Inhaltsverzeichnis
Ein IT-Dienstleister mit 40 Mitarbeitenden in Wien, der Ende 2024 zum ersten Mal den Begriff „NIS-2“ im Newsletter seines Steuerberaters liest – das ist keine Randerscheinung. Vielen österreichischen KMU geht es gerade so. Und die meisten Suchergebnisse helfen wenig, weil sie entweder das deutsche BSI-Gesetz erklären oder in EU-Amtsdeutsch verfasst sind.
NIS-2 ist in Österreich durch das NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) umgesetzt. Zuständige Behörde ist nicht das BSI, sondern die RTR (Rundfunk und Telekom Regulierungs-GmbH). Das macht einen konkreten Unterschied – etwa bei der Registrierungspflicht und den Meldefristen.
Dieser Artikel beantwortet die drei Fragen, die österreichische KMU wirklich beschäftigen: Bin ich überhaupt betroffen? Was muss ich konkret umsetzen? Und was kostet das realistisch? NIS-2 ist dabei nicht die einzige EU-Compliance-Pflicht, die 2025 relevant wird – auch zu Cookie-Bannern und TKG 2021 gibt es für viele Unternehmen Handlungsbedarf.
Was ist NIS-2 – und was hat das mit Ihrem Betrieb zu tun?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Regelung zur Cybersicherheit kritischer und wichtiger Einrichtungen. Die ursprüngliche Umsetzungsfrist für die EU-Mitgliedstaaten war Oktober 2024.
Österreich hat die Richtlinie mit dem NISG 2024 in nationales Recht überführt, das seit Januar 2025 in Kraft ist. In Deutschland läuft die Umsetzung über das NIS2UmsuCG, das zum Zeitpunkt der Drucklegung dieses Artikels noch nicht final verabschiedet war – dort bleibt die Behörde das BSI. Wer also deutschsprachige Quellen googelt, findet häufig Informationen, die für den österreichischen Rechtsrahmen nur bedingt oder gar nicht gelten.
Der entscheidende Unterschied zu NIS-1: Der Anwendungsbereich wurde erheblich ausgeweitet. Mehr Sektoren, niedrigere Schwellenwerte, strengere Pflichten. NIS-2 ist ausdrücklich kein reines Großkonzern-Thema. Mittlere Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz können in bestimmten Sektoren direkt erfasst sein – dazu gleich mehr.
Bin ich betroffen? So prüfen Sie Ihre Betroffenheit in 3 Schritten
Schritt 1 – Sektorzugehörigkeit prüfen
NIS-2 unterscheidet zwischen wesentlichen Einrichtungen (Sektor A) und wichtigen Einrichtungen (Sektor B). Die Unterscheidung bestimmt, wie streng die Aufsicht ist und wie hoch die maximalen Bußgelder ausfallen.
| Kategorie | Beispiel-Sektoren |
|---|---|
| Wesentliche Einrichtungen (A) | Energie, Trinkwasser, Gesundheit, digitale Infrastruktur, Bankwesen, Verkehr |
| Wichtige Einrichtungen (B) | IT-Dienstleister / MSP, Cloud-Anbieter, Post- und Kurierdienste, Lebensmittelversorgung, Abfallwirtschaft, Chemie, Forschung |
Für KMU besonders relevant: Managed Service Provider (MSP), IT-Dienstleister und Cloud-Anbieter fallen explizit unter NIS-2 – auch wenn sie selbst keine kritische Infrastruktur betreiben, sondern für Kunden tätig sind, die es tun.
Ein Gegenbeispiel: Eine Steuerberatungskanzlei mit 60 Mitarbeitenden fällt nicht direkt unter NIS-2. Aber wenn ein Kanzlei-Dienstleister wie ein Cloud-Softwareanbieter unter NIS-2 fällt, können dessen Lieferkettenpflichten indirekt Anforderungen an die Kanzlei stellen. Mehr dazu weiter unten im Abschnitt zu Supply-Chain-Sicherheit.
Schritt 2 – Größenschwellen prüfen
Die Sektorzugehörigkeit allein reicht nicht. Entscheidend ist auch die Unternehmensgröße:
- ≥ 250 Mitarbeitende ODER
- ≥ 50 Mio. € Jahresumsatz UND ≥ 43 Mio. € Bilanzsumme
- 50–249 Mitarbeitende ODER
- 10–49 Mio. € Jahresumsatz (in bestimmten Sektoren)
Wichtige Ausnahme: Einrichtungen, die als kritische Infrastruktur eingestuft werden, können auch bei Unterschreiten der Schwellenwerte erfasst sein. Das betrifft etwa bestimmte Energieversorger oder Wasserversorgungsunternehmen unabhängig von ihrer Größe.
Schritt 3 – Registrierungspflicht bei der RTR
Betroffene Unternehmen müssen sich im RTR-Portal registrieren. Diese Pflicht gilt unabhängig davon, ob Sie bereits anderweitig mit der Behörde zu tun hatten.
Die Registrierung ist nicht optional: Bei Nicht-Registrierung oder verspäteter Meldung drohen Bußgelder von bis zu 10 Millionen Euro (wesentliche Einrichtungen) bzw. 7 Millionen Euro (wichtige Einrichtungen) – oder alternativ 2 % bzw. 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Informationen zur Registrierung finden Sie auf cybersicherheit.gv.at und im RTR-Portal. Bei Unklarheiten zur Betroffenheit bietet die RTR auch direkte Auskunft an.
Die NIS-2 Pflichten im Überblick – was konkret umzusetzen ist
Artikel 21 der NIS-2-Richtlinie, umgesetzt im NISG 2024, definiert 10 Mindestmaßnahmen. Hier sind alle 10 – mit konkretem Bezug auf den KMU-Alltag:
1. Risikoanalyse und Sicherheitskonzept Sie brauchen ein dokumentiertes Verfahren, das identifiziert, welche IT-Systeme kritisch sind und welche Risiken bestehen. Für ein KMU bedeutet das in der Praxis: ein strukturiertes Dokument, kein 100-seitiges ISMS-Manual.
2. Incident Response (Reaktion auf Sicherheitsvorfälle) Ihr Unternehmen muss definierte Prozesse haben, wie im Falle eines Cyberangriffs oder Systemausfalls reagiert wird. Wer ist verantwortlich? Wer wird wann informiert? Diese Abläufe müssen schriftlich festgehalten sein.
3. Business Continuity und Backup-Management Notfallpläne für den Fall eines längeren Systemausfalls, regelmäßige Backups mit nachgewiesener Wiederherstellbarkeit. Viele KMU haben Backups – aber kein dokumentiertes Wiederherstellungskonzept. Genau das ist der Unterschied.
4. Supply-Chain-Sicherheit (Lieferantenbewertung) Sie müssen sicherstellen, dass auch Ihre Dienstleister – Software-Anbieter, Cloud-Provider, externe IT-Betreuer – angemessene Sicherheitsstandards einhalten. Das geht über einen einfachen Datenschutz-Vertrag hinaus.
5. Sicherheit bei Beschaffung und Entwicklung Neue Software oder Hardware muss mit Blick auf Sicherheitsanforderungen ausgewählt werden. Patch-Management und Update-Prozesse müssen geregelt sein.
6. Wirksamkeitsbewertung und Audits Die getroffenen Maßnahmen müssen regelmäßig auf ihre Wirksamkeit überprüft werden. Das kann intern durch dokumentierte Reviews oder extern durch IT-Sicherheitsaudits erfolgen.
7. Cyberhygiene und Schulungen Mitarbeitende müssen regelmäßig zu Cybersicherheitsthemen geschult werden – Phishing-Erkennung, sichere Passwörter, Umgang mit verdächtigen E-Mails. Einmalige Schulungen genügen nicht.
8. Kryptografie und Verschlüsselung Sensible Daten müssen verschlüsselt übertragen und gespeichert werden. Für die meisten KMU bedeutet das: verschlüsselte E-Mail-Kommunikation wo nötig, HTTPS auf allen Systemen, verschlüsselte Laptops.
9. Personalsicherheit und Zugriffskontrollen Nur berechtigte Personen dürfen auf kritische Systeme zugreifen. Rollenbasierte Rechtevergabe, Offboarding-Prozesse für ausgeschiedene Mitarbeitende, Zugriffsprotokolle – all das fällt in diese Kategorie.
10. Multi-Faktor-Authentifizierung (MFA) MFA ist für den Zugang zu kritischen Systemen verpflichtend. Das gilt besonders für Remote-Zugänge, E-Mail-Systeme und Administrations-Oberflächen. Viele Microsoft-365-Installationen sind hier noch nicht vollständig konfiguriert.
Eine Praxis-Note: Nicht alle 10 Maßnahmen sind für jedes KMU gleich aufwändig. Wer bereits strukturierte IT-Prozesse hat, wird bei Punkt 7 und 10 schnell fertig. Wer noch keine dokumentierten Notfallpläne hat, braucht mehr Zeit für Punkt 3. Die sinnvolle Reihenfolge hängt vom aktuellen Reifegrad ab – nicht von der Nummerierung.
Meldepflichten bei Sicherheitsvorfällen – was, wann, wie?
NIS-2 schreibt ein 3-Stufen-Meldemodell vor, wenn ein erheblicher Sicherheitsvorfall eintritt:
| Stufe | Frist | Inhalt |
|---|---|---|
| Frühwarnung | Innerhalb 24 Stunden | Kurze Erstinformation: Vorfall bekannt, Art noch unklar |
| Erstmeldung | Innerhalb 72 Stunden | Vorläufige Bewertung, Ausmaß, wahrscheinliche Ursache |
| Abschlussbericht | Innerhalb 1 Monat | Vollständige Analyse, getroffene Maßnahmen, Schlussfolgerungen |
Wann ist ein Vorfall überhaupt meldepflichtig? Das NISG 2024 spricht von einer „erheblichen Auswirkung“ auf die erbrachten Dienste. Ransomware-Angriffe, die Systeme für mehrere Stunden oder Tage unbrauchbar machen, fallen klar darunter. Kurze, lokal begrenzte Ausfälle ohne Auswirkung auf Kundendienste müssen dagegen nicht gemeldet werden.
Konkretes Beispiel: Ein IT-Dienstleister mit 60 Mitarbeitenden bemerkt am Dienstagmorgen, dass ein Ransomware-Angriff drei Server verschlüsselt hat und mehrere Kundensysteme nicht erreichbar sind. Die Frühwarnung muss bis Mittwochmorgen an die RTR (über cert.at oder das RTR-Portal) übermittelt sein – unabhängig davon, ob der Angriff zu diesem Zeitpunkt schon vollständig analysiert ist.
Ein wichtiger Hinweis: Die Meldung an die RTR ist nicht dasselbe wie eine öffentliche Bekanntmachung. Die Behördenmeldung ist vertraulich. Die Kommunikation mit betroffenen Kunden ist eine separate Entscheidung – und wenn dabei personenbezogene Daten betroffen sind, kommen zusätzlich DSGVO-Meldepflichten ins Spiel. Wer bereits DSGVO-Prozesse für den Umgang mit Datenpannen definiert hat, kann diese als Ausgangspunkt für die NIS-2-Meldeprozesse nutzen.
Die Checkliste – NIS-2 Umsetzung Schritt für Schritt
Die folgende Checkliste gibt eine strukturierte Orientierung. Sie ersetzt keine Rechtsberatung, hilft aber, den Überblick zu behalten. Arbeiten Sie die Phasen der Reihe nach ab.
