NIS-2 · NISG 2024 · Lieferketten-Nachweise

Der rechtliche und technische
Weg zur NIS-2-Konformität.

Sie haben einen Brief vom Großkunden bekommen: „NIS-2-Nachweis bis Q3 2026." tablegray kombiniert juristische Expertise (Policies, GF-Beschlüsse, Dokumentation) mit technischer Umsetzung (MFA, Logging, Backup, Lieferanten-Assessments). In zehn Wochen audit-bereit.

Erstgespräch NIS-2 → NIS-2-Quick-Check (PDF)

Sichere Lieferkettenzertifizierung. Keine Empfehlungen — Implementierung.

NISG-Geltung: seit 2025 in Österreich
Lieferketten-Druck: aktuelle Praxis Q3 2026
Max. Bußgeld (wesentlich): 10 Mio. € / 2 % Umsatz
GF-Haftung: persönlich

01 · Leistungen

Drei Bausteine, in denen Recht und Technik gleichzeitig greifen müssen.

NIS-2-Betroffenheits-Analyse

Sind Sie direkt betroffen (Sektor + Größe), oder indirekt als Lieferant? Wir gehen Ihre Kundenliste, Verträge und Sektoreinordnung durch und erstellen einen Schritt-für-Schritt-Bericht für Geschäftsführung und Großkunden.

Selbst-Check starten →

Risikomanagement & Policies

Dokumentiertes Risikomanagement-System nach Art. 21 NISG. Policies für Incidents, Zugang, Kryptographie, Backup, Business Continuity. GF-Beschluss mit persönlicher Genehmigung der Geschäftsführung.

Policy-Sprint anfragen →

Technik & Lieferanten-Audit

Implementierung von MFA, Verschlüsselung, Logging, Monitoring. Lieferanten- Risiko-Assessments. Audit-Ready-Dokumentation für externe Kontrollen und Großkunden-Anfragen.

Audit-Begleitung anfragen →

18Sektoren direkt betroffen

24 / 72 / 30Frühwarnung / Meldung / Schlussbericht (in Stunden bzw. Tagen)

10 Mio. €Max. Bußgeld wesentliche Einrichtungen

persönlichGF-Haftung — nicht delegierbar

02 · Stimme aus der Praxis

„Im Januar bekamen wir einen Brief von unserem Großkunden: ‚NIS-2-Nachweis bis Juni 2026.‘ Schock. Wir hatten kaum Struktur. tablegray hat in zehn Wochen Risikomanagement, Policies, MFA-Rollout, Backup-Konzept und Lieferanten-Assessments aufgesetzt. Wir konnten den Nachweis unterschreiben.” Robert König, IT-Leiter Maschinenbau-KMU, 250 Mitarbeitende

03 · Pflichten und Themen

Acht NIS-2-Themen — was wir bei jedem Mandat anschauen.

001Betroffenheit prüfen (direkt / indirekt)Schritt 1
002Risikomanagement-System nach Art. 21priorisiert
003Lieferanten-Risiken managenlaufend
004Incident-Response (24 h / 72 h / 1 Monat)Pflicht
005MFA & Verschlüsselung kritischer Systemetechnisch
006Cyber-Hygiene-Schulungen (jährlich)Pflicht
007Backup & Business-Continuity-PlanPflicht
008GF-Genehmigung & Audit-Trailpersönliche Haftung

04 · Selbst-Check vor dem Gespräch

Sind Sie betroffen? In fünf Minuten Klarheit.

Sektor, Mitarbeiterzahl, Lieferanten-Status, technische Maßnahmen, GF-Alignment. Der Quick-Check zeigt in 15 Fragen, wo Sie stehen — und welche drei Schritte in den nächsten 90 Tagen Priorität haben.

NIS-2-Quick-Check 2026v1.0

NIS-2-Quick-Check für KMU

15 Fragen10 SeitenPDF

Direkte und indirekte Betroffenheit klären
Kritische Lücken identifizieren (Risikomanagement, MFA, Incident, Lieferketten)
Prioritäten-Liste für die nächsten 90 Tage
Aufwands-Orientierung intern vs. extern
Anonym ausfüllbar — keine Registrierung erforderlich

PDF anfordern →

05 · Häufige Fragen

Was Geschäftsführungen und IT-Leiter zur NIS-2 zuerst fragen.

Was ist der Unterschied zwischen NIS-2 und NISG?

NIS-2 ist die EU-Richtlinie (Richtlinie (EU) 2022/2555). NISG 2024 ist die österreichische nationale Umsetzung. Für Unternehmen mit Sitz in Österreich ist NISG die relevante Rechtsgrundlage.

Bin ich als KMU (< 250 MA, < 50 Mio. €) von NIS-2 betroffen?

Direkt betroffen sind Sie, wenn Sie in einem der 18 Sektoren tätig sind UND die Schwellwerte erfüllen. Indirekt sind Sie meist betroffen, wenn Sie Lieferant einer wesentlichen/wichtigen Einrichtung sind — die Großkunden müssen Sie regelmäßig bewerten.

Welche Strafen drohen bei Nicht-Umsetzung?

Wesentliche Einrichtungen: bis 10 Mio. € oder 2 % Jahresumsatz. Wichtige Einrichtungen: bis 7 Mio. € oder 1,4 %. Plus persönliche GF-Haftung. Indirekt betroffene Lieferanten riskieren einen Vertragsbruch mit dem Großkunden.

Wie lange dauert die Implementierung?

Ein KMU mit grundlegender IT braucht typischerweise 8–16 Wochen für Betroffenheits-Analyse, Policy-Entwicklung, MFA-Rollout, Backup-Validierung, Schulungen und GF-Genehmigung.

Kann ich NIS-2 selbst umsetzen?

Die juristische Seite (Policies, Risikoanalyse, GF-Beschlüsse, Dokumentation) erfordert fast immer externe Expertise. Die technische Umsetzung können Sie intern durchführen, wenn Sie IT-Know-how haben — externe Begleitung beschleunigt aber den Prozess deutlich.

Wie bereite ich mich auf eine Behörden-Kontrolle vor?

Eine Kontrolle prüft: Dokumentation des RM-Systems, Policies, GF-Genehmigungen, Incident-Reports, technische Maßnahmen (MFA, Backup, Encryption), Lieferanten-Assessments, Schulungs-Nachweise. tablegray erstellt einen Audit-Ready-Ordner.

06 · Erstgespräch

Bereit für NIS-2-Konformität?
Erste Bestandsaufnahme in 20 Minuten.

Sagen Sie uns, was Ihr Großkunde fordert und welche Frist im Brief steht. Wir antworten ehrlich, ob das in der Zeit machbar ist und was es kostet.

Termin online buchen → oder Per E-Mail anfragen oder +43 664 144 96 56

Der rechtliche und technische Weg zur NIS-2-Konformität.