Wissen & News

NIS2-Richtlinie: Was Unternehmen über Cyber Security wissen müssen

8. April 2026

Cyber Security

In vielen Unternehmen wird Cyber Security noch immer als eine technische Aufgabe verstanden, als etwas, für das primär die IT-Abteilung zuständig ist. Gleichzeitig steigt die Abhängigkeit von digitalen Systemen, externen Dienstleistern und vernetzten Prozessen von Jahr zu Jahr. Hinzu kommt, dass Cyberangriffe professioneller und durch den zunehmenden Einsatz von KI auch komplexer werden.

Mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), der österreichischen Umsetzung der NIS2-Richtlinie, werden Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen geltend gemacht. Ab 1. Oktober 2026 müssen Unternehmen, die in den Geltungsbereich fallen, nachweisen, dass sie Cyber Security strukturiert, dokumentiert und dauerhaft betreiben. Für viele ist das mehr als eine technische Herausforderung. Es ist ein organisatorischer Wandel erforderlich, der bestehende Strukturen hinterfragt und verändert.

Doch bevor man über Umsetzungsschritte spricht, lohnt sich ein Blick auf die Anforderungen und die Entwicklung.

Was ist NIS2 und warum gibt es sie?

Die NIS-Richtlinie (Netz- und Informationssicherheit) wurde 2016 eingeführt, um die Cyber Security kritischer Infrastrukturen in der EU zu harmonisieren. Sie war der erste Versuch, europaweit Mindeststandards für Cyber Security festzulegen. Mit den Jahren zeigte sich jedoch, dass der Anwendungsbereich zu eng gefasst war. Die Bedrohungslage hat sich verändert und dich Richtlinie schlicht überholt. Hackerangriffe wurden raffinierter, Unternehmen immer abhängiger voneinander und Lieferketten verwobener.

Die EU reagierte darauf. 2022 überarbeitete sie die Richtlinie grundlegend und erweiterte sie zur heutigen NIS2. Diese soll den regulatorischen Unterschieden entgegenwirken und den Interpretationsraum einschränken.

NIS2 ist seit Januar 2023 EU-weit in Kraft und verpflichtet alle EU-Mitgliedstaaten, die Richtlinie in nationales Recht zu überführen. Alle Länder mussten diese Umsetzung spätestens bis zum 17. Oktober 2024 abschließen, aber die Mehrheit der Mitgliedstaaten hat diese Frist verfehlt. Die Umsetzung in Österreich erfolgt mit dem NISG 2026.

Die europäischen Mindeststandards gelten überall, die Details unterscheiden sich aber je nach Land leicht. Für international tätige Organisationen bedeutet das, dass sie die europäischen Mindestanforderungen einhalten und gleichzeitig nationale Besonderheiten berücksichtigen müssen.

Was ändert sich mit NIS2 und dem NISG 2026?

Die NIS2 ist keine weitere Sicherheitsrichtlinie, sondern eine eindeutige Ausweitung und Schärfung der bisherigen Vorgaben:

Größerer Geltungsbereich

NIS2 betrifft weit mehr Unternehmen als ihre Vorgängerin. Dazu gehören nicht nur klassische kritische Infrastrukturen wie Energie, Gesundheit oder Verkehr, sondern auch Organisationen, die aufgrund ihrer Größe oder Branchenzugehörigkeit als grundlegend bedeutend eingestuft werden. Das Ziel besteht darin, Sektoren und Dienste einzubeziehen, die für gesellschaftliche und ökonomische Stabilität im Binnenmarkt besonders relevant sind.

Größerer Geltungsbereich
Pflichten statt Empfehlungen

Sicherheitsmaßnahmen müssen nicht nur eingeführt, sondern nachweislich gelebt werden. Es muss ein Regelwerk geschaffen werden – ein sogenanntes ISMS (Information Security Management System) –, das die Einhaltung der Sicherheitsvorkehrungen gewährleistet. Dokumentation und Auditierbarkeit werden damit zentrale Anforderungen. Ein ISMS nach ISO 27001 ist dabei ein anerkanntes Framework, um die geforderten Risikomanagement-Maßnahmen, die Meldepflichten bei Sicherheitsvorfälle und Sicherheitsstandards strukturiert zu erfüllen.

