FAQ zu NIS2 und NISG 2026

Häufige Fragen zu Netz- und Informationssicherheit (NIS2) und zum NISG (Netz- und Informationssystemsicherheitsgesetz) 2026

Suchen Sie Unterstützung, um Ihr Unternehmen NIS2‑fit zu machen? Gerne unterstützen wir Sie – kontaktieren Sie uns.

Grundverständnis NIS2

  1. Was ist die NIS2‑Richtlinie?

    NIS2 ist eine EU‑Richtlinie, die ein höheres gemeinsames Cybersicherheitsniveau in der EU schaffen soll. Sie verpflichtet bestimmte

    Unternehmen, ihre Netz‑ und Informationssysteme besser zu schützen und Sicherheitsvorfälle zu melden.​

  2. Gilt NIS2 schon als Gesetz?

    Auf EU‑Ebene gilt NIS2 seit Januar 2023, muss aber durch nationale Gesetze (z. B. NISG 2026 in Österreich) konkret umgesetzt werden. Für betroffene Unternehmen entstehen dadurch verbindliche Pflichten.

  3. Was ist der Unterschied zur alten NIS‑Richtlinie?

    Es werden deutlich mehr Branchen erfasst, darunter viele mittelgroße Unternehmen. Zudem wurden die Anforderungen an Cybersicherheit, Meldepflichten und Management‑Verantwortung spürbar verschärft.

Betroffenheit

  1. Welche Unternehmen sind von NIS2 betroffen?

    Betroffen sind Organisationen in bestimmten Sektoren (z. B. Energie, Gesundheit, Verkehr, digitale Infrastruktur, öffentliche Verwaltung, ausgewählte Hersteller und IT‑Dienstleister) ab definierten Größenklassen.​

  2. Ab welcher Größe gilt NIS2 typischerweise?

    In der Regel ab rund 50 Mitarbeitenden oder über 10 Mio. Euro Jahresumsatz (mittlere Unternehmen) sowie für große Unternehmen, sofern sie in relevanten Sektoren aktiv sind.​

  3. Können auch kleinere Unternehmen betroffen sein?

    Ja, wenn sie besonders kritische Dienste erbringen oder als wichtige Zulieferer für NIS2‑Unternehmen eine hohe Bedeutung haben.​

  4. Gilt NIS2 auch für Unternehmen außerhalb der „kritischen Infrastruktur“?

    Ja, NIS2 geht deutlich über klassische KRITIS hinaus und umfasst unter anderem viele IT‑Dienstleister, digitale Dienste, bestimmte Hersteller und Teile des produzierenden Gewerbes.

  5. Ist auch eine konzerninterne IT‑Abteilung NIS2‑pflichtig?

    Konzerninterne IT‑Abteilungen fallen in der Regel unter NIS2, wenn sie als Managed Service Provider (MSP) einzustufen sind – unabhängig davon, ob sie ausschließlich für Konzerngesellschaften tätig sind. Konzerninterne IT‑Einheiten, die zentrale Dienste wie ERP, Cloud‑Management oder Monitoring für andere Konzerngesellschaften bereitstellen, erfüllen diese Kriterien typischerweise und gelten damit als MSP im Sektor „IKT‑Dienstleistungsmanagement“.
    Achtung: In Österreich gilt die Erbringung dieser Dienstleistungen ausschließlich für das eigene Unternehmen nicht als Ausschlussgrund für die NIS2‑Pflicht. In Deutschland müssen interne IT‑Abteilungen differenzierter betrachtet werden.
    Achtung: Auch bei einer kleinen IT‑Abteilung im Konzern wird für die NIS2‑Pflicht nicht die Größe der IT‑Abteilung, sondern die Größe des gesamten Konzerns herangezogen. Maßgeblich ist die jeweils betroffene Rechtseinheit.
    Eine individuelle Betrachtung ist hier notwendig, um die Frage der NIS2‑Pflicht zu beantworten.

Suchen Sie Unterstützung, um Ihr Unternehmen NIS2‑fit zu machen? Gerne unterstützen wir Sie – kontaktieren Sie uns.

Pflichten und Inhalte

  1. Was verlangt NIS2 inhaltlich?

    Im Kern fordert NIS2 ein systematisches Risikomanagement für Cyberrisiken, angemessene technische und organisatorische Sicherheitsmaßnahmen, Prozesse für Incident‑Management, Business Continuity, Lieferkettensicherheit sowie eine regelmäßige Überprüfung der Wirksamkeit.

  2. Welche technischen Maßnahmen werden typischerweise erwartet?

    Unter anderem starke Zugangskontrollen und Multi‑Faktor‑Authentifizierung, Verschlüsselung, sichere Backups, Netzwerksicherheit (Firewalls, IDS/IPS), Schwachstellen‑Management und kontinuierliches Monitoring.