Phase 1 – Sofortmaßnahmen (0–4 Wochen)
| Aufgabe | Status |
|---|---|
| Betroffenheitscheck: Sektor + Größenschwelle prüfen | ☐ Offen |
| RTR-Registrierung einleiten (falls betroffen) | ☐ Offen |
| Ist-Stand der IT-Sicherheit erheben (intern oder mit externem Audit) | ☐ Offen |
| Verantwortliche Person für NIS-2-Umsetzung intern benennen | ☐ Offen |
| Überblick über aktuelle Dienstleister und ihre Sicherheitsstandards | ☐ Offen |
Phase 2 – Strukturmaßnahmen (1–3 Monate)
| Aufgabe | Status |
|---|---|
| Risikoanalyse dokumentieren | ☐ Offen |
| Meldeprozess für Sicherheitsvorfälle definieren und schriftlich festhalten | ☐ Offen |
| MFA für alle kritischen Systeme und Remote-Zugänge einführen | ☐ Offen |
| Backup-Konzept überprüfen – inkl. dokumentierter Wiederherstellungstests | ☐ Offen |
| Zugriffsrechte nach Rollen strukturieren und Offboarding-Prozess prüfen | ☐ Offen |
| Verschlüsselung sensibler Systeme und Daten sicherstellen | ☐ Offen |
| Erste Mitarbeiterschulung zu Cyberhygiene durchführen | ☐ Offen |
Phase 3 – Laufende Compliance (ab Monat 4)
| Aufgabe | Status |
|---|---|
| Jährliche Wirksamkeitsprüfung der Maßnahmen | ☐ Offen |
| Regelmäßige Mitarbeiterschulungen (min. 1x jährlich) | ☐ Offen |
| Lieferantenbewertung aktuell halten | ☐ Offen |
| Sicherheitskonzept bei wesentlichen Systemänderungen aktualisieren | ☐ Offen |
| Audit oder Penetrationstest (intern oder extern) | ☐ Offen |
Was kostet NIS-2-Compliance für ein österreichisches KMU realistisch?
Das ist die Frage, die in den meisten Artikeln ausgespart wird. Hier eine ehrliche Einschätzung – ohne Beschönigung, aber auch ohne übertriebene Horrorzahlen.
Die wichtigsten Kostentreiber:
- Interne Personalstunden: Projektleitung, IT-Administration, Dokumentation. Der größte versteckte Kostenfaktor.
- Externes IT-Sicherheitsaudit: Je nach Umfang ca. 3.000–10.000 € für ein KMU. Liefert die Grundlage für alle weiteren Maßnahmen.
- Technische Maßnahmen: MFA ist oft in bestehenden Lizenzpaketen (z. B. Microsoft 365 Business Premium) enthalten. EDR-Lösungen (Endpoint Detection & Response) kosten je nach Anbieter 5–15 € pro Gerät und Monat. Eine SIEM-Lösung für kleinere Umgebungen liegt bei 300–800 € monatlich.
- Mitarbeiterschulungen: Externe Präsenzschulungen kosten 200–600 € pro Person. E-Learning-Plattformen für KMU liegen bei 20–80 € pro Mitarbeitenden und Jahr.
Grobe Orientierungswerte nach Unternehmensgröße:
| Unternehmensgröße | Geschätzter Erstaufwand |
|---|---|
| 10–50 Mitarbeitende | 5.000–25.000 € |
| 50–250 Mitarbeitende | 20.000–80.000 € |
Diese Werte sind Richtwerte, keine Garantien. Der tatsächliche Aufwand hängt stark vom aktuellen Reifegrad ab.
Wichtige Relativierung: Wer bereits ein ISO-27001-zertifiziertes ISMS oder dokumentierte IT-Sicherheitsprozesse betreibt, hat deutlich geringeren Zusatzaufwand – oft reicht eine Gap-Analyse und gezielte Ergänzung bestehender Dokumente.
Zur Einordnung: Laut WKO-Daten lagen die durchschnittlichen Kosten eines Cyberangriffs auf ein österreichisches KMU zuletzt im fünfstelligen bis niedrigen sechsstelligen Bereich – ohne Reputationsschäden und Kundenverlust eingerechnet. NIS-2-Compliance ist damit nicht nur eine Pflicht, sondern in vielen Fällen auch eine Risikoabsicherung.
NIS-2 in Österreich vs. Deutschland – die wichtigsten Unterschiede
Weil ein Großteil der deutschsprachigen Suchergebnisse auf deutsche Quellen verweist, hier eine klare Abgrenzung:
| Aspekt | Österreich | Deutschland |
|---|---|---|
| Nationales Gesetz | NISG 2024 | NIS2UmsuCG (noch in Umsetzung) |
| Status | In Kraft seit Januar 2025 | Noch nicht final verabschiedet |
| Zuständige Behörde | RTR | BSI |
| Registrierungspflicht | Aktiv, über RTR-Portal | Noch nicht operativ |
Für Unternehmen mit Standorten in beiden Ländern kann eine doppelte Registrierungspflicht entstehen – jeweils nach nationalem Recht des betreffenden Landes.