Pflichten statt Empfehlungen
Risikomanagement als Kernprinzip

NIS2 macht konkrete Vorgaben dazu, welche technischen und methodischen Anforderungen Risikomanagement-Maßnahmen erfüllen müssen und wie sie implementiert werden sollten. Sie verlangt systematische Risikoanalysen, gezieltes Management von Schwachstellen und ein verlässliches Sicherheitskonzept.

Durch die gesetzten Risikomaßnahmen sollen Cyberangriffe verhindert oder deren Ausmaß möglichst geringgehalten werden. Eine proaktive Erkennung potenzieller Risiken ist die Basis und der Ausgangspunkt für die gesamte Umsetzung der NIS2.

Risikomanagement als Kernprinzip
Fokus auf Supply Chain Management

Die meisten Unternehmen arbeiten mit Dutzenden externen Anbietern, von Hardware, Software, Netzwerken, Strombetreibern und Rechenzentren. Ein unsicherer Lieferant kann die Stabilität der gesamten Organisation gefährden. Folglich müssen auch Zulieferer für kritische Infrastrukturen in Betracht gezogen werden, um NIS2 konform zu sein.

NIS2 legt auf diese Abhängigkeiten einen zentralen Fokus. Die Sicherheit von IT-Dienstleistern und externen Partnern muss bewertet und dokumentiert werden

Wie komplex das in der Praxis ist, zeigt ein Projekt, das unser Experte begleitete: Allein die Identifikation aller beteiligten Dienstleister waren mehrere umfangreiche Arbeitspakete. Oft wissen Unternehmen gar nicht, wie viele Systeme und Partner Teil ihrer Kernprozesse sind, bis sie ein Sicherheitsprojekt dazu zwingt, diese Transparenz herzustellen.

Fokus auf Supply Chain Management
Verantwortung im Management

Leitorgane tragen eine explizite Verantwortung. Die Richtlinie verpflichtet die Führungsebene, Cyber Security aktiv durchzusetzen und deren Umsetzung nachweislich sicherzustellen. Dazu gehören klar definierte Rollen, Eskalationswege und die Schulung von Mitarbeitenden. Die Geschäftsleitung ist also dafür zuständig, dass Risikomanagement-Maßnahmen eingehalten und Mitarbeitende entsprechend geschult werden. Zudem müssen sie auch selbst an Cyber Security -Schulungen teilnehmen.

Nichteinhaltung und grobe Fahrlässigkeit können sogar dazu führen, dass die Geschäftsführung persönlich haftet. Die Verantwortung kann nicht auf das Personal oder externe Dienstleister delegiert werden. Zusätzlich zur persönlichen Haftung drohen dem Unternehmen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

Verantwortung im Management

Wer ist betroffen?

Für kritische Infrastrukturen wie Energie, Verkehr, Wasser, Gesundheitswesen oder öffentliche Verwaltung hat Cyber Security eine besonders hohe Relevanz. Sicherheitslücken können hier zu gesellschaftlichen Ausnahmezuständen führen. Wenn ein Stromnetz ausfällt, ein Windpark stillsteht oder der Zugverkehr stoppt, betrifft das nicht nur ein einzelnes Unternehmen, sondern ganze Regionen.

Doch auch bei Organisationen, die nicht offiziell zur kritischen Infrastruktur zählen, greift die NIS2. Viele sind Zulieferer oder Dienstleister für jene Systeme, die als kritisch definiert sind. Eine Schwachstelle bei einem kleineren Unternehmen kann dadurch genauso große Auswirkungen haben. Cyber Security geht über das firmeninterne Sicherheitssystem hinaus und ist immer Teil eines größeren Netzes.

