kleine Unternehmen, sind nur im Ausnahmefall betroffen (außer Betreiber digitaler Dienste).
Wesentliche Einrichtungen (Essential Entities)
Beispiele für betroffene Organisationen in den jeweiligen Sektoren (Sektoren laut NIS 2 Anhang I)
Stromerzeuger, Übertragungs- und Verteilnetzbetreiber, Öl- und Gasversorger, Raffinerien, Tanklager, Fernwärmebetreiber
Flughäfen, Fluggesellschaften, Häfen, Reedereien, Bahnbetreiber, Logistiknetzwerke, Verkehrsmanagementsysteme
Banken, Kreditinstitute, Zahlungsdienstleister
Börsen, zentrale Gegenparteien, Abwicklungsstellen
Krankenhäuser, Universitätskliniken, Laboratorien, pharmazeutische Hersteller, E-Health-Plattformen
Wasserwerke, Wasserversorger, Abwasseraufbereitung
Internetknoten, DNS- und Domainregistrare, Cloudanbieter, Rechenzentren, Telekommunikationsnetzbetreiber
Ministerien, zentrale Behörden, öffentliche Stellen mit landesweiter Zuständigkeit
Betreiber von Satellitenkommunikation und Weltrauminfrastruktur (z. B. Navigation, Erdbeobachtung)
Aufsicht:
Diese Einrichtungen unterliegen einer proaktiven Aufsicht – d. h. sie werden regelmäßig geprüft und müssen Nachweise zur Umsetzung von Sicherheitsmaßnahmen vorlegen.
Wichtige Einrichtungen (Important Entities)
Beispiele für betroffene Organisationen in den jeweiligen Sektoren (Sektoren laut NIS 2 Anhang II)
Diese Unternehmen sind ebenfalls verpflichtet, die NIS-2-Anforderungen umzusetzen, werden aber reaktiv überwacht (Kontrolle nach einem Vorfall oder Hinweis). Sie gelten als wichtige Einrichtungen, wenn sie mindestens 50 Mitarbeitende haben und einen Jahresumsatz von mindestens 10 Mio. € erzielen.
Nationale und private Postdienste, Express- und Paketlogistiker
Entsorgungsunternehmen, Recyclingbetriebe, Abfallbehandlungsanlagen
Chemieproduzenten, Hersteller von Gefahrstoffen, Düngemittel, Reinigungsmittel
Lebensmittelhersteller, Lebensmittelgroßhandel
Hersteller von Medizinprodukten; Datenverarbeitungs-, elektronischen und optischen Geräten sowie elektronischen Ausrüstungen; Maschinenbauunternehmen; Kraftwagen und Kraftwagenteilen sowie sonstigem Fahrzeugbau
Online-Marktplätze, Suchmaschinen, soziale Netzwerke
Fakultative Forschung
Aufsicht:
Wichtige Einrichtungen werden reaktiv kontrolliert – sie müssen dieselben Sicherheitsmaßnahmen umsetzen, werden aber nur bei Vorfällen oder Beschwerden überprüft.
Unsere Leistungen im Überblick
NIS / NIS 2 Readiness Check – Status, Pflichten & Risiken
Bevor Maßnahmen umgesetzt werden, prüfen wir, ob und wie NIS 2 Ihr Unternehmen betrifft – und welche nationalen Anforderungen gelten.
Leistungsumfang:
- Einstufung als „wesentliche“ oder „wichtige“ oder nicht betroffene Einrichtung
- Bewertung Ihrer bestehenden Sicherheitsmaßnahmen
- Bericht mit Handlungsempfehlungen und Prioritäten
Ihr Nutzen:
Klarheit über Betroffenheit, Pflichten und Handlungsbedarf – mit rechtssicherer Grundlage für Managemententscheidungen.
NIS 2 Gap-Analyse – Lücken gezielt schließen
Wir bewerten systematisch, wo Ihr Unternehmen die NIS 2-Anforderungen bereits erfüllt – und wo Nachholbedarf besteht.
Leistungsumfang:
- Soll-Ist-Vergleich anhand aktueller Richtlinienanforderungen
- Bewertung organisatorischer, technischer und prozessualer Maßnahmen
- Erstellung eines priorisierten Maßnahmenplans
- Empfehlung zur Integration in bestehende Systeme
Ihr Nutzen:
Transparenz über bestehende Gaps – und eine klare Roadmap zur Compliance.
NIS 2 Implementierung – Vom Anforderungskatalog zur gelebten Praxis
Wir begleiten Sie bei der Einführung eines rechtskonformen Cybersecurity-Managementsystems nach NIS 2 – strukturiert, nachvollziehbar und prüfbereit.
