NIS2 und NISG 2026: Warum Cybersicherheit jetzt Chefsache ist
Viele Unternehmen behandeln Cybersecurity noch wie ein reines IT-Thema: Firewalls, Updates, ein externer Dienstleister – fertig. Genau hier setzt NIS2 an: Die EU macht klar, dass Cybersicherheit Teil der Unternehmensführung ist. Nicht als „nice to have“, sondern als Pflicht mit klaren Anforderungen an Verantwortung, Nachweisbarkeit und Meldewege.
Was ist NIS2 – und warum betrifft das so viele?
Die NIS2-Richtlinie schafft einen EU-weiten Rahmen für ein hohes Cybersicherheitsniveau und weitet den Anwendungsbereich auf deutlich mehr Sektoren und Unternehmen aus.
Für Österreich wird NIS2 durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) umgesetzt.
Für viele Pflichten ist der praktische Startpunkt in Österreich der 1. Oktober 2026 (laut WKO-Übersicht).
NIS2 macht aus IT-Sicherheit eine Führungsaufgabe
NIS2 verlangt ausdrücklich, dass das Leitungsorgan (Geschäftsführung/Vorstand) Cyber-Risikomaßnahmen
- genehmigt
- deren Umsetzung überwacht
- und im Grundsatz dafür verantwortlich ist
Österreich geht mit dem NISG 2026 noch einen Schritt in Richtung „Chefsache“: Governance-Pflichten und der Kompetenzaufbau (Training) werden als Teil der Gesamtverantwortung verankert.
Die praktische Konsequenz: Cybersecurity wird ein Fixpunkt im Risikomanagement, in Budgetentscheidungen, bei Lieferantenverträgen – und in der internen Organisation.
Was Unternehmen konkret umsetzen müssen
1) Risikomanagementmaßnahmen (nicht optional)
NIS2 verlangt ein systematisches Cyber-Risikomanagement – nicht nur Technik, sondern auch Prozesse, Verantwortlichkeiten und Kontrollen.
ENISA liefert dazu praxisnahe Umsetzungshilfen inklusive Beispielen, wie Nachweise (Evidence) aussehen können – ideal, um Anforderungen in konkrete Maßnahmen zu übersetzen.
Typische Bausteine, die in der Praxis fast immer dazugehören
- Incident Handling (Erkennung, Reaktion, Eskalation)
- Business Continuity und Backup-Strategie
- Zugriffs- und Identitätsmanagement (z. B. MFA, Least Privilege)
- Patch- und Vulnerability-Management
- Lieferkettensicherheit (Anforderungen an Dienstleister und kritische Zulieferer)
- Security-Awareness und Rollenmodelle
2) Meldepflichten: 24h / 72h / 1 Monat – und das muss sitzen
Bei schwerwiegenden Vorfällen gelten abgestufte Meldefristen. Die NIS-Anlaufstelle beschreibt diese Logik klar
- innerhalb von 24 Stunden: Frühwarnung
- binnen 72 Stunden: erste Einschätzung
- danach Zwischenberichte und Abschlussbericht (je nach Fall)
Das ist der Punkt, an dem viele Unternehmen scheitern – nicht weil sie „zu langsam“ sind, sondern weil Meldewege, Zuständigkeiten, Informationslage und Freigaben nicht vorab definiert wurden.
3) Lieferantenkontrollen: Ihre Partner werden Teil Ihres Risikos
NIS2 zielt auf Resilienz. Das schließt die Lieferkette und kritische Dienstleister ein – insbesondere dort, wo Services oder Daten für Ihren Betrieb wesentlich sind.
In der Praxis bedeutet das
- Mindestanforderungen für IT-Dienstleister definieren (z. B. Patch-Zyklen, Backup, Incident Response)
- vertragliche Rechte absichern (Meldepflichten, Auditrechte, SLA und Verfügbarkeiten)
- Klassifizierung einführen: kritisch / wichtig / austauschbar
4) Nachweisfähigkeit: nicht nur „machen“, sondern belegen können
Ein wiederkehrender Denkfehler ist: Wir sind eh sicher.
NIS2 und NISG 2026 verschieben den Maßstab in Richtung: Sie müssen zeigen können, dass Sie es im Griff haben.
ENISA liefert dazu hilfreiche Mappings und Beispiele für Nachweise, die sich in der Praxis gut nutzen lassen.
Minimaler Nachweis-Stack, der sich in vielen Unternehmen bewährt
- Risikoanalyse plus Maßnahmenplan (inkl. Priorisierung)
- Incident-Response-Prozess inkl. Melde-Runbook
- Asset- und Systemübersicht (was ist kritisch)
- Lieferantenliste inkl. Kritikalität und Mindestanforderungen
- Trainings- und Awareness-Nachweise (Management plus Mitarbeitende)
Eine pragmatische Roadmap für die nächsten Wochen
1. Betroffenheit klären
Sektor, Größe, Rolle in der Lieferkette prüfen. Bei Unklarheit früh mit Rechts- oder Compliance-Schiene abgleichen.
2. Governance festlegen (Chefsache organisieren)
Verantwortliche benennen, Reporting-Rhythmus etablieren (z. B. quartalsweise Cyber-Risiko-Board), Entscheidungswege dokumentieren.
3. Risiko und Maßnahmen priorisieren
Nicht alles auf einmal. Kritische Systeme, wichtigste Prozesse, größte Abhängigkeiten zuerst.
4. Melde- und Reaktionsfähigkeit testen
Runbook erstellen, Meldefristen operationalisieren, Tabletop-Übung durchführen.
5. Lieferanten absichern
Kritische Partner identifizieren, Mindeststandards definieren, Verträge und SLA anpassen.
Fazit
NIS2 ist nicht die nächste IT-Checkliste. Es ist ein Governance- und Management-Thema. Verantwortung, Steuerung, Nachweisbarkeit und Reaktionsfähigkeit werden zur Pflicht – und damit zur Führungsaufgabe.
- EU-Richtlinie NIS2 (Directive (EU) 2022/2555): https://eur-lex.europa.eu/legal-content/EN-DE/TXT/?uri=CELEX%3A32022L2555
- Europäische Kommission, NIS2 Policy-Seite: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- ENISA, NIS2 Technical Implementation Guidance: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
- Österreich, NISG 2026 (RIS): https://ris.bka.gv.at/eli/bgbl/i/2025/94/P0/NOR40273913
- NIS-Anlaufstelle Österreich, FAQ/Übersicht (Meldepflichten): https://www.nis.gv.at/fragen-und-antworten/nis-2-richtlinie/allgemeine-informationen-zu-nis-2.html
- WKO Überblick, NIS2/NISG 2026: https://www.wko.at/it-sicherheit/nis2-uebersicht
- Parlament Österreich, Parlamentskorrespondenz zu NISG 2026: https://www.parlament.gv.at/aktuelles/pk/jahr_2025/pk1218