NISG 2026: Der praktische 6-Monats-Fahrplan für österreichische Unternehmen

Der 1. Oktober 2026 ist kein weiches Zieldatum. Ab diesem Tag gilt das Netz- und Informationssystemsicherheitsgesetz NISG 2026 in Österreich vollumfänglich — mit Bußgeldern von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen.

Das Problem: Viele Unternehmen, die betroffen sind, wissen es noch nicht. Und viele die es wissen, haben noch nicht begonnen.

Dieser Fahrplan zeigt konkret, was in den nächsten 6 Monaten zu tun ist: So, dass ein IT-Verantwortlicher oder eine Geschäftsführerin morgen damit beginnen kann.

Wichtige Anmerkung: 6 Monate beziehen sich auf Kleinunternehmen, bei mittelgroßen Unternehmen ist mit 9-12 Monaten zu rechnen, größere Unternehmen sollten 12-18 Monate für die gesamte Umsetzung planen.

Wen betrifft das NISG 2026 überhaupt?

Kurze Orientierung: Das NISG unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Grob vereinfacht gilt: Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in bestimmten Sektoren sind direkt betroffen. Die Liste der Sektoren ist deutlich länger als bei NIS1 — sie umfasst unter anderem Energie, Verkehr, Gesundheit, digitale Infrastruktur, Lebensmittel, Abfallwirtschaft und verarbeitendes Gewerbe.

Wichtig für Unternehmen, die sich sicher wähnen: Auch wer selbst nicht direkt betroffen ist, kann über Lieferkettenanforderungen in die Pflicht genommen werden. NIS2-pflichtige Kunden verlangen zunehmend Nachweise von ihren Dienstleistern und Lieferanten.

Wer jetzt noch nicht weiß, ob das eigene Unternehmen betroffen ist: Die RTR (Rundfunk und Telekom Regulierungs-GmbH) ist in Österreich die zuständige Behörde — auf der RTR-Website ist ein erster Selbst-Check möglich.

Der 6-Monats-Fahrplan: Was konkret zu tun ist

Monat 1: Betroffenheit klären und Bestandsaufnahme machen

Der erste Schritt ist keine technische Maßnahme, sondern eine organisatorische Klärung — und sie wird häufig übersprungen, weil sie unspektakulär wirkt. Das ist ein Fehler.

Was konkret zu tun ist:

• Betroffenheit offiziell feststellen: Welche Einrichtungskategorie trifft zu (wesentlich oder wichtig)? Das hat direkte Auswirkungen auf Meldepflichten und Bußgeldrahmen.

• Asset-Inventar erstellen oder aktualisieren: Welche IT-Systeme, Anwendungen, Datenbanken und Cloud-Dienste gibt es? Was davon ist geschäftskritisch? Was davon ist von außen erreichbar? Ohne diese Liste ist kein seriöses Risikomanagement möglich — sie ist die Basis für alles, was danach kommt.

• Existierende Richtlinien sammeln

• Verantwortlichkeiten benennen: Wer ist intern für NISG-Compliance zuständig? Gibt es bereits einen IT-Sicherheitsbeauftragten? Wenn nicht — wer übernimmt diese Funktion, zumindest vorübergehend?

• Gap-Analyse beauftragen oder intern anstoßen: Was ist bereits vorhanden, was fehlt noch? Eine strukturierte Gap-Analyse nach den NISG-Anforderungen zeigt in 2–3 Wochen wo der Handlungsbedarf am größten ist.

Realistischer Zeitaufwand: 2–4 Wochen, je nach Unternehmensgröße und vorhandener Dokumentation.

Monat 2: Technische/Organisatorische Schwachstellen identifizieren

Mit dem Asset-Inventar und auch den Regelungen und Dokumentationen aus Monat 1 wird der Ist-Zustand bewertet. Das NISG verlangt kein perfektes System — aber es verlangt nachweislich, dass Risiken bekannt sind und bewertet wurden.

Was konkret zu tun ist:

• Vulnerability Scan der eigenen Systeme: Keine manuelle Einschätzung, sondern ein tatsächlicher Scan mit einem Tool (z.B. Nessus, OpenVAS, oder ein beauftragter externer Scan). Eine priorisierte Liste offener Schwachstellen – bewertet nach CVSS-Score (Common Vulnerability Scoring System, gibt den Schweregrad einer Schwachstelle auf einer Skala von 0–10 an) und idealerweise ergänzt durch den EPSS-Score (Exploit Prediction Scoring System).

