NIS2 ist mehr als „noch eine Richtlinie“. Sie legt erstmals konkrete Mindeststandards für Cyber-Resilienz in großen und kritischen Unternehmen fest. Österreich muss die EU-Vorgaben bis Mitte 2026 in nationales Recht gießen – höchste Zeit, die Hausaufgaben anzugehen.

Wer betroffen ist?

  • Unternehmen mit >250 Mitarbeitenden sowieso (Kategorie „wichtige Einrichtung“)
  • Branchen mit kritischer Bedeutung (Energie, Transport, Finanz, Gesundheitswesen, Abfall, digitale Infrastruktur, Post & Kurier, Lebensmittel, etc.) oft schon ab 50 MA
  • Zulieferer dieser Branchen, wenn sie „wesentliche Dienste“ unterstützen

Für Firmen mit 200+ Mitarbeitenden heißt das: Mit sehr hoher Wahrscheinlichkeit NIS2-pflichtig, inklusive Melde- und Audit-Pflichten.

Was verlangt NIS2 konkret?

  1. Risikomanagement: dokumentiertes Informationssicherheits-Managementsystem (ISMS) inkl. Policies
  2. Business Continuity: Notfall- und Wiederanlaufpläne (KRITIS-tauglich)
  3. Incident Management: Meldepflichten (24h Frühwarnung, 72h Bericht, Finalreport in 1 Monat)
  4. Zugang & Netzwerksicherheit: MFA, Netzwerksegmentierung, Zero-Trust-Ansätze
  5. Lieferkette: Security-Anforderungen in Verträgen, regelmäßige Assessments
  6. Awareness: verpflichtende Schulungen, dokumentierte Übungen
  7. Governance: Geschäftsführung haftet persönlich; Nachweis der Aufsichtspflicht ist Pflicht

Wie starten?

1. Scope & Rollen klären

  • Feststellen, ob ihr als „wesentliche“ oder „wichtige“ Einrichtung gilt
  • NIS2-Verantwortliche Person/Team benennen (CISO, Compliance, Rechtsabteilung)

2. Gap-Analyse durchführen

  • Bestehende Standards (ISO 27001, CIS Controls, NIST CSF) mappen
  • Reifegrad bewerten: Prozesse, Technik, Lieferkette, Reporting

3. Maßnahmen priorisieren

  • Quick Wins: MFA, Asset-Inventar, Backup-Tests
  • Midterm: ISMS-Prozesse, Lieferkettenverträge, SOC/SIEM-Use-Cases
  • Longterm: Krisenübungen, Tabletop-Tests, Red Teaming

Checkliste (Auszug)

Bereich Fragen
Governance Gibt es eine schriftliche Sicherheitsstrategie? Wer trägt Verantwortung?
Assets Ist bekannt, welche Systeme geschäftskritisch sind?
Detektion Welche Incidents erkennen wir heute? Gibt es 24/7 Monitoring?
Reaktion Wie sieht das 24h/72h-Meldeplaybook aus? Wer spricht mit der Behörde?
Lieferkette Haben wir Sicherheitsklauseln in Supplier-Verträgen?
Reporting Wie weisen wir „due diligence“ nach (Protokolle, Management-Reports)?

(Die komplette Checkliste mit 30+ Fragen packe ich in ein separates Download, wenn Bedarf besteht.)

Externe Unterstützung

In Österreich haben sich mehrere Häuser auf NIS2 spezialisiert:

  • Big Four & Large Consulting: KPMG, EY, PwC, Deloitte – gut für Konzerne, bieten Readiness-Assessments (10–50k €)
  • Spezialisierte Security-Boutiquen: BearingPoint, RadarServices, IKARUS, SEC Consult – oft agiler, können auch technische Maßnahmen (SOC, SIEM) umsetzen
  • Branchenspezifische Integratoren: z. B. Energie-/Healthcare-IT-Dienstleister mit KRITIS-Erfahrung

Wenn ihr bereits ISO 27001 zertifiziert seid, lohnt sich eine gezielte „Delta-Analyse“ statt komplett neuem Projekt.

Kostenrahmen (Daumenwerte)

Baustein Aufwand
NIS2 Readiness Assessment 10.000 – 25.000 €
Aufbau ISMS (Policies, Prozesse) 30.000 – 80.000 €
Technische Maßnahmen (SIEM, MFA, Hardening) stark abhängig, typ. 50.000 €+
Schulungen & Übungen 5.000 – 15.000 € p.a.
Laufende Audits & Reporting 10.000 – 30.000 € p.a.

Meine Empfehlung

  1. Offizielle Einstufung abklären (Bundeskanzleramt wird ein Register führen)
  2. Gap-Analyse (intern + externer Blick)
  3. Roadmap mit Quartals-Meilensteinen
  4. Frühzeitig dokumentieren: Jede Maßnahme zählt als Nachweis der Management-Sorgfalt
  5. Kommunikation: Führungskräfte und Betriebsrat früh einbinden – NIS2 ist ein Change-Projekt

Je früher ihr startet, desto geringer der Druck, wenn die österreichische Umsetzung scharfgestellt wird. Ich habe das Thema bereits mit mehreren Betrieben vorbereitet – meldet euch, wenn ihr einen neutralen Blick oder eine Checkliste braucht.