  3. Welche organisatorischen Maßnahmen sind wichtig?

    Wesentlich sind ein dokumentiertes Risikomanagement, klar definierte Rollen und Verantwortlichkeiten, Richtlinien (Policies), Schulungen, Notfall‑ und Wiederanlaufpläne sowie regelmäßige Audits (unter anderem Penetrationstests) und Verbesserungsprozesse.​

  4. Was bedeutet „Sicherheit der Lieferkette“ konkret?

    Unternehmen müssen Cyberrisiken durch ihre Lieferanten und Dienstleister bewerten und steuern, z. B. durch vertragliche Sicherheitsanforderungen, Nachweise (Zertifikate), Sicherheitsfragebögen und gegebenenfalls Audits.​

Meldepflichten und Vorfälle in NISG 2026

  1. Welche Meldepflichten gibt es bei Sicherheitsvorfällen?

    Erhebliche Cybersicherheitsvorfälle müssen innerhalb enger Fristen an die zuständige Behörde gemeldet werden, etwa mit einer ersten Meldung innerhalb von 24 Stunden und weiteren Berichten nach festgelegten Fristen.

  2. Was ist ein meldepflichtiger Vorfall?

    Ein Vorfall ist meldepflichtig, wenn er wesentliche Dienste beeinträchtigt oder erheblichen Schaden für Kunden, Umwelt, öffentliche Sicherheit oder wirtschaftliche Tätigkeit verursachen kann.​

  3. Brauchen wir einen Incident‑Response‑Plan?

    Ja, ein strukturierter Plan zur Erkennung, Bewertung, Meldung, Eindämmung und Wiederherstellung ist ausdrücklich gefordert.​

Management und Haftung

  1. Welche Rolle spielt die Geschäftsführung?

    Die Unternehmensleitung muss die Erfüllung der NIS2‑Pflichten aktiv überwachen, entsprechende Entscheidungen treffen und kann bei schwerwiegenden Verstößen persönlich in die Verantwortung genommen werden.

  2. Muss das Management geschult werden?

    NIS2 verlangt, dass das Management regelmäßig zu Cybersicherheit und den relevanten rechtlichen Pflichten geschult wird.​

Umsetzung im Unternehmen von NIS2

  1. Wie gehen wir praktisch vor, wenn wir von NIS2 betroffen sind?

    Typische Schritte sind: Betroffenheit klären, Gap‑Analyse zum Ist‑Stand, Maßnahmenplan erstellen, Policies und Prozesse definieren, technische Maßnahmen umsetzen, Mitarbeitende schulen und die Wirksamkeit regelmäßig prüfen.​

  2. Gibt es Übergangsfristen oder Stichtage?

    Die konkreten Stichtage ergeben sich aus den nationalen Umsetzungsgesetzen; seit deren Inkrafttreten gelten die Pflichten, zusätzliche Übergangszeiträume sind meist sehr begrenzt.
    In Österreich müssen sich betroffene Unternehmen von 1. Oktober 2026 bis spätestens 31. Dezember 2026 online registrieren. Ein Fristverzug kann leicht festgestellt werden und wird voraussichtlich rasch mit Strafen geahndet.
    Achtung: Auch bei Nichtregistrierung müssen betroffene Unternehmen die NIS2‑Vorgaben erfüllen.

  3. Brauchen wir spezielle Zertifizierungen (z. B. ISO 27001)?

    NIS2 verlangt kein bestimmtes Zertifikat, orientiert sich aber inhaltlich stark an etablierten Informationssicherheits‑Standards. Zertifizierungen wie ISO 27001 können helfen, die Umsetzung der Anforderungen strukturiert nachzuweisen.​

  4. Gilt NIS2 auch, wenn wir „nur“ Lieferant für NIS2‑Unternehmen sind?

    Ihr Unternehmen kann indirekt betroffen sein: Auch ohne eigene NIS2‑Pflicht verlangen Kunden häufig NIS2‑konforme Sicherheitsstandards und vertragliche Zusicherungen – andernfalls riskieren Sie, als Lieferant ersetzt zu werden.​

  5. Strafen

    Für die Verletzung organisatorischer Pflichten – etwa bei Verstößen gegen die Registrierungspflicht oder eine fehlende Selbstdeklaration – drohen Geldstrafen im fünfstelligen Bereich; konkrete Höhen richten sich nach dem nationalen Umsetzungsgesetz. In Österreich: EUR 50.000, im Wiederholungsfall bis zu 100.000 EUR.
    Für schwerwiegende Verstöße (z. B. keine angemessenen Maßnahmen, keine Meldung im Schadensfall) drohen Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für „besonders wichtige“ (in Deutschland) oder „wesentliche“ (in Österreich) Einrichtungen; für wichtige Einrichtungen Bußgelder bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes.

Suchen Sie Unterstützung, um Ihr Unternehmen NIS2‑fit zu machen? Gerne unterstützen wir Sie – kontaktieren Sie uns.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen