NIS2-Compliance

NIS2 & NISG 2026: Beratung & Umsetzung

Ist Ihr Unternehmen von NIS2 betroffen? ITworx begleitet den Mittelstand in Vorarlberg und der DACH-Region von der Betroffenheitsprüfung über die Umsetzung bis zum laufenden Betrieb.

Was ist NIS2 – und warum jetzt?

NIS2 ist die EU-weite Cybersicherheits-Richtlinie (EU 2022/2555). In Österreich setzt sie das NISG um, das am 1. Oktober 2026 in Kraft tritt. Betroffene Unternehmen müssen ein Mindestniveau an IT-Sicherheit nachweisen, Vorfälle melden und ihre Lieferkette absichern – sonst drohen empfindliche Bußgelder.

NIS2 auf einen Blick
NISG in Kraft
1. Oktober 2026 (Österreich)
Registrierung
bis 31. Dezember 2026
Betroffen
ab ~50 MA bzw. 10 Mio. € Umsatz
18 Sektoren
plus Lieferkette der Kunden
Bußgeld
bis 10 Mio. € bzw. 2 % Umsatz
Verantwortung
persönliche Geschäftsleitungs-Haftung

Bin ich von NIS2 betroffen?

Drei Fragen für eine erste, unverbindliche Einschätzung. Kein Ersatz für eine rechtliche Prüfung.

1 Hat Ihr Unternehmen mindestens 50 Mitarbeiter oder über 10 Mio. € Jahresumsatz?

2 Sind Sie in einem NIS2-Sektor tätig? (u. a. Energie, Verkehr, Gesundheit, digitale Infrastruktur, IKT-Dienste, Herstellung, Lebensmittel, Abfall, Chemie, öffentliche Verwaltung)

3 Beliefern oder betreuen Sie Kunden, die selbst unter NIS2 fallen?

Die wichtigsten Termine

NIS2 wird 2026 konkret. Wer früh startet, vermeidet Zeitdruck.

06.03.2026
Deutschland: BSI-Registrierung
Registrierungsfrist für betroffene Einrichtungen – ohne Übergangsfrist.
01.10.2026
Österreich: NISG tritt in Kraft
Das österreichische Umsetzungsgesetz wird wirksam; Pflichten greifen.
31.12.2026
Österreich: Registrierung
Frist zur Registrierung der betroffenen Einrichtungen.
laufend
Melde- & Nachweispflichten
Vorfälle melden (24 h / 72 h / 1 Monat), Maßnahmen belegen, Lieferkette absichern.

Die 10 Mindestmaßnahmen – und wie wir sie umsetzen

NIS2 verlangt konkrete technische und organisatorische Maßnahmen. Jede davon deckt sich mit unseren Managed Services.

Risikoanalyse & Sicherheitskonzepte

IT-Audit, Risikoanalyse und Sicherheitsrichtlinien als Fundament.

Bewältigung von Sicherheitsvorfällen

Managed Detection & Response (MDR) und SOC-Monitoring rund um die Uhr.

Backup & Business Continuity

Managed Backup, Disaster Recovery und Notfallplanung (BCP).

Sicherheit der Lieferkette

Absicherung und Bewertung von Lieferanten und Dienstleistern.

Beschaffung, Entwicklung & Wartung

Patch- und Schwachstellenmanagement über den gesamten Lebenszyklus.

Wirksamkeit der Maßnahmen

Laufende Security-Audits, Reporting und Kennzahlen.

Cyberhygiene & Schulungen

Security-Awareness-Trainings und Phishing-Simulationen.

Kryptographie & Verschlüsselung

Verschlüsselung von E-Mail, Daten, Endgeräten und VPN.

Zugriffskontrolle & Asset-Management

IAM, Zero Trust, Rechtekonzepte und Geräteverwaltung.

MFA & gesicherte Kommunikation

Multi-Faktor-Authentifizierung und abgesicherte Kommunikationswege.

In vier Schritten NIS2-bereit

Vom ersten Check bis zum laufenden Betrieb – Sie haben einen Partner für alles.

1 · Readiness-Check

Betroffenheit klären und den groben Handlungsbedarf einschätzen.

2 · Gap-Analyse

Soll-Ist-Abgleich der zehn Mindestmaßnahmen mit priorisiertem Plan.

3 · Umsetzung

Technische und organisatorische Maßnahmen umsetzen und härten.

4 · Betrieb & Meldewesen

Laufendes Monitoring, Schwachstellenmanagement und Vorfallsmeldung.

Diese Seite bietet eine allgemeine Orientierung zu NIS2/NISG und ersetzt keine Rechtsberatung. Die verbindliche Einstufung Ihres Unternehmens richtet sich nach dem Gesetz.

Häufige Fragen zu NIS2

Ist mein Unternehmen von NIS2 betroffen?
Als Orientierung: NIS2 erfasst Unternehmen ab rund 50 Mitarbeitern bzw. 10 Mio. € Umsatz in einem der 18 Sektoren (u. a. Energie, Verkehr, Gesundheit, digitale Infrastruktur, IKT-Dienste, Herstellung, Lebensmittel). Kleinere Betriebe werden häufig indirekt über die Lieferkette ihrer betroffenen Kunden erfasst. Die verbindliche Einstufung ergibt sich aus dem Gesetz – wir helfen bei der Einordnung, ersetzen aber keine Rechtsberatung.
Ab wann gilt NIS2 in Österreich und Deutschland?
In Österreich setzt das NISG die Richtlinie um und tritt am 1. Oktober 2026 in Kraft; betroffene Einrichtungen müssen sich bis 31. Dezember 2026 registrieren und Vorfälle gestuft melden (24 Stunden / 72 Stunden / 1 Monat). In Deutschland gilt für die BSI-Registrierung der 6. März 2026 ohne Übergangsfrist.
Was droht bei Nichteinhaltung?
NIS2 sieht Bußgelder von bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes vor. Hinzu kommt in vielen Fällen eine persönliche Verantwortung der Geschäftsleitung für das Risikomanagement.
Was ist der Unterschied zwischen NIS2 und NISG?
NIS2 ist die EU-Richtlinie (EU) 2022/2555. Das NISG ist das österreichische Gesetz, das diese Richtlinie in nationales Recht umsetzt. In Deutschland heißt das entsprechende Umsetzungsgesetz NIS2UmsuCG.
Wir sind ein kleines Unternehmen – betrifft uns NIS2 trotzdem?
Möglicherweise ja. Auch wenn Sie nicht direkt unter NIS2 fallen, verlangen betroffene Kunden zunehmend Sicherheitsnachweise von ihren Lieferanten und Dienstleistern. Über diese Lieferkettenanforderungen wirkt NIS2 faktisch auch auf kleinere Betriebe.
Wie unterstützt ITworx bei NIS2?
In Stufen: Readiness-Check zur Betroffenheit, Gap-Analyse gegen die zehn Mindestmaßnahmen, technische und organisatorische Umsetzung sowie laufender Betrieb mit Monitoring und Unterstützung beim Meldewesen. Als Managed Service Provider sind wir selbst von NIS2 erfasst und kennen die Anforderungen aus der Praxis.

NIS2 rechtzeitig angehen – wir begleiten Sie.

Starten Sie mit einem unverbindlichen NIS2-Readiness-Check. Gemeinsam klären wir Ihre Betroffenheit und die nächsten Schritte.