Auch ohne eigenen deutschen Standort relevant: Wenn Ihr österreichisches Unternehmen als Lieferant für ein deutsches Unternehmen tätig ist, das unter NIS-2 fällt, können dessen Supply-Chain-Anforderungen an Sie weitergegeben werden. Das ist keine theoretische Gefahr – immer mehr deutsche Auftraggeber integrieren entsprechende Klauseln in ihre Lieferantenverträge.
Die Kernbotschaft: Wer für seinen NIS-2-Überblick primär auf deutsche Quellen setzt, arbeitet möglicherweise mit falschen Fristen, falschen Behörden und einem anderen Rechtsrahmen.
Praxis-Tipp – Wo KI und Digitalisierung bei der NIS-2-Umsetzung helfen können
NIS-2-Compliance ist kein reines Papierprojekt mehr. Verschiedene digitale Werkzeuge können den Aufwand reduzieren – wenn man sie richtig einsetzt.
KI-gestützte Risikoanalyse: Einige Plattformen unterstützen dabei, IT-Assets zu inventarisieren und Risikobewertungen zu strukturieren. Das ersetzt keine fachkundige Einschätzung, beschleunigt aber die Erhebungsphase.
Automatisierte Anomalie-Erkennung: SIEM- und XDR-Lösungen (Extended Detection & Response) erfassen auffällige Aktivitäten in Echtzeit. Das ist nicht nur eine NIS-2-Anforderung (Wirksamkeitsbewertung, Incident Response), sondern auch praktisch: Vorfälle werden früher erkannt.
Digitale Dokumentations-Workflows: Statt Excel-Tabellen können No-Code-Tools wie n8n oder spezialisierte GRC-Plattformen (Governance, Risk, Compliance) helfen, Richtlinien, Schulungsnachweise und Auditprotokolle strukturiert zu verwalten.
Ehrliche Einschätzung: KI löst NIS-2-Compliance nicht automatisch. Sie kann Dokumentations- und Überwachungsaufwand reduzieren – aber die inhaltliche Bewertung von Risiken und die Entscheidung über Maßnahmen bleiben menschliche Aufgaben.
Ein relevanter Hinweis für Unternehmen, die selbst KI-Systeme einsetzen oder anbieten: Solche Systeme können unter NIS-2 als kritische oder wichtige IT-Systeme eingestuft werden. Gleichzeitig bringt der EU AI Act für KMU eigene Compliance-Pflichten mit sich – beide Regelwerke sollten gemeinsam betrachtet werden, um Doppelarbeit zu vermeiden und Synergien zu nutzen.
Nächste Schritte – Wo anfangen, wenn Sie Ihrer NIS-2-Compliance noch nicht sicher sind
Die drei wichtigsten Sofortmaßnahmen lauten: Betroffenheitscheck durchführen, RTR-Registrierung einleiten (falls betroffen) und den aktuellen IT-Sicherheitsstand erheben. Alles andere baut darauf auf.
Für viele KMU ist externe Begleitung beim ersten Durchlauf sinnvoll – nicht weil das Gesetz unlesbar wäre, sondern weil die Priorisierung der Maßnahmen im laufenden Betrieb erfahrungsgemäß der größte Stolperstein ist. Welche der 10 Pflichtmaßnahmen hat bei Ihrem konkreten Reifegrad Vorrang? Welche Lücken sind tatsächlich kritisch, welche können in Phase 3? Diese Einschätzung kostet Zeit – und die meisten KMU-Teams haben sie nicht.
Wenn Sie unsicher sind, ob Ihr Unternehmen überhaupt betroffen ist, oder wissen möchten, welche der 10 Maßnahmen in Ihrem Fall Priorität haben sollten: In einem kostenlosen 30-Minuten-Beratungsgespräch klären wir gemeinsam Ihren NIS-2-Status und die nächsten sinnvollen Schritte – ohne Verkaufsgespräch, ohne Verpflichtung.