Das Netz- und Informationssystemsicherheitsgesetz 2024 setzt die NIS-2-Richtlinie in Österreich um. Wer direkt betroffen ist, trägt persönliche GF-Haftung. Wer Lieferant einer wesentlichen Einrichtung ist, bekommt gerade Nachweispflichten ins Haus. Dieser Leitfaden erklärt, was das konkret bedeutet.
Recht und Technik unter einem Dach — GF-Beschluss und MFA-Rollout aus einer Hand.
NIS-2 ist die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Als EU-Richtlinie muss sie von den Mitgliedstaaten in nationales Recht umgesetzt werden. In Österreich geschah das durch das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024), das seit 2025 in Kraft ist.
Das NISG 2024 ersetzt das NISG 2018 und erweitert den Geltungsbereich erheblich: Die Zahl der betroffenen Sektoren steigt von sieben auf achtzehn, die Schwellenwerte für die direkte Betroffenheit werden angepasst, und die Anforderungen an Risikomanagement und Meldepflichten werden verschärft. Zudem führt das NISG 2024 die persönliche Haftung der Geschäftsführung für mangelhafte Umsetzung ein — ein Novum im österreichischen IT-Sicherheitsrecht.
Für Unternehmen in Deutschland gibt es eine parallele Entwicklung: Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) setzt die Richtlinie im deutschen Recht um. Die materielle Anforderungen sind weitgehend identisch mit dem NISG 2024; abweichungen bestehen bei Behördenzuständigkeiten und bestimmten Schwellenwerten. Für Schweizer Unternehmen ohne EU-Niederlassung ist NIS-2 nicht direkt anwendbar, aber Kunden und Lieferketten-Partner aus dem DACH-Raum werden Compliance-Nachweise einfordern.
„NIS-2 ist die bedeutendste Cybersicherheits-Regulierung der letzten zehn Jahre in Europa. Ihr Hebel ist nicht das Bußgeld — ihr Hebel ist die persönliche Haftung der Geschäftsführung." Mag. iur. Richard Gschank, tablegray services gmbh
Für eine schnelle Einschätzung Ihrer Betroffenheit empfehlen wir den NIS-2-Quick-Check (PDF). Für weitergehende Beratung und unsere Leistungen im NIS-2-Bereich: NIS-2-Überblick für KMU.
Das NISG 2024 unterscheidet zwischen „wesentlichen Einrichtungen" und „wichtigen Einrichtungen". Die Unterscheidung bestimmt die Höhe der Bußgelder und die Intensität der behördlichen Überwachung, nicht aber die grundsätzlichen Pflichten.
Direkte Betroffenheit hängt von zwei Kriterien ab: Sektor und Unternehmensgrösse. Wesentliche Einrichtungen sind Unternehmen mit mehr als 250 Mitarbeitenden oder mehr als 50 Millionen Euro Jahresumsatz, die in einem der 10 „Hochrisiko"-Sektoren tätig sind: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstverwaltung und öffentliche Verwaltung. Wichtige Einrichtungen sind mittelgrosse Unternehmen (50–250 Mitarbeitende oder 10–50 Millionen Euro Umsatz) in diesen oder den weiteren 8 Sektoren (darunter Post, Chemie, Lebensmittel, Maschinenbau).
Indirekte Betroffenheit ist für die Praxis oft relevanter als die direkte: Jede wesentliche oder wichtige Einrichtung ist nach NISG 2024 § 21 verpflichtet, Lieferanten-Risiken zu managen und Lieferanten regelmässig zu bewerten. Das bedeutet: Wer Lieferant einer Energie- oder Banken-Einrichtung ist, bekommt heute schon Fragebögen und Nachweispflichten zugesendet — unabhängig davon, ob der Lieferant selbst direkt betroffen ist.
Art. 21 der NIS-2-Richtlinie (§ 21 NISG 2024) definiert die Mindestmassnahmen für das Risikomanagement. Diese acht Bereiche sind die Grundlage jedes NIS-2-Compliance-Projekts:
Dokumentierte Risikoanalyse für Netz- und Informationssysteme, Policies für Zugriffsmanagement, Kryptographie, Fernarbeit. Grundlage für alle weiteren Massnahmen.
Incident-Response-Plan mit definierten Rollen, Eskalationswegen und Meldeprozessen. Frühwarnung innerhalb 24 Stunden, formale Meldung innerhalb 72 Stunden (NISG 2024 § 23).
Backup-Management, Notfallwiederherstellung, Krisenmanagement-Prozesse. Recovery-Time-Objectives (RTO) und Recovery-Point-Objectives (RPO) müssen definiert und getestet sein.
Lieferanten-Risiko-Assessments, vertragliche NIS-2-Klauseln, regelmässige Überprüfung. Art. 21 Abs. 2 lit. d NISG 2024 verpflichtet zur aktiven Steuerung von Lieferantenrisiken.
Schwachstellen-Management, Security-in-DevOps, Change-Management. Enge Überschneidung mit CRA-Anforderungen — ein gemeinsamer Ansatz spart Kosten.
Regelmässige Audits, Penetrationstests, Überprüfung der Wirksamkeit aller Massnahmen. Ohne Nachweis zählen die Massnahmen im Behördenfall wenig.
Mitarbeiterschulungen zu Phishing, Password-Hygiene, Incident-Meldung. Jährliche Auffrischungen mit Dokumentation. Ähnlich wie bei der AI-Act-Schulungspflicht gilt: ohne Nachweis keine Compliance.
Multi-Faktor-Authentifizierung für kritische Systeme. End-to-End-Verschlüsselung für sensible Daten. Schlüsselverwaltung dokumentiert und auditierbar.
Ein Risikomanagement-System (RMS) nach NISG 2024 ist keine akademische Übung — es ist ein lebendiges Dokument, das den tatsächlichen Sicherheitsstand des Unternehmens widerspiegelt und für Behördenprüfungen verfügbar sein muss. Wer ein ISO-27001-konformes ISMS betreibt, hat die Grundstruktur bereits; eine NIS-2-spezifische Adaption ist jedoch notwendig.
Der Aufbau beginnt mit der Scoping-Phase: Welche Netz- und Informationssysteme sind für die betroffenen Dienste kritisch? Für einen Energieversorger sind das die OT-Systeme (SCADA, Leitsysteme); für ein Fintech die Kernsysteme für Zahlungsverarbeitung. Die Scoping-Entscheidung bestimmt den Umfang aller weiteren Massnahmen.
Darauf folgt die Risikoanalyse: Identifikation von Assets, Bedrohungen und Schwachstellen; Bewertung der Eintrittswahrscheinlichkeit und des potenziellen Schadens; Priorisierung nach Risiko. Das Ergebnis ist ein Risikoregister, das die Grundlage für Investitionsentscheidungen in Sicherheitsmassnahmen bildet.
Governance-Struktur und Rollenverteilung sind der oft unterschätzte Teil: Wer ist für Cybersicherheit verantwortlich? Wer eskaliert im Incident-Fall? Wer kommuniziert mit Behörden? NISG 2024 § 20 verlangt, dass die Leitungsorgane die Implementierung der Massnahmen genehmigen und überwachen — das bedeutet GF-Beschlüsse, die das RMS formal verabschieden.
„Ein Risikomanagement-System auf Papier schützt niemanden. Ein RMS schützt, wenn es gelebt wird — wenn Mitarbeitende geschult sind, Incidents gemeldet werden und die Geschäftsführung weiss, was in ihren Systemen passiert." Ing. Mag. Günter Omer, tablegray services gmbh
Die technischen Massnahmen nach NISG 2024 sind konkret und umsetzbar. Sie sind kein theoretisches Konzept, sondern operative Sicherheitsmassnahmen, die in Systemen und Prozessen verankert werden müssen.
Multi-Faktor-Authentifizierung (MFA): MFA ist für kritische Systeme Pflicht — das umfasst E-Mail-Systeme (insbesondere Office 365 oder Google Workspace), VPN-Zugänge, Admin-Oberflächen und alle Systeme, über die auf kritische Betriebsdaten zugegriffen werden kann. Die Implementierung ist technisch überschaubar, aber die Rollout-Phase — Mitarbeitende schulen, Ausnahmen managen, Legacy-Systeme integrieren — braucht Zeit. Planen Sie 4–8 Wochen für einen vollständigen MFA-Rollout in einem KMU.
Verschlüsselung: Sensible Daten müssen verschlüsselt übertragen (TLS 1.2 oder höher) und gespeichert werden. Für viele Cloud-Systeme ist Verschlüsselung im Transit Standard — aber Verschlüsselung at rest und Schlüsselverwaltung werden oft vernachlässigt. Besondere Aufmerksamkeit verdienen E-Mail-Archive, Backup-Daten und portable Datenträger.
Backup und Business Continuity: Die 3-2-1-Regel ist der Mindeststandard: 3 Kopien, auf 2 verschiedenen Medientypen, 1 davon ausgelagert. Entscheidend ist aber nicht die Existenz von Backups, sondern regelmässige Restore-Tests. Im Behördenfall wird gefragt, wann zuletzt ein vollständiger Restore getestet wurde — nicht, ob Backups existieren.
Logging und Monitoring: Zentrale Protokollierung von Zugriffsversuchen, Systemänderungen und Netzwerkaktivitäten. SIEM-Systeme (Security Information and Event Management) sind für grössere Einrichtungen sinnvoll; für KMU können auch schlanke Log-Management-Lösungen ausreichen. Wichtig: Logs müssen für einen definierten Zeitraum aufbewahrt werden (NISG 2024 empfiehlt mindestens 12 Monate) und müssen im Incident-Fall schnell auswertbar sein.
Die Meldepflichten des NISG 2024 sind strikt und zeitlich enger als bisherige Anforderungen. Ein erheblicher Vorfall — definiert als ein Vorfall, der den Betrieb der Dienste erheblich stört oder erhebliche finanzielle Verluste verursacht — muss in drei Stufen gemeldet werden:
Frühwarnung (24 Stunden): Unverzügliche, erste Meldung an die zuständige nationale Behörde (in Österreich: BMI/CERT.at). Inhalt: kurze Beschreibung des Vorfalls, Vermutung ob es sich um einen Cyberangriff handelt. Diese Frist beginnt mit dem Zeitpunkt, zu dem das Unternehmen von dem Vorfall Kenntnis erlangt — nicht mit dem Zeitpunkt, zu dem der Vorfall tatsächlich eintrat.
Vorfallmeldung (72 Stunden): Vollständigere Meldung mit ersten Ergebnissen der Erstbewertung, Schweregrad, Ursache (soweit bekannt), Auswirkungen. Das ist identisch mit dem CRA-Zeitrahmen (Art. 14) — wer unter beide Regelwerke fällt, kann denselben Meldeprozess nutzen.
Abschlussbericht (1 Monat): Detaillierte Beschreibung des Vorfalls, Ursachenanalyse, eingeleitete Massnahmen, grenzübergreifende Auswirkungen. Dieser Bericht wird von der Behörde bewertet und kann die Grundlage für Nachfolgekontrolle sein.
Ein Incident-Response-Plan muss vor dem Ernstfall existieren. Im Incident-Fall ist keine Zeit, Eskalationsketten zu definieren. Der Plan muss beinhalten: Wer entscheidet, dass ein Vorfall „erheblich" ist? Wer ist die Behörde in unserem Sektor? Wer kommuniziert intern? Wer ist der externe Kommunikations-Verantwortliche? Wo sind die Notfallkontakte der Behörden?
Lieferketten-Sicherheit ist der Bereich, der am meisten KMU überrascht. NISG 2024 § 21 Abs. 2 lit. d verpflichtet wesentliche und wichtige Einrichtungen, die Sicherheit in der Lieferkette zu berücksichtigen und Massnahmen zu ergreifen, um Risiken durch Lieferanten und Dienstleister zu managen. In der Praxis bedeutet das: Wenn Ihr Grosskundenauftrag von einer Energie- oder Bankengruppe kommt, steht in deren Risikomanagement-Prozess, dass sie Sie als Lieferanten bewerten müssen.
Ein strukturierter Lieferanten-Risiko-Assessment-Prozess umfasst: Kategoriertung von Lieferanten nach Kritikalität (wie sehr hängt unsere Betriebsfähigkeit von diesem Lieferanten ab?), Abfrage von Sicherheitsmassnahmen (meist per Fragebogen oder Zertifikat), vertragliche Verankerung von Mindestanforderungen (NIS-2-Klauseln in Lieferverträgen), und periodische Re-Assessment (mindestens jährlich für kritische Lieferanten).
Für Unternehmen, die selbst Lieferant sind: Die Vorbereitung auf Lieferanten-Assessments der Grosskundschaft ist heute einer der häufigsten Einstiegspunkte in ein NIS-2-Compliance-Projekt bei tablegray. Der Brief kommt, die Frist ist drei Monate, und dann beginnt die Arbeit. Besser: proaktiv vorbereiten, bevor der Brief kommt.
Lieferketten-Transparenz hat auch eine Schnittstelle zur Cyber Resilience Act: Wer Software-Produkte liefert, muss dort SBOM und Vulnerability-Handling-Nachweise bereitstellen. Die Kombination NIS-2 und CRA schafft in der Praxis einen umfassenden Rahmen für Lieferanten-Anforderungen.
Die GF-Haftung ist das schärfste Schwert des NISG 2024. § 38 NISG 2024 sieht vor, dass die Geschäftsführung persönlich für die Genehmigung der Cybersicherheitsmassnahmen verantwortlich ist und diese Verantwortung nicht auf Dritte delegiert werden kann. Bei Verstössen können GF-Mitglieder persönlich mit Bußgeldern belegt werden.
Was bedeutet das praktisch? Die Geschäftsführung muss in der Lage sein nachzuweisen, dass sie aktiv an der NIS-2-Governance beteiligt war: schriftliche GF-Beschlüsse zur Genehmigung des Risikomanagement-Systems, Protokolle von Geschäftsleitungs-Sitzungen, in denen Cybersicherheit behandelt wurde, Nachweis, dass die GF über den aktuellen Sicherheitsstand informiert ist. Ein einmalig unterschriebenes Policy-Dokument aus 2025 genügt nicht — es braucht kontinuierliche Dokumentation.
Audit-Readiness bedeutet, dass alle relevanten Dokumente griffbereit und aktuell sind: Risikomanagement-System mit Risikoregister, alle Policies und Verfahrensdokumente, GF-Beschlüsse, Schulungsnachweise der Mitarbeitenden, Incident-Response-Plan und Protokolle bisheriger Incidents, Lieferanten-Assessments, Backup- und Restore-Test-Protokolle, Penetrationstest-Berichte.
tablegray erstellt für Mandanten einen strukturierten „Audit-Ready-Ordner" — eine dokumentierte Zusammenstellung aller Nachweise, die bei einer Behördenkontrolle vorgelegt werden können. Ähnlich wie beim Barrierefreiheits-Compliance (BaFG/BFSG-Leitfaden) gilt: Wer nachweist, dass er aktiv an Compliance arbeitet und bekannte Lücken priorisiert adressiert, steht bei Behörden besser da als jemand, der keine Dokumentation hat.
Sektor, Mitarbeiterzahl, Umsatz, Lieferketten-Position — der Quick-Check zeigt Ihnen in 15 Fragen, ob Sie direkt oder indirekt betroffen sind und welche Massnahmen Priorität haben.