• Während der CVSS-Score beschreibt, wie schwerwiegend eine Schwachstelle theoretisch ist, beantwortet der EPSS-Score eine andere Frage: Wie wahrscheinlich ist es, dass diese Schwachstelle in den nächsten 30 Tagen aktiv ausgenutzt wird? Die Kombination beider Werte erlaubt eine deutlich treffsicherere Priorisierung.

• Externe Angriffsfläche prüfen: Welche Ports, Dienste und Subdomains sind von außen erreichbar? Was sollte nicht erreichbar sein, ist es aber? Häufige Funde: vergessene Test-Umgebungen, alte VPN-Zugänge, ungesicherte Remote-Desktop-Ports.

• Zugriffsrechte überprüfen: Wer hat Adminrechte — und braucht diese Person sie wirklich? Gibt es ehemalige Mitarbeiter die noch aktive Konten haben? MFA: Ist Multi-Faktor-Authentifizierung für alle Zugänge zu kritischen Systemen aktiv?

• Backup-Status prüfen: Existieren Backups? Werden sie regelmäßig erstellt? Wurden sie jemals auf Wiederherstellbarkeit getestet? Ein Backup, das sich im Ernstfall nicht wiederherstellen lässt, ist kein Backup.

• Eine gute Guideline ist und zeigt im Detail an was gefordert ist: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance

Was das NISG hier konkret verlangt: Artikel 21 der NIS2-Richtlinie (umgesetzt im NISG) fordert "angemessene und verhältnismäßige technische und organisatorische Maßnahmen". Das klingt vage — ist es aber nicht: Im Prüfungsfall muss nachgewiesen werden, dass Risiken systematisch erfasst und priorisiert wurden.

Monat 3: Technische Maßnahmen umsetzen

Jetzt wird repariert, was in Monat 2 gefunden wurde. Die Priorisierung erfolgt nach Risiko — nicht nach Aufwand oder Komfort.

Was konkret zu tun ist:

• Kritische Patches einspielen: Alle Systeme mit bekannten, aktiv ausgenutzten Schwachstellen (CVSS ≥ 9.0) werden als erstes aktualisiert. Patch-Management bedeutet nicht "Updates irgendwann einspielen" — es bedeutet einen dokumentierten Prozess, der definiert wann welche Patches auf welchen Systemen eingespielt werden.

• MFA einführen oder ausweiten: Microsoft 365, VPN, Cloud-Konsolen, Remote-Zugänge — alle privilegierten Zugänge brauchen MFA. Das ist eine der wirksamsten Einzelmaßnahmen gegen Account-Kompromittierung und erfüllt gleichzeitig NISG-Anforderungen zur Zugangskontrolle.

• Netzwerk-Segmentierung prüfen: Sind kritische Systeme (z.B. Produktionsumgebung, Datenbank-Server) vom restlichen Firmennetz getrennt? Lateral Movement — also die Ausbreitung eines Angreifers im Netzwerk nach dem ersten Einbruch — ist der Hauptgrund warum aus kleinen Vorfällen große werden.

• Monitoring einrichten oder ausbauen: Ohne Logging ist keine Meldepflicht erfüllbar. Die NISG-Meldepflicht verlangt eine Frühwarnung binnen 24 Stunden nach Bekanntwerden eines erheblichen Sicherheitsvorfalls — das setzt voraus, dass ein Vorfall überhaupt bemerkt wird. Wer noch kein Monitoring hat, sollte jetzt zumindest zentrale Log-Sammlung einrichten.

• Datenverschlüsselung: Werden sensible Daten im Ruhezustand (at rest) und bei der Übertragung (in transit) verschlüsselt? Besonders relevant für Unternehmen die personenbezogene oder vertrauliche Kundendaten verarbeiten.

Monat 4: Dokumentation und Richtlinien erstellen

Ein häufiger Irrtum: Viele Unternehmen haben gute technische Maßnahmen umgesetzt, aber keine Dokumentation darüber. Im Prüfungsfall zählt nur, was nachgewiesen werden kann.

Was konkret zu tun ist:

• ISMS einführen mit allen Richtlinien. Darunter fallen die unten genannten. Es fehlen aber noch viele. Darum empfehle ich hier einfach ein ISMS aufzubauen

• Informationssicherheitsrichtlinie erstellen: Kein hundert Seiten starkes ISO-Dokument, sondern ein klares, kurzes Dokument, das beschreibt: Welche Systeme sind kritisch? Wer ist verantwortlich? Welche Verhaltensregeln gelten für Mitarbeiter? Wie werden Vorfälle gemeldet?