Cyber Security basiert auf drei Ebenen

Unser Cyber Security-Experte Mag. Walter Sedlacek, MSc, MBA beschreibt Cyber Security entlang von drei Ebenen: Technologie, Prozesse und Organisation. Eine tragfähige Sicherheitsarchitektur kann nur entstehen, wenn alle drei Ebenen berücksichtigt werden. Oft wird der Fokus zu sehr auf die technische Ebene gelegt und die Bedeutung der beiden anderen Ebenen unterschätzt. Die Erfahrung aus der Praxis zeigt jedoch, dass das Sicherheitsniveau speziell auf der Prozess- und Organisationsebene nicht hoch genug ist und Unternehmen dadurch in ernsthafte Schwierigkeiten geraten.

1. Technologie

Firewalls, Verschlüsselung, Authentifizierung und Monitoring sind unverzichtbar. Sie bilden die Basis. Doch Schutz auf technologischer Ebene allein reicht nicht. Denn Technologie schützt nur dort, wo sie eingesetzt wird. Eine moderne Sicherheitsarchitektur ist nahezu zwecklos, wenn organisatorische oder prozessuale Sicherheitslücken existieren. Hier versteckt sich auch der größte Fehler der meisten Unternehmen: Viele investieren stark in technische Maßnahmen und übersehen dabei, dass Cyberangriffe auch an ganz anderer Stelle ansetzen können.

2. Prozesse

Viele erfolgreiche Cyberangriffe erfolgen nicht über technische Systeme, sondern über Prozesse. Prozesse wachsen häufig unkontrolliert und werden nur selten aus sicherheitsrelevanter Perspektive betrachtet. Genau dadurch entstehen Sicherheitslücken.

Ein Beispiel aus einem Projekt unseres Experten macht das deutlich: Ein Sicherheitsberater erhielt die Aufgabe, innerhalb einer Stunde sensible Gehaltsdaten herauszufinden. Niemand erwartete, dass das möglich sein würde – dafür war SAP zu gut geschützt. Doch bereits nach zehn Minuten hatte er die Gehaltsdaten. Wie war das möglich? Der Weg führte nicht über die technische Ebene. Er versuchte gar nicht erst, in technische Systeme einzudringen. Stattdessen griff er über einen Prozessschritt an. Er vermutete, dass die Chefsekretärin Zugriff auf die Gehaltsdaten hatte und sollte recht behalten. In nur zehn Minuten hatte er Zugang zum Laptop der Chefsekretärin hergestellt. Er fand alle Gehaltsdaten in einer ungeschützten Excel-Liste, die vor der Eingabe ins System verwendet wurde.

Solche Fälle sind leider keine Ausnahme, sondern fast schon typisch. Sicherheitslücken entstehen häufig dort, wo Prozesse unklar, zu komplex oder gar nicht dokumentiert sind.

3. Organisation

Cyber Security ist immer so stark wie das schwächste Glied. Selbst die beste technologische Ausstattung und die saubersten Prozesse schützen Unternehmen nicht vor Cyberangriffen, wenn nicht klar geregelt ist, wer wofür Verantwortung trägt. In vielen Organisationen ist Cyber Security irgendwo in der IT angesiedelt, aber es fühlt sich dennoch niemand wirklich verantwortlich dafür.

Cyberkriminelle nutzen das gezielt aus und setzten vermehrt auf Social-Engineering statt technischer Angriffe. Dabei wird das persönliche Umfeld des ausgewählten Opfers ausspioniert oder eine fremde Identität vorgetäuscht, um Personen dazu zu bewegen, vertrauliche Informationen zu teilen. Da technische Sicherheitssysteme immer besser werden, greifen Hacker bewusst den Menschen – also das schwächste Glied in der Sicherheitskette – an.

Auch hierfür hat unser Experte ein Beispiel, das zeigt, wie wichtig es ist, auch der organisationalen Ebene beim Thema Cyber Security genügend Aufmerksamkeit zu schenken. Ein Schauspieler ließ sich als Mitarbeiter einstellen. Die angegebenen Daten wurden im Zuge der Bewerbung nicht überprüft. Bereits nach wenigen Tagen hatte der Schauspieler durch Gespräche mit anderen Mitarbeitenden, sichtbare Passwörter auf Bildschirmen und die unbedachte Weitergabe von sensiblen Daten Zugang zu sicherheitskritischen Informationen erlangt. Auch hier war nicht die technische Ebene das Problem, sondern die organisationale.

