NIS2 und NISG 2026: Warum Cybersicherheit jetzt Chefsache ist

26.02.2026
Dominik Sykora

Viele Unternehmen behandeln Cybersecurity noch wie ein reines IT-Thema: Firewalls, Updates, ein externer Dienstleister – fertig. Genau hier setzt NIS2 an: Die EU macht klar, dass Cybersicherheit Teil der Unternehmensführung ist. Nicht als „nice to have“, sondern als Pflicht mit klaren Anforderungen an Verantwortung, Nachweisbarkeit und Meldewege.

Was ist NIS2 – und warum betrifft das so viele?

Die NIS2-Richtlinie schafft einen EU-weiten Rahmen für ein hohes Cybersicherheitsniveau und weitet den Anwendungsbereich auf deutlich mehr Sektoren und Unternehmen aus.

Für Österreich wird NIS2 durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) umgesetzt.

Für viele Pflichten ist der praktische Startpunkt in Österreich der 1. Oktober 2026 (laut WKO-Übersicht).

Prüfen, ob Ihr Unternehmen betroffen ist
Article image

NIS2 macht aus IT-Sicherheit eine Führungsaufgabe

NIS2 verlangt ausdrücklich, dass das Leitungsorgan (Geschäftsführung/Vorstand) Cyber-Risikomaßnahmen

  • genehmigt
  • deren Umsetzung überwacht
  • und im Grundsatz dafür verantwortlich ist

Österreich geht mit dem NISG 2026 noch einen Schritt in Richtung „Chefsache“: Governance-Pflichten und der Kompetenzaufbau (Training) werden als Teil der Gesamtverantwortung verankert.

Die praktische Konsequenz: Cybersecurity wird ein Fixpunkt im Risikomanagement, in Budgetentscheidungen, bei Lieferantenverträgenund in der internen Organisation.

Was Unternehmen konkret umsetzen müssen

1) Risikomanagementmaßnahmen (nicht optional)

NIS2 verlangt ein systematisches Cyber-Risikomanagement – nicht nur Technik, sondern auch Prozesse, Verantwortlichkeiten und Kontrollen.

ENISA liefert dazu praxisnahe Umsetzungshilfen inklusive Beispielen, wie Nachweise (Evidence) aussehen können – ideal, um Anforderungen in konkrete Maßnahmen zu übersetzen.

Typische Bausteine, die in der Praxis fast immer dazugehören

  • Incident Handling (Erkennung, Reaktion, Eskalation)
  • Business Continuity und Backup-Strategie
  • Zugriffs- und Identitätsmanagement (z. B. MFA, Least Privilege)
  • Patch- und Vulnerability-Management
  • Lieferkettensicherheit (Anforderungen an Dienstleister und kritische Zulieferer)
  • Security-Awareness und Rollenmodelle

2) Meldepflichten: 24h / 72h / 1 Monat – und das muss sitzen

Bei schwerwiegenden Vorfällen gelten abgestufte Meldefristen. Die NIS-Anlaufstelle beschreibt diese Logik klar

  • innerhalb von 24 Stunden: Frühwarnung
  • binnen 72 Stunden: erste Einschätzung
  • danach Zwischenberichte und Abschlussbericht (je nach Fall)

Das ist der Punkt, an dem viele Unternehmen scheitern – nicht weil sie „zu langsam“ sind, sondern weil Meldewege, Zuständigkeiten, Informationslage und Freigaben nicht vorab definiert wurden.

3) Lieferantenkontrollen: Ihre Partner werden Teil Ihres Risikos

NIS2 zielt auf Resilienz. Das schließt die Lieferkette und kritische Dienstleister ein – insbesondere dort, wo Services oder Daten für Ihren Betrieb wesentlich sind.

In der Praxis bedeutet das

  • Mindestanforderungen für IT-Dienstleister definieren (z. B. Patch-Zyklen, Backup, Incident Response)
  • vertragliche Rechte absichern (Meldepflichten, Auditrechte, SLA und Verfügbarkeiten)
  • Klassifizierung einführen: kritisch / wichtig / austauschbar

4) Nachweisfähigkeit: nicht nur „machen“, sondern belegen können

Ein wiederkehrender Denkfehler ist: Wir sind eh sicher.

NIS2 und NISG 2026 verschieben den Maßstab in Richtung: Sie müssen zeigen können, dass Sie es im Griff haben.

ENISA liefert dazu hilfreiche Mappings und Beispiele für Nachweise, die sich in der Praxis gut nutzen lassen.

Minimaler Nachweis-Stack, der sich in vielen Unternehmen bewährt

  • Risikoanalyse plus Maßnahmenplan (inkl. Priorisierung)
  • Incident-Response-Prozess inkl. Melde-Runbook
  • Asset- und Systemübersicht (was ist kritisch)
  • Lieferantenliste inkl. Kritikalität und Mindestanforderungen
  • Trainings- und Awareness-Nachweise (Management plus Mitarbeitende)

Eine pragmatische Roadmap für die nächsten Wochen

1. Betroffenheit klären

Sektor, Größe, Rolle in der Lieferkette prüfen. Bei Unklarheit früh mit Rechts- oder Compliance-Schiene abgleichen.

2. Governance festlegen (Chefsache organisieren)

Verantwortliche benennen, Reporting-Rhythmus etablieren (z. B. quartalsweise Cyber-Risiko-Board), Entscheidungswege dokumentieren.

3. Risiko und Maßnahmen priorisieren

Nicht alles auf einmal. Kritische Systeme, wichtigste Prozesse, größte Abhängigkeiten zuerst.

4. Melde- und Reaktionsfähigkeit testen

Runbook erstellen, Meldefristen operationalisieren, Tabletop-Übung durchführen.

5. Lieferanten absichern

Kritische Partner identifizieren, Mindeststandards definieren, Verträge und SLA anpassen.

Fazit

NIS2 ist nicht die nächste IT-Checkliste. Es ist ein Governance- und Management-Thema. Verantwortung, Steuerung, Nachweisbarkeit und Reaktionsfähigkeit werden zur Pflicht – und damit zur Führungsaufgabe.

NIS2 mit erfahrenen Beratern angehen

  • EU-Richtlinie NIS2 (Directive (EU) 2022/2555): https://eur-lex.europa.eu/legal-content/EN-DE/TXT/?uri=CELEX%3A32022L2555
  • Europäische Kommission, NIS2 Policy-Seite: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
  • ENISA, NIS2 Technical Implementation Guidance: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
  • Österreich, NISG 2026 (RIS): https://ris.bka.gv.at/eli/bgbl/i/2025/94/P0/NOR40273913
  • NIS-Anlaufstelle Österreich, FAQ/Übersicht (Meldepflichten): https://www.nis.gv.at/fragen-und-antworten/nis-2-richtlinie/allgemeine-informationen-zu-nis-2.html
  • WKO Überblick, NIS2/NISG 2026: https://www.wko.at/it-sicherheit/nis2-uebersicht
  • Parlament Österreich, Parlamentskorrespondenz zu NISG 2026: https://www.parlament.gv.at/aktuelles/pk/jahr_2025/pk1218
Zurück zur Übersicht