• Incident-Response-Plan dokumentieren: Was passiert, wenn ein Sicherheitsvorfall erkannt wird? Wer wird informiert? Wer entscheidet über Gegenmaßnahmen? Wer meldet an die RTR? Dieser Plan muss vorab existieren — nicht erst wenn der Vorfall passiert ist.

• Business-Continuity-Plan (BCP) überarbeiten: Was passiert, wenn kritische Systeme für 24, 48 oder 72 Stunden ausfallen? Welche manuellen Prozesse greifen? Wie lange dauert die Wiederherstellung aus dem Backup? Diese Fragen müssen beantwortet und dokumentiert sein.

• Lieferanten- und Dienstleisterbewertung: Das NISG verlangt Maßnahmen zur Sicherheit in der Lieferkette. Das bedeutet konkret: Eine Liste der kritischen IT-Dienstleister erstellen, deren Sicherheitsstandards bewerten (z.B. über Fragebögen oder vorhandene Zertifikate wie ISO 27001 oder Cyber Trust Austria) und Sicherheitsanforderungen vertraglich verankern.

Monat 5: Mitarbeiterschulungen und Meldeprozesse testen

Technische Maßnahmen schützen nicht vor menschlichen Fehlern. Laut aktuellen Studien beginnen mehr als 80 Prozent aller erfolgreichen Cyberangriffe mit einem menschlichen Fehler — Phishing, schwache Passwörter, unvorsichtiger Umgang mit Zugangsdaten.

Was konkret zu tun ist:

• Security Awareness Training durchführen: Das NISG verlangt explizit Schulungen. Kein einmaliges Pflicht-Webinar, sondern ein Training, das erklärt: Wie erkenne ich Phishing-Mails? Was tue ich, wenn ich einen verdächtigen Link geklickt habe? Wie melde ich Sicherheitsvorfälle intern?

• Phishing-Simulation: Eine kontrollierte Phishing-Simulation zeigt, wo der Nachschulungsbedarf am größten ist. Wichtig: Das Ziel ist nicht Mitarbeiter zu erwischen, sondern den tatsächlichen Risikolevel zu kennen und gezielt zu verbessern.

• Meldeprozess intern testen: Ist der Incident-Response-Plan aus Monat 4 wirklich funktionsfähig? Ein Tabletop-Exercise — eine moderierte Übung anhand eines Szenarios (z.B. "Ransomware-Angriff, Systeme stehen") — zeigt innerhalb von zwei Stunden ob die Abläufe funktionieren oder nur auf dem Papier existieren.

• Meldepflicht konkret verstehen: Binnen 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls muss eine Frühwarnung an die RTR erfolgen. Binnen 72 Stunden folgt eine erste Einschätzung, nach einem Monat ein Abschlussbericht. Wer ist intern verantwortlich dafür? Wie wird die RTR kontaktiert? Das muss vorab geprobt sein.

Monat 6: Abschlussprüfung und Lücken schließen

Der letzte Monat vor der Deadline ist kein Monat für neue Maßnahmen — er ist ein Monat für Überprüfung und Härtung.

Was konkret zu tun ist:

• Internes Audit gegen NISG-Anforderungen: Die Gap-Analyse aus Monat 1 dient als Baseline — jetzt wird überprüft welche Maßnahmen tatsächlich umgesetzt wurden und welche noch offen sind. Das Ergebnis ist ein dokumentierter Nachweis des aktuellen Compliance-Stands.

• Penetrationstest oder gezielter Angriffstest: Wer sicherstellen will, dass die implementierten Maßnahmen wirklich greifen, lässt das von außen testen. Ein Penetrationstest zeigt Schwachstellen, die kein Scan findet — und ist gleichzeitig ein dokumentierter Nachweis, dass das Unternehmen proaktiv handelt.

• Restrisiken dokumentieren und bewerten: Nicht jede Schwachstelle wird bis Oktober 2026 geschlossen sein — das ist realistisch und kein Versagen. Entscheidend ist, dass offene Punkte als bekannte Restrisiken dokumentiert sind mit einer Begründung, warum sie nicht sofort behoben wurden und wann sie behoben werden.

• Registrierungspflicht prüfen: Betroffene Einrichtungen müssen sich bei der RTR registrieren. Das ist ein oft übersehener formaler Schritt — und er ist verpflichtend.

Die häufigsten Fehler bei der NISG-Umsetzung

• "Wir sind zu klein, das betrifft uns nicht." Unternehmen unterschätzen systematisch ihren eigenen Anwendungsbereich. Die Schwellenwerte (50 Mitarbeitende oder 10 Mio. Umsatz) betreffen mehr Unternehmen als gedacht — und der indirekte Druck über Lieferkettenanforderungen betrifft nahezu jeden IT-Dienstleister. Auch Unternehmen unabhängig von der Größe sind betroffen.