Warum NIS2 ein Organisationsprojekt ist?

Warum NIS2 ein Organisationsprojekt ist?

Viele Unternehmen beschäftigen sich erst dann mit Cyber Security, wenn ein konkretes negatives Ereignis, wie eine Systemstörung, Datenverlust oder ein bevorstehendes Audit, Druck erzeugt. Doch reaktives Handeln ist in der Regel teurer und anfälliger für Fehler als proaktives. Dabei werden häufig nur punktuelle Maßnahmen umgesetzt, statt ein nachhaltiges Sicherheitskonzept zu erstellen. Ein einzelnes Tool, eine Schulung oder ein Audit ändern wenig, wenn darunter weiterhin Prozesse existieren, die niemand überprüft.

NIS2 zielt darauf ab, dass Risikomanagement-Maßnahmen auch langfristig wirken. Damit das gelingt, braucht es strategisch durchdachte Strukturen, professionelles Projektmanagement und klare Führung. Ein NIS2-Projekt funktioniert wie jedes große Change-Vorhaben: Es braucht einen realistischen Ausgangspunkt, klar definierte Rollen und Verantwortlichkeiten und einen strukturierten Plan, der in das Tagesgeschäft integriert werden kann.

Viele Unternehmen entscheiden sich dabei bewusst für externe Expertise. Nicht, weil das interne Team unqualifiziert wäre, sondern weil Sicherheitsprojekte Kompetenzen erfordern, die sich nicht nebenbei aufbauen lassen. Unternehmen, die kaum Erfahrung mit der Umsetzung von großen Sicherheitsprogrammen haben, sind gut beraten, sich gezielt Expertise zu holen.

Cyber Security ist so stark wie das schwächste Glied

Das NISG 2026 macht sichtbar, wie dicht verwoben Technologie, Prozesse und Organisation sind – und wie verletzlich moderne Unternehmen an diesen Schnittstellen sein können. Komplexe Lieferketten, zunehmende Abhängigkeiten, die steigende Nutzung Künstlicher Intelligenz und die Professionalisierung von Cyberangriffen sind keine abstrakten Risiken mehr. Wer früh genug Sicherheitsmaßnahmen setzt, hat mehr Zeit, sich einen klaren Überblick über die aktuelle Sicherheitslage zu verschaffen. Wer wartet, reagiert später unter Druck und ist damit anfälliger für Fehler. Am Ende werden unter Zeitdruck Maßnahmen umgesetzt, die zwar formal richtig, aber praktisch wenig wirksam sind.

Unser Fazit: Cyber Security entsteht nicht durch einzelne Maßnahmen oder den Schutz einzelner Abteilungen. Sie ist ein unternehmensübergreifendes Projekt und die größte Schwachstelle liegt meistens nicht in der Technik, sondern im Prozess und der Organisation.

Key Takeaways

  • Der Geltungsbereich der NIS2 ist deutlich größer als bei der NIS.
  • Das NISG 2026 macht die Richtlinie in Österreich verbindlich.
  • Unter NIS2 haften Geschäftsführer persönlich für die Verletzung ihrer Pflichten
  • Cyber Security basiert auf Technologie, Prozessen und Organisation.
  • Viele reale Angriffe passieren auf prozessualem oder organisationalem Weg.
  • Lieferketten werden zunehmend zur zentralen Angriffsfläche.
  • NIS2 verlangt strukturiertes Vorgehen und klare Verantwortlichkeiten.
  • Frühzeitiges Handeln reduziert Risiken und verhindert hektische Last-Minute-Umsetzungen.

Über den Autor

Mag. Walter Sedlacek, MSc, MBA ist Managing Director next level consulting APAC. Mehr Informationen über den IT Securit-Experten finden Sie hier.
Profil ansehen
Bringen Sie mehr Sicherheit in Ihr Unternehmen!
Wir unterstützen Sie dabei, einen Umsetzungsrahmen zu entwickeln.
+43 676 840806600
office@nextlevelconsulting.com
Anfrage