Leistungsumfang:
- Aufbau der Governance-Struktur und Verantwortlichkeiten
- Erstellung von Richtlinien, Prozessen und Risikomanagement
- Definition von Meldewegen und Incident-Handling
- Etablierung von Kontrollen, KPIs und internen Reviews
- Begleitung bei Kommunikation mit Behörden und Prüforganisationen
Ihr Nutzen:
Ein wirksames, nachhaltiges System, das Rechtssicherheit schafft und Cyberresilienz erhöht.
NIS 2 Risikomanagement – Risiken strukturiert steuern
Ein funktionierendes Risikomanagement ist Kernbestandteil der NIS 2-Anforderungen. Wir helfen beim Aufbau einer auditfähigen Methode zur Risikoidentifikation, Bewertung und Behandlung.
Leistungsumfang:
- Identifikation kritischer Systeme und Prozesse
- Bewertung nach Eintrittswahrscheinlichkeit und Auswirkung
- Definition und Nachverfolgung von Maßnahmen
- Integration in ISMS oder BCM
- Berichterstattung an Management und Aufsicht
Ihr Nutzen:
Transparente, nachvollziehbare Risikoentscheidungen – dokumentiert und prüfbar.
Meldewesen & Incident Response – Schnell und rechtssicher handeln
NIS 2 fordert eine strukturierte Vorfallmeldung: erste Meldung binnen 24 Stunden, Detailmeldung innerhalb von 72 Stunden. Wir helfen, diese Prozesse zu etablieren.
Leistungsumfang:
- Aufbau und Schulung des Incident-Response-Prozesses
- Erstellung von Notfall- und Kommunikationsplänen
- Testübungen und Vorfall-Simulationen
- Vorlage und Dokumentation für Behördenmeldungen
Ihr Nutzen:
Sie erfüllen Meldepflichten fristgerecht, handeln professionell im Ernstfall und reduzieren rechtliche Risiken.
Governance & Haftung – Managementpflichten verstehen und nachweisen
Die Geschäftsleitung ist direkt verantwortlich für Cybersecurity. Wir unterstützen beim Aufbau nachweisbarer Governance-Strukturen.
Leistungsumfang:
- Management-Workshops zu Haftung und Verantwortung
- Schulung der Geschäftsführung gemäß NIS 2-Anforderungen
- Erstellung von Nachweisen und Managementreports
- Integration in Unternehmens-Compliance und Auditplanung
Ihr Nutzen:
Haftungssicherheit durch klare Verantwortlichkeiten und dokumentierte Managementverantwortung.
Integration NIS 2 in bestehende Managementsysteme – Effizienz durch Einheit
Viele Unternehmen haben bereits ISO 27001, ISO 9001 oder ISO 45001 im Einsatz. Wir integrieren NIS 2-Anforderungen in Ihre vorhandenen Strukturen – effizient und ohne Mehraufwand.
Leistungsumfang:
- Analyse und Abgleich vorhandener Prozesse
- Harmonisierung von Rollen, Kennzahlen und Audits
- Anpassung der Dokumentation
- Schulung für Verantwortliche
Ihr Nutzen:
Einheitliche Systeme statt Doppelstrukturen – weniger Aufwand, mehr Effizienz.
Awareness & Training – Cybersecurity verstehen und leben
Cybersicherheit lebt vom Verhalten der Menschen. Wir entwickeln Awareness-Programme, die NIS 2-Anforderungen verständlich machen.
Leistungsumfang:
- Schulungen für Mitarbeitende, IT, Management
- E-Learning-Module
- Nachweisführung für Audits
- Awareness-Kampagnen zur Sicherheitskultur
Ihr Nutzen:
Sensibilisierte Teams, geringeres Risiko, nachhaltige Sicherheitskultur.
NIS 2-as-a-Service – Laufende Betreuung und Compliance-Sicherheit
Mit unserem NIS 2-as-a-Service übernehmen wir die Pflege, Kontrolle und Weiterentwicklung Ihres Systems.
Leistungsumfang:
- Laufende Dokumentenpflege
- Risiko- und Managementbewertungen
- Vorbereitung auf Behördenprüfungen
- Regelmäßige Compliance-Updates
Ihr Nutzen:
Dauerhafte Rechtssicherheit ohne internen Aufwand – Compliance im Betrieb, statt auf Papier.
Ihr Mehrwert durch unsere NIS / NIS 2-Beratung
Wir schaffen Klarheit, Struktur und Nachweisbarkeit in einem komplexen gesetzlichen Umfeld. Unsere NIS 2-Beratung verbindet juristische Sicherheit mit praxistauglicher Umsetzung – effizient, nachvollziehbar, auditfähig.