Ziemlich genau 3 Jahre nachdem die NIS2-Richtlinie vom Europäischen Parlament verabschiedet wurde, kam diese nun am 12. Dezember 2025 auch im österreichischen Nationalrat zur Abstimmung. Die NIS2 ist somit auch in Österreich angekommen und wird als NISG 2026 in unser nationales Recht überführt – genau eine Woche nachdem dieser Schritt auch in Deutschland gesetzt wurde.
Was ist die NIS2?
Die NIS2 (Netzwerk- und Informationssicherheitsrichtlinie 2) wurde 2018 vom Europäischen Parlament und Rat beschlossen. Übergeordnetes Ziel ist ein vereinheitlichtes, hohes Cybersicherheitsniveau innerhalb der EU. Die verbindlichen Vorgaben müssen jeweils in nationales Recht der Mitgliedsstaaten überführt werden und dienen dem Schutz der IT-Infrastrukturen von Unternehmen in sicherheitskritischen Sektoren. Diese betroffenen Unternehmen müssen technische, organisatorische und operative Maßnahmen umsetzen, etwa Risikoanalysen, Backup-Strategien, Multi-Faktor-Authentifizierung, Mitarbeiterschulungen und Lieferkettensicherheit. Auch Hersteller, Integratoren und Maschinenbauer als Zulieferer können betroffen sein.
Wie geht es nun weiter?
Zunächst: die NIS2 ist kein Grund in Panik zu verfallen – ganz im Gegenteil! Sie sollte als Chance gesehen werden, Ihr Unternehmen vor den äußerst realen Gefahren durch Cyberangriffe zu schützen.
Ein Blick auf die nachstehende Grafik zeigt zudem, dass Ihr Weg zur vollständigen Erfüllung der gesetzlichen Vorgaben verschiedene Zwischenschritte beinhaltet und die Zeitschiene genügend Raum für eine überlegte und strukturierte Umsetzung liefert.
12. Dezember 2025: NISG 2026
Mit diesem Datum erfolgte die Kundmachung der nationalen Umsetzung der europäischen NIS2-Richtlinie nach österreichischem Recht. Die Uhr tickt und betroffene Unternehmen sind gefordert, die rechtlichen Vorgaben zu erfüllen. Es sind nun alle vorbereitenden Maßnahmen zu setzen, die für die Ermöglichung einer zeitgerechten Aufgabenwahrnehmung durch die Cybersicherheitsbehörde erforderlich sind (siehe nachstehende Deadlines).
01. Oktober 2026: NISG 2026 tritt in Kraft
Die bisherige NIS1 wird ab sofort durch die NIS2 abgelöst. Dieses Datum markiert auch den dreimonatigen Zeitraum zur Registrierungspflicht für wesentliche und wichtige Unternehmen nach NIS2 bei der Cybersicherheitsbehörde –> Deadline: 31.12.2026
31. Dezember 2027: Selbstdeklaration
Ihre bisherigen Bemühungen und bereits umgesetzten Risikomanagement-Maßnahmen müssen bis zu diesem Tag proaktiv von Ihnen an die Cybersicherheitsbehörde übermittelt werden.
01. Oktober 2028: Aufforderung durch Cybersicherheitsbehörde
Wesentliche und wichtige Einrichtungen haben innerhalb von zwei Jahren nach Aufforderung durch die Cybersicherheitsbehörde die technische, operative und organisatorische Umsetzung der Risikomanagementmaßnamen nachzuweisen.
Davon abweichend haben wesentliche Einrichtungen die operative sowie organisatorische Umsetzung der Risikomanagementmaßnahmen bereits innerhalb von zwei Monaten nach Aufforderung durch die Cybersicherheitsbehörde nachzuweisen. Damit ergibt sich der 30.11.2028 als frühester Umsetzungsnachweis-Zeitpunkt (operativ und organisagtorisch) für wesentliche Einrichtungen!
Wesentliche Einrichtungen sollten auf jeden Fall von einer solchen Behördenaufforderung ausgehen, während wichtige Einrichtungen nur im Anlassfall oder aufgrund einer Risikoeinschätzung durch die Behörde damit zu rechnen haben.
30. September 2030: Umsetzungsnachweis
Sie müssen nun die Wirksamkeit der technischen, operativen und organisatorischen Umsetzung der Risikomanagement-Maßnahmen durch einen unterzeichneten Prüfbericht nachweisen.
Wesentliche vs. wichtige Einrichtungen
In diesem Zusammenhang ist auch die Unterscheidung wesentlicher und wichtiger Einrichtungen von Bedeutung. Diese werden hier hier kurz zusammengefasst:
Wesentliche Einrichtungen
Unternehmen in Hochrisiko-Sektoren (Anhang I)
+ mittelgroß/groß oder aufgrund Kritikalität
Strengere Aufsicht (proaktive Prüfung)
Beispiele:
Energieversorger, Krankenhäuser, Banken
Wichtige Einrichtungen
Unternehmen in relevanten Sektoren (Anhang II)
+ mittelgroß/groß oder kritische Rolle
Reaktive Aufsicht (Prüfung bei Anlass)
Beispiele:
Maschinenbauer, Lebensmittelproduzenten, Forschungseinrichtungen
Kontakt aufnehmen“Viele Unternehmen erleben die NIS2 derzeit als komplex und fordernd. In unserer täglichen Arbeit sehen wir jedoch, dass mit einer strukturierten Herangehensweise sehr viel Unsicherheit genommen werden kann. Die Richtlinie gibt Leitplanken vor und genau dort setzen wir an: Wir helfen Organisationen dabei, diese Vorgaben in praktikable, wirksame Prozesse zu überführen.”
David SchauerHead of Operator Consulting
NIS-Compliance mit Limes Security
Als vom Bundesministerium für Inneres (BMI) sowie vom Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) anerkannte qualifizierte Stelle (QuaSte) gemäß NISG, sind wir befähigt, organisatorische und technische Prüfungen umfassend und mit höchster Professionalität für Sie durchzuführen.
Unsere Prüfer bringen langjährige Erfahrung aus Industrie, Energieversorgung und dem medizinischen Umfeld mit. Dieses breite Branchenwissen hilft uns, die individuellen Herausforderungen unserer Kunden nicht nur zu erkennen, sondern auch gezielt darauf einzugehen.
Als qualifizierte Stelle mit tief verwurzelter Expertise begleiten wir Unternehmen auf ihrem Weg zur zuverlässigen Erfüllung der NIS-Anforderungen. Mit einem erprobten Prüfungsprozess, unserem Readiness Check und praxisnahen Empfehlungen sorgen wir dafür, dass Organisationen optimal auf Audits vorbereitet sind und diese erfolgreich bestehen.
Das Ergebnis: Die regulatorischen Vorgaben werden eingehalten – und die Sicherheitslage unserer Kunden wird langfristig gestärkt.
