NIS-2-Frist 2026: Was Unternehmen jetzt tun müssen

Welche Unternehmen sind von NIS-2 betroffen?

Die NIS-2-Richtlinie (EU-Richtlinie 2022/2555) wurde in Österreich durch das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) umgesetzt. Im Vergleich zur Vorgängerrichtlinie NIS-1 wurde der Anwendungsbereich massiv ausgeweitet: statt rund 100 betroffenen Betreibern wesentlicher Dienste sind es jetzt schätzungsweise 4.000 bis 6.000 österreichische Unternehmen.

Betroffen sind sogenannte „wesentliche Einrichtungen" (Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung, Raumfahrt) und „wichtige Einrichtungen" (Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Forschung, digitale Dienste). Die Größenkriterien sind 50 Mitarbeitende ODER 10 Millionen Euro Jahresumsatz. Wer eines dieser Schwellenwerte erreicht und in einem der genannten Sektoren tätig ist, fällt unter die Regelung.

Wichtig: auch kleinere Unternehmen können betroffen sein, wenn sie als „kritisch" eingestuft werden (etwa Vertrauensdienste-Anbieter, Trust-Service-Provider, Domain-Name-Registries oder Cloud-Provider).

Welche Pflichten ergeben sich konkret?

NIS-2 verpflichtet betroffene Unternehmen zu zehn Cybersecurity-Risikomanagement-Maßnahmen: Risikoanalyse und Sicherheitskonzepte, Incident-Handling, Business Continuity, Lieferketten-Sicherheit, Sicherheit bei Erwerb/Entwicklung/Wartung, Effektivitätsbewertung der Maßnahmen, Krypto-Konzepte, Personalsicherheit und Zugangskontrolle, Multi-Faktor-Authentifizierung und Awareness-Schulungen für alle Mitarbeitenden.

Die Awareness-Pflicht ist dabei besonders relevant für die tägliche Praxis: jede Mitarbeiterin und jeder Mitarbeiter muss in Phishing-Erkennung, Passwort-Hygiene, sicherem Umgang mit E-Mail und Anhängen, Social Engineering und Meldepflichten geschult sein. Die Schulungen müssen nachweisbar sein (Teilnahmenachweis, Audit-Trail) und regelmäßig wiederholt werden.

• Risikoanalyse und Sicherheitskonzepte (NIS-2 Art. 21 Abs. 2 lit. a)
• Incident Handling und Meldungspflicht (Art. 21 Abs. 2 lit. b)
• Business Continuity und Krisenmanagement (lit. c)
• Lieferketten-Sicherheit (lit. d)
• Multi-Faktor-Authentifizierung (lit. j)
• Schulung von Geschäftsleitung UND Mitarbeitenden (lit. g)

Die Meldepflichten: 24 Stunden, 72 Stunden, 1 Monat

Eines der schärfsten Instrumente von NIS-2 ist die dreistufige Meldepflicht für signifikante Sicherheitsvorfälle. Bei einem Vorfall müssen betroffene Unternehmen innerhalb von 24 Stunden eine Erst-Meldung an die zuständige Behörde (in Österreich GovCERT) absetzen. Diese „Frühwarnung" enthält nur die wichtigsten Eckdaten: Art des Vorfalls, möglicher Schaden, vermutete Bedrohung.

Innerhalb von 72 Stunden folgt die ausführliche Meldung mit Schweregradeinschätzung, Indikatoren, Maßnahmen. Nach einem Monat schließlich der Abschluss-Bericht mit Auswirkungsanalyse und ergriffenen Gegenmaßnahmen. Wer diese Fristen versäumt, riskiert empfindliche Bußgelder.

Strafen: bis zu 10 Millionen Euro oder 2% Jahresumsatz

NIS-2 sieht Strafen in zwei Stufen vor. Für wesentliche Einrichtungen können Geldbußen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes verhängt werden (je nachdem, was höher ist). Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes. Zusätzlich kann die Geschäftsleitung persönlich haftbar gemacht werden.

Besonders heikel: die Geschäftsführung muss die Umsetzung der NIS-2-Maßnahmen aktiv überwachen und an verpflichtenden Schulungen teilnehmen. Eine reine „Abwälzung" auf die IT-Abteilung schützt nicht vor Haftung.

Was tun bis Ende 2026?

Drei konkrete Schritte für KMU, die unter NIS-2 fallen: Erstens — Betroffenheitsanalyse durchführen. Fallen Sie in einen der NIS-2-Sektoren? Erreichen Sie die Größenkriterien? Im Zweifel mit Berater oder direkt der Behörde abklären. Zweitens — Bestandsaufnahme der zehn Maßnahmenfelder. Welche sind bereits umgesetzt, wo gibt es Lücken? Drittens — Awareness-Schulung verpflichtend für alle Mitarbeitenden und besonders Geschäftsführung dokumentieren.

Unsere Phishing- und IT-Security-Awareness-Schulung deckt die Awareness-Pflicht aus NIS-2 Art. 21 Abs. 2 lit. g ab: 6-Punkte-Phishing-Erkennung, 7 Angriffsvarianten (von klassischem Phishing über Business E-Mail Compromise bis Deepfake-Voice), Meldewege nach NIS-2-Fristen, Ransomware-Prävention. Ca. 30 Minuten Aufwand pro Person, automatisches PDF-Zertifikat als Audit-Nachweis.