Die NIS2-Richtlinie der EU verschärft die Anforderungen an die Cybersicherheit von Unternehmen in Europa deutlich. In Österreich wird die nationale Umsetzung mit dem NISG 2026 konkret. Für viele Organisationen ist jetzt der richtige Zeitpunkt, die eigene Betroffenheit zu prüfen und einen realistischen Umsetzungsplan zu entwickeln.
Denn NIS2 betrifft längst nicht mehr nur klassische kritische Infrastrukturen. Auch viele Unternehmen aus IT, digitaler Infrastruktur, Industrie, Produktion, Forschung, Chemie, Lebensmittel, Logistik oder Gesundheitswesen können unter die neuen Anforderungen fallen.
Wer ist von NIS2 in Österreich betroffen?
Ob ein Unternehmen unter NIS2 fällt, hängt vor allem von Branche, Unternehmensgröße und angebotenen Diensten ab. Betroffen sein können sogenannte wesentliche und wichtige Einrichtungen.
Zu den besonders relevanten Bereichen zählen unter anderem:
▶ Energie
▶ Verkehr
▶ Bankwesen und Finanzmarkt
▶ Gesundheit
▶ Trinkwasser und Abwasser
▶ digitale Infrastruktur
▶ Verwaltung von IKT-Diensten
▶ Produktion und Industrie
▶ Chemie und Lebensmittel
▶ digitale Dienste und Forschung
Grundsätzlich fallen mittlere und große Unternehmen unter NIS2. In bestimmten Bereichen gilt die Regelung aber auch unabhängig von der Unternehmensgröße, etwa für Vertrauensdiensteanbieter, DNS-Diensteanbieter oder Anbieter öffentlicher elektronischer Kommunikationsdienste.
NIS2 und Lieferkette: Warum auch indirekt betroffene Unternehmen handeln müssen
Ein zentraler Punkt von NIS2 ist die Sicherheit der Lieferkette. Der ISPA-Leitfaden stellt klar: Nachgelagerte Unternehmen in der Lieferkette sind gemäß NIS2 indirekt betroffen.
Das bedeutet in der Praxis: Auch wenn Ihr Unternehmen nicht unmittelbar unter NIS2 fällt, können Kunden und Partner künftig Sicherheitsnachweise, dokumentierte Prozesse oder vertragliche Zusicherungen verlangen. Wer darauf nicht vorbereitet ist, riskiert Nachteile in Ausschreibungen, bei Audits oder in laufenden Geschäftsbeziehungen.
NISG 2026: Welche Fristen Unternehmen in Österreich kennen sollten
Für die Umsetzung in Österreich nennt der ISPA-Leitfaden folgende zentrale Termine:
▶ 23.12.2025: Kundmachung des NISG 2026
▶ 01.10.2026: Inkrafttreten des Gesetzes
▶ 01.01.2027: Registrierung betroffener Einrichtungen
▶ 01.10.2027: Selbstdeklaration der umgesetzten Maßnahmen
Für Unternehmen heißt das: Wer erst kurz vor diesen Fristen mit der Prüfung und Umsetzung beginnt, verliert wertvolle Zeit.
Einen kompakten Überblick bietet der ISPA-Leitfaden zum NISG 2026 (PDF).
Welche NIS2-Pflichten Unternehmen umsetzen müssen
NIS2 verlangt einen risikobasierten Ansatz. Unternehmen müssen ihre Netz- und Informationssysteme sowie deren physische Komponenten angemessen absichern und ihre Maßnahmen laufend an die tatsächliche Risikolage anpassen.
Dazu gehören insbesondere:
▶ klare Verantwortlichkeiten und Governance-Strukturen
▶ Asset- und Risikomanagement
▶ technische und organisatorische Sicherheitsmaßnahmen
▶ Schwachstellenmanagement
▶ Kontinuitäts- und Notfallmanagement
▶ Meldeprozesse und Berichtspflichten
▶ regelmäßige Schulungen für Mitarbeitende und Leitung
Zu den typischen Maßnahmen zählen Backup- und Wiederherstellungsmanagement, Krisenmanagement, Lieferkettensicherheit, Verschlüsselung, Zugriffsmanagement, Multi-Faktor-Authentifizierung und sichere Kommunikationssysteme.
Meldepflichten nach NIS2: Im Ernstfall zählt jede Stunde
Erhebliche Cybersicherheitsvorfälle müssen rasch gemeldet werden. Laut ISPA-Leitfaden gelten dafür folgende Fristen:
▶ innerhalb von 24 Stunden: Frühwarnung
▶ innerhalb von 72 Stunden: Meldung
▶ spätestens einen Monat nach der Frühwarnung: Abschlussbericht
Wenn zusätzlich personenbezogene Daten betroffen sind, greifen auch weitere Pflichten – etwa nach DSGVO oder TKG 2021. Informationen dazu bietet die Datenschutzbehörde Österreich.
NIS2 ist Chefsache
Die Verantwortung für die Umsetzung liegt nicht allein bei der IT. Vorstand und Geschäftsführung tragen die oberste Verantwortung für Informationssicherheit, Risikobewertungen, Sicherheitsrichtlinien und Notfallpläne. Auch Leitungsorgane müssen an spezifischen Cybersicherheitsschulungen teilnehmen.
Oder anders gesagt: NIS2 ist kein reines IT-Projekt, sondern ein Management-Thema.
Welche Risiken drohen bei Nichteinhaltung?
Wer NIS2 ignoriert, riskiert nicht nur organisatorische und operative Probleme, sondern auch erhebliche Sanktionen. Der Bußgeldrahmen liegt bei:
▶ bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen
▶ bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes für wichtige Einrichtungen
Dazu kommen Reputationsrisiken, erhöhter Prüfungsdruck und Anforderungen entlang der Lieferkette.
NIS2-Beratung mit HXS: So unterstützen wir Sie
Genau hier kommen wir ins Spiel. Wir helfen Unternehmen dabei, NIS2 nicht nur zu verstehen, sondern strukturiert und praxisnah umzusetzen.
Gemeinsam mit Ihnen klären wir:
▶ ob und in welchem Umfang Ihr Unternehmen betroffen ist
▶ wo organisatorische oder technische Lücken bestehen
▶ welche Maßnahmen Priorität haben
▶ wie Sie Anforderungen dokumentierbar und realistisch umsetzen
▶ wie Sie mit Kunden- und Partneranforderungen entlang der Lieferkette umgehen
Unser Ziel ist nicht, zusätzliche Komplexität zu erzeugen – sondern Klarheit, Struktur und einen umsetzbaren Fahrplan.
Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die konkrete Umsetzung hängt immer von der individuellen Unternehmenssituation ab.
Warum eine Investition in Managed Services unmittelbar zu mehr Profit, zufriedeneren Mitarbeitern und einer modernen IT Umgebung führt....
Mehr erfahren
Optimale IT-Lösungen sind unser Business – von der durchdachten Planung sämtlicher IT-Themen bis zum laufenden Betrieb, mit höchster Expertenkompetenz, schnellen Reaktionszeiten beim IT Support und ständiger persönlicher Erreichbarkeit.