Kostenlos. Kein Verkauf. Die Grundlage für unser Erstgespräch.
§ 38 NISG 2024 ermöglicht es Behörden, GF-Mitglieder, die für die Einhaltung der Pflichten verantwortlich sind, direkt mit Bußgeldern zu belegen. „Verantwortlich" heisst: aktive Mitverantwortung, nicht nur formale Zuständigkeit. Der Nachweis, dass die GF-Massnahmen aktiv genehmigt und überwacht hat, ist die beste Schutzwehr — und genau das, was GF-Beschlüsse und Meeting-Protokolle dokumentieren.
Ein Vorfall gilt als erheblich, wenn er erhebliche Auswirkungen auf die Erbringung der Dienste hat (z.B. Ausfall kritischer Systeme für mehr als eine bestimmte Zeit), oder wenn er erhebliche finanzielle Verluste verursacht, oder wenn andere Organisationen betroffen sind. Die genauen Schwellenwerte werden durch Durchführungsrechtsakte der EU-Kommission weiter präzisiert. Im Zweifel: Melden ist sicherer als Nicht-Melden.
Ja. Ein Hersteller von Industrie-4.0-Software für den Energiesektor kann gleichzeitig als wesentliche Einrichtung (NIS-2) und als Hersteller eines Produkts mit digitalen Elementen (CRA) eingestuft sein. Die gute Nachricht: viele Massnahmen überlappen — Vulnerability Management, Incident Response, Dokumentation. Ein integrierter Compliance-Ansatz ist effizienter als zwei separate Projekte.
In der Praxis dominieren vier Lücken: (1) Kein oder unvollständiges Risikomanagement-System. (2) MFA nicht flächendeckend umgesetzt — oft gut bei VPN, aber fehlend bei E-Mail und Admin-Tools. (3) Kein dokumentierter und getesteter Incident-Response-Plan. (4) Keine formalen GF-Beschlüsse zu Cybersicherheitsmassnahmen. Diese vier Punkte sind der Einstieg jedes NIS-2-Projekts bei tablegray.
Für ein KMU mit grundlegender IT-Infrastruktur und keinem vorhandenen ISMS: typischerweise 10–16 Wochen für Betroffenheits-Analyse, Risikomanagement-System, Policy-Entwicklung, MFA-Rollout, Backup-Validierung, Schulungen und GF-Genehmigung. Mit vorhandenem ISO-27001-ISMS: 4–8 Wochen für die NIS-2-Adaption. Der Zeitplan hängt stark von der internen Mitwirkung und der Komplexität der IT-Umgebung ab.
Für die meisten Sektoren ist das Bundesministerium für Inneres (BMI) die zuständige Behörde. Für spezifische Sektoren wie Energie (E-Control), Finanzmarkt (FMA) und Telekommunikation (RTR) sind Sektorbehörden zuständig. CERT.at fungiert als nationales Cyber-Emergency-Response-Team und ist Empfänger der Frühwarnmeldungen. Die genauen Zuständigkeiten sind im NISG 2024 geregelt.
Beide setzen die NIS-2-Richtlinie um und haben materiell ähnliche Anforderungen. Unterschiede bestehen bei Behördenstrukturen (BMI/RTR in AT vs. BSI/BNetzA in DE), bei bestimmten Schwellenwerten und bei nationalen Besonderheiten. Für Unternehmen, die in beiden Ländern tätig sind, empfiehlt tablegray einen gemeinsamen Compliance-Rahmen, der beiden Gesetzen genügt.
Vom Betroffenheits-Check über das Risikomanagement-System bis zum GF-Beschluss und MFA-Rollout — tablegray begleitet Sie durch den gesamten Compliance-Prozess. Recht und Technik unter einem Dach. Buchen Sie das Erstgespräch unter /erstgespraech.html.