CIS: Checkliste für NIS-2-Fitness

Wenn am 1. Oktober 2026 die Übergangsfrist für das neue Cybersicherheitsgesetz (NISG 2026) endet, drohen bei Nicht-Umsetzung Bußgelder in Millionenhöhe. Obwohl sich aktuell viele Unternehmen in der Vorbereitungsphase befinden, warnt der heimische Zertifizierungsdienstleister und NIS-2-Prüfstelle CIS Certification, dass die Umsetzung zu schleppend vorangeht. Studien zeigen, dass ein erheblicher Teil der heimischen Unternehmen die eigene Betroffenheit falsch einschätzt oder den Umsetzungsaufwand unterschätzt. Vor allem KMU fühlen sich oft nicht betroffen, dabei gilt das NISG 2026 bereits ab 50 Mitarbeitenden oder einem Jahresumsatz von zehn Millionen Euro. Außerdem können kleinere Unternehmen über die Lieferkette betroffen sein.

„Im Vergleich zur bisherigen NIS-Regelung erfasst das neue Gesetz deutlich mehr Unternehmen. Darüber hinaus liegt die Verantwortung zur Selbsteinstufung mit der neuen Regelung bei den Unternehmen. Das heißt, jede juristische Einheit muss selbst prüfen, ob sie unter NIS-2 fällt und sich aktiv bei der zuständigen Behörde registrieren“, erklärt Thomas Mann, Geschäftsführer der CIS - Certification & Information Security Services GmbH. Der Experte schätzt, dass in Österreich 3.500 bis 5.000 Unternehmen direkt und weitere 50.000 indirekt über Lieferketten oder Dienstleistungsverhältnisse betroffen sind. „Unternehmen, die bereits Informationssicherheitsmanagementsysteme wie die ISO 27001 implementiert haben, sind klar im Vorteil. Denn sie decken damit schon den gesamten organisatorischen Teil der NISG-Prüfung 2026 ab“, so Mann.

Mit der folgenden Auflistung beantwortet CIS Certification die wichtigsten Fragen zum neuen NIS-2-Gesetz:

1. Welche Unternehmen sind von NIS-2 betroffen?

Neben der klassischen kritischen Infrastruktur (Energie, Transport, Gesundheit etc.) fallen jetzt auch andere wirtschaftlich relevante Bereiche (Handel, Produktion, Lebensmittelversorgung, IT-Dienstleister etc.) unter das NIS-2-Gesetz. Darüber hinaus sind juristische Personen mit einem Jahresumsatz ab zehn Millionen Euro oder mindestens 50 Mitarbeitenden betroffen. Für kleinere Unternehmen kann das NISG 2026 verbindlich sein, wenn sie als Dienstleister oder Lieferant über die Lieferkette oder als Vertrauensdienstanbieter in einen besonderen Anwendungsbereich fallen.

2. Wer ist in den Unternehmen für die Umsetzung zuständig?

Die Richtlinie umzusetzen erfordert Zeit, Ressourcen und Personal. Im besten Fall ist im Unternehmen ein Chief Information Security Officer (CISO) für die Umsetzung zuständig und bindet alle Abteilungen ein. Denn das neue Gesetz betrifft nicht nur IT-Abteilungen, sondern als komplexe Querschnittsmaterie die gesamte Organisation. Um die Anforderungen des Gesetzgebers zu erfüllen, müssen alle Unternehmensbereiche einbezogen werden.

3. Welche Pflichten müssen betroffene Unternehmen erfüllen?

Die Kernanforderungen lassen sich in vier Bereiche gliedern: Risikomanagement, Meldepflichten, Registrierung und Berichtswesen sowie Lieferkettensicherheit. Konkret müssen Unternehmen bis 1. Oktober 2026 ein dokumentiertes, kontinuierlich überwachtes Risikomanagementsystem implementieren. Cybervorfälle, die erhebliche Auswirkungen haben könnten, müssen dann binnen 24 Stunden gemeldet werden. „Betroffene Unternehmen müssen sich bei der österreichischen Cybersicherheitsbehörde aktiv registrieren. Dabei ist zu beachten, dass das Risikomanagement entlang der gesamten Lieferkette sichergestellt sein muss und Zulieferer Sicherheitsanforderungen nachweislich erfüllen“, betont CIS Certification Geschäftsführer Thomas Mann.

4. Welche Strafen drohen bei Nichteinhaltung?

Die Aufsicht liegt beim Bundesamt für Cybersicherheit (BMI), das die Registrierungen, Prüfungen und Meldeauswertungen übernimmt und an EU-Agenturen wie ENISA berichtet. Verstöße gegen NIS-2 können sehr teuer werden: Besonders wichtigen Unternehmen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Außerdem riskieren Unternehmen, die kein Informationssicherheitsmanagement etabliert haben, Sicherheitsvorfälle, kritische Betriebsunterbrechungen und damit ihre eigene Geschäftstätigkeit.

5. Auf welche Managementsysteme oder Zertifizierungen referenziert das NISG 2026?

Rahmenwerke wie ISO 27001 können herangezogen werden, um eine solide Grundlage für die Erfüllung der Cybersicherheitsmaßnahmen zu schaffen. Denn Unternehmen, die bereits ein Informationssicherheitsmanagementsystem (ISO 27001) implementiert haben, decken damit automatisch den organisatorischen Teil der NIS-2 Prüfung ab.

6. Wann endet die Umsetzungsfrist?

Am 1. Oktober 2026 ist das NISG 2026 voll wirksam. Das heißt, Unternehmen haben nur noch bis 30. September Zeit, um ihre Betroffenheit zu überprüfen und anschließend alle erforderlichen Schritte umzusetzen. Die heimische NIS-2-Prüfstelle CIS Certification unterstützt bei der Erstellung eines unabhängigen NIS-2-Prüfberichts für Organisationen sowie Konzerne jeder Größe und bietet maßgeschneiderte Führungskräfteschulungen an.

Für einen ersten Überblick hat der Zertifizierungsdienstleister eine Checkliste zusammengestellt, die online zur Verfügung steht: https://www.cis-cert.com/news/checkliste-zur-nis-2-compliance/