• Dokumentation als letzten Schritt behandeln. Maßnahmen ohne Dokumentation sind im Prüfungsfall wertlos. Dokumentation ist kein bürokratischer Overhead — sie ist der Nachweis.

• Auf ein einheitliches "NIS2-Zertifikat" warten. Ein solches Zertifikat gibt es nicht. NIS2/NISG ist kein Prüfsiegel, sondern ein Pflichtenprogramm. Was es gibt: Zertifizierungen wie ISO 27001 oder das Cyber Trust Austria Label die als Nachweis anerkannter Sicherheitsstandards dienen können.

• Incident Response erst nach einem Vorfall planen. Die 24-Stunden-Meldepflicht ist nur erfüllbar, wenn der Prozess vorher steht. Wer erst beim Vorfall anfängt zu planen, meldet zu spät.

Förderungen nutzen: KMU.DIGITAL für Cybersecurity

Österreichische KMU können einen Teil der NISG-Umsetzungskosten über die KMU.DIGITAL Förderung finanzieren. Die Förderung unterstützt Beratungsleistungen im Bereich Cybersicherheit — also genau jene Maßnahmen, die in diesem Fahrplan beschrieben sind: Gap-Analyse, Sicherheitskonzept, Maßnahmenplanung.

Wer die Förderung nutzen möchte, sollte das frühzeitig einplanen — Förderanträge brauchen Vorlaufzeit und müssen vor Beginn der Beratungsleistung gestellt werden.

Häufige Fragen zu NISG 2026 und NIS2 in Österreich

Was ist der Unterschied zwischen NIS2 und NISG 2026?

NIS2 ist die EU-Richtlinie (Network and Information Security Directive 2). Das NISG 2026 ist die österreichische Umsetzung dieser Richtlinie in nationales Recht. Für österreichische Unternehmen ist das NISG 2026 das maßgebliche Gesetz — es gilt ab 1. Oktober 2026.

Ab wann gilt das NISG 2026 in Österreich?

Ab dem 1. Oktober 2026. Bis dahin sollten betroffene Unternehmen ihre Maßnahmen umgesetzt, dokumentiert und sich bei der RTR registriert haben.

Auf was muss ich bei NIS2 / NISG achten?

Die zentralen Anforderungen sind: Risikomanagement (Schwachstellen kennen und bewerten), technische Schutzmaßnahmen (MFA, Patches, Monitoring, Verschlüsselung), Incident Response (Meldeprozesse und Reaktionspläne), Business Continuity (Backup und Wiederherstellung), Lieferkettensicherheit, Mitarbeiterschulungen und Dokumentation aller Maßnahmen.

Was kostet die Umsetzung?

Das hängt stark vom Ausgangszustand ab. Unternehmen die bereits solide IT-Grundschutzmaßnahmen umgesetzt haben, benötigen vor allem Dokumentation und Prozessanpassungen. Unternehmen die bei null anfangen, investieren deutlich mehr. Die durchschnittlichen Implementierungskosten werden in Studien mit rund 40.000–80.000 Euro für KMU angegeben — ohne interne Personalkosten.

Gibt es ein offizielles NIS2-Zertifikat?

Nein. NIS2 und NISG sind Richtlinien mit Pflichten — kein Prüfsiegel. Was es gibt: Zertifizierungen wie ISO 27001 oder das Cyber Trust Austria Label die als Nachweis anerkannter Sicherheitsstandards dienen und in Lieferantenbewertungen akzeptiert werden.

Fazit

6 Monate sind genug Zeit — wenn jetzt begonnen wird. Wer bis Oktober 2026 wartet um dann festzustellen dass Dokumentation, Monitoring und Incident-Response-Pläne fehlen, hat ein Problem.

Das NISG 2026 ist kein bürokratisches Projekt. Es ist eine Chance, die IT-Sicherheit des eigenen Unternehmens auf ein Niveau zu bringen das tatsächlich schützt — nicht nur auf dem Papier. Die Meldepflichten, die Dokumentationsanforderungen und der Druck aus der Lieferkette werden kommen. Die Frage ist nur ob man vorbereitet ist oder nicht.

Wer wissen möchte wo das eigene Unternehmen gerade steht, kann mit einer Gap-Analyse beginnen — Zettasecure begleitet österreichische Unternehmen von der ersten Bestandsaufnahme bis zur nachweisbaren NISG-Compliance.