Wir bringen Klarheit in die Cybersecurity-Welt.

Die NIS 2-Richtlinie (EU 2022/2555) ist seit Januar 2023 auf EU-Ebene in Kraft. Österreich hat die Umsetzung mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) nachgezogen: Das Gesetz wurde am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht FEEI und tritt am 1. Oktober 2026 in Kraft. Betroffen sind rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten gesellschaftlich relevanten Sektoren WKO – deutlich mehr als unter dem Vorgängergesetz NISG 2018.

Die wichtigsten Fristen auf einen Blick

• 1. Oktober 2026 – Inkrafttreten, Risikomanagementmaßnahmen und Meldepflichten werden wirksam
• 31. Dezember 2026 – Registrierungspflicht bei der Cybersicherheitsbehörde (innerhalb von 3 Monaten nach Inkrafttreten)
• 30. September 2027 – Selbstdeklaration zum Stand der umgesetzten Maßnahmen
• Ab 1. Oktober 2028 – frühester Zeitpunkt für behördlich angeforderte Nachweise der Umsetzung

Wer ist betroffen?

Das NISG 2026 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Maßgeblich sind zwei Kriterien gemeinsam:

• Sektor: Tätigkeit in einem der 18 definierten Sektoren – unter anderem Energie, Gesundheit, Verkehr, Bankwesen, digitale Infrastruktur, öffentliche Verwaltung, Trinkwasser, Abfallbewirtschaftung, verarbeitendes Gewerbe, Lebensmittelproduktion, Chemie, Post- und Kurierdienste, Forschung
• Größe: mindestens 50 Mitarbeitende oder Jahresumsatz/Bilanzsumme über 10 Millionen Euro

Auch kleinere Unternehmen können indirekt betroffen sein – über die Lieferkette. Wer an wesentliche oder wichtige Einrichtungen liefert, wird vertraglich zu Risikomanagementmaßnahmen verpflichtet. In der Praxis heißt das: Auch wer nicht direkt unter das Gesetz fällt, wird von seinen Kunden entsprechende Nachweise liefern müssen.

Die Pflichten im Kern

Art. 21 NIS 2 und der entsprechende Abschnitt des NISG 2026 schreiben zehn Risikomanagementbereiche vor, die Unternehmen technisch und organisatorisch abdecken müssen:

• Risikoanalyse und Sicherheitskonzepte für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Business Continuity und Krisenmanagement
• Sicherheit der Lieferkette
• Sicherheit bei Erwerb, Entwicklung und Wartung von IKT-Systemen
• Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
• Cybersecurity-Schulungen und Cyberhygiene
• Kryptografie und Verschlüsselung
• Sicherheit des Personals und Zugriffskontrolle
• Multi-Faktor-Authentifizierung

Hinzu kommen Meldepflichten bei Sicherheitsvorfällen (Frühwarnung innerhalb von 24 Stunden, Vorfallsmeldung innerhalb von 72 Stunden) sowie eine persönliche Verantwortung der Leitungsorgane: Geschäftsführung und Vorstand müssen die Umsetzung genehmigen, überwachen und an verpflichtenden Schulungen teilnehmen.

Die Sanktionen

Wesentliche Einrichtungen riskieren Strafen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Konzernjahresumsatzes Austrian Standards – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt der Rahmen bei bis zu 7 Millionen Euro oder 1,4 Prozent. Die Leitungsorgane können zusätzlich persönlich in die Verantwortung genommen werden.

Unsere Unterstützung bei der Umsetzung

Wir begleiten Sie vom ersten Betroffenheitscheck bis zur auditfesten Umsetzung. Der typische Weg:

Betroffenheitsanalyse – Klärung, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist und welche Teile der Organisation konkret erfasst werden. Bei Konzernstrukturen und Mischbetrieben ist das selten trivial.

Gap-Analyse – Abgleich des Ist-Zustands mit den zehn Risikomanagementbereichen. Wir priorisieren nicht nach theoretischer Vollständigkeit, sondern nach realer Risikolage und Audit-Wahrscheinlichkeit.

Maßnahmen und Dokumentation – Entwicklung und Umsetzung von Sicherheitsrichtlinien, Incident-Response-Prozessen, Lieferanten-Anforderungen und Schulungskonzepten. Integriert mit bestehendem ISMS (ISO 27001), Datenschutzmanagement und, wo relevant, OT-Sicherheitsstrategie.

Registrierung und Selbstdeklaration – Unterstützung bei der formalen Meldung an die Cybersicherheitsbehörde und der fristgerechten Selbstdeklaration.

Laufende Betreuung – Begleitung bei Meldefällen, regelmäßige Reviews, Anpassung an nachkommende Durchführungsverordnungen und Behördenleitlinien.

Für innovative technische NIS 2-Lösungen arbeiten wir zusätzlich mit Widder GmbH als Partner zusammen.

Tipps zur Umsetzung

• Betroffenheit früh klären – je später die Klärung, desto weniger Zeit bleibt für die eigentliche Umsetzung
• Ressourcen realistisch einplanen – NIS 2 ist keine IT-Aufgabe, die sich nebenbei erledigen lässt, sondern betrifft Organisation, Recht, HR, Einkauf und operative Bereiche
• Verantwortlichkeit auf Leitungsebene verankern – das Gesetz verlangt es ausdrücklich, und Haftungsrisiken treffen die Führung persönlich
• Lieferkette mitdenken – Ihre Nachweise sind nur so gut wie die Ihrer kritischen Dienstleister

Ihre Vorteile

• Schutz von Kunden- und Unternehmensdaten
• Höhere Resilienz gegen Cyberangriffe
• Gesteigertes Vertrauen von Kunden, Partnern und Aufsichtsbehörden
• Rechtssichere Einhaltung der EU-Vorgaben
• Reduzierung operativer und reputativer Risiken

Erstgespräch

Aus Gründen der Sorgfaltspflicht und des Vertrauens unserer Kunden legen wir weder Mandantennamen noch unser Cybersicherheitsteam offen. Vor jeder Analyse wird beidseitig eine Vertraulichkeitsvereinbarung unterzeichnet. Im Erstgespräch klären wir Ihre Betroffenheit, den aktuellen Reifegrad Ihrer Sicherheitsorganisation und den sinnvollsten nächsten Schritt.

→Beratungstermin vereinbaren