NISG
AnmeldenKostenlos prüfen

NIS2-Checkliste für Österreich: Schritt für Schritt zum NISG 2026

NISG-Plattform-RedaktionStand Juni 20264 Min Lesezeit

In Kürze: Diese Checkliste führt in sechs Schritten durch das NISG 2026 — von der Betroffenheit über die Registrierung bis 31.12.2026 und die zehn § 32-Maßnahmen bis zu Meldewesen, Governance und Selbstdeklaration (bis 30.9.2027). Sie ist eine Orientierung, kein abschließender Konformitätsnachweis. Starten Sie mit Schritt 1: → Betroffenheit kostenlos prüfen.

NIS2 wirkt aus der Ferne erschlagend — strukturiert ist es eine überschaubare Abfolge. Diese Checkliste bringt die Pflichten des NISG 2026 (BGBl. I Nr. 94/2025) in die Reihenfolge, in der Sie sie sinnvoll abarbeiten.

⚠️ Wichtig: Diese Liste bildet die Mindestschritte ab und ersetzt keine individuelle Bewertung. Das Abhaken aller Punkte bedeutet nicht automatisch „100 % konform" — die § 32-Maßnahmen sind gesetzliche Mindestinhalte, deren konkrete Ausgestaltung von Größe, Risiko und Stand der Technik abhängt (§ 32 Abs. 3/4).

Schritt 1Betroffenheit klären

  • In einem der 18 Sektoren (Anlage 1 oder 2) tätig? → NIS2-Sektoren
  • Größenschwelle geprüft: ab 50 Mitarbeitenden — oder, davon unabhängig, ab > 10 Mio. € Jahresumsatz und > 10 Mio. € Bilanzsumme (kumulativ)? → Schwellenwerte
  • Größenunabhängige Sonderfälle geprüft (z. B. qualifizierte Vertrauensdiensteanbieter, DNS, öffentliche Kommunikationsnetze)?
  • Einstufung bestimmt: wesentlich, wichtig oder außerhalb? → Wesentliche vs. wichtige Einrichtungen
  • DORA-Vorrang geprüft (Finanzsektor, § 24 Abs. 7)?

Schritt 2Registrieren (bis 31.12.2026)

  • Die sieben § 29-Pflichtangaben zusammengetragen (Name, Kontakt, Sektor/Teilsektor/Art, Mitgliedstaaten, IP-Bereiche, Niederlassungen, Schwellenwert-/Einstufungsangaben)? → Die 7 § 29-Angaben
  • Kontaktstelle benannt (mindestens Telefon und E-Mail, § 29 Abs. 6)?
  • Bis 31.12.2026 elektronisch bei der Cybersicherheitsbehörde registriert (§ 29 Abs. 3)? → Registrierungs-Leitfaden
  • Prozess etabliert, um Änderungen zu melden (Z 1–5 binnen 2 Wochen, Z 6–7 binnen 3 Monaten)?

Schritt 3Risikomanagementmaßnahmen umsetzen (§ 32)

Die zehn gesetzlichen Mindestinhalte (§ 32 Abs. 4) — gefahrenübergreifend, Stand der Technik:

  • a) Risikoanalyse und Konzepte für die Sicherheit der Informationssysteme
  • b) Bewältigung von Sicherheitsvorfällen (Incident Handling)
  • c) Aufrechterhaltung des Betriebs (Backup, Wiederherstellung, Krisenmanagement)
  • d) Sicherheit der Lieferkette (inkl. unmittelbarer Anbieter)
  • e) Sicherheit bei Erwerb, Entwicklung und Wartung (inkl. Schwachstellenmanagement)
  • f) Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
  • g) Cyberhygiene und Schulungen
  • h) Kryptografie und ggf. Verschlüsselung
  • i) Personalsicherheit, Zugriffskontrolle, Asset-Management
  • j) Multi-Faktor-Authentifizierung, gesicherte Kommunikation, ggf. Notfallkommunikation

Details mit Umsetzungshinweisen: Die 10 § 32-Maßnahmen.

Schritt 4Governance & Schulung sicherstellen (§ 31)

  • Leitungsorgan stellt die § 32-Maßnahmen sicher und beaufsichtigt sie (§ 31 Abs. 1)?
  • Leitungsorgan an Cybersicherheitsschulungen teilgenommen (§ 31 Abs. 2)?
  • Mitarbeitenden werden regelmäßig Schulungen angeboten?
  • Aufsicht/Beschlüsse prüffest dokumentiert? → Geschäftsleitung & Schulung

Schritt 5Meldewesen vorbereiten (§ 34 / § 35)

  • Erheblichkeitsschwelle (§ 35) intern definiert und bekannt?
  • Meldekette eingeübt: 24 h Frühwarnung, 72 h Meldung, 1 Monat Abschlussbericht (§ 34 Abs. 2)?
  • Klar, dass Vorfälle an das CSIRT gehen (nicht direkt an die Behörde)?
  • Empfänger-Unterrichtung vorgesehen, wenn die Diensterbringung beeinträchtigt ist (§ 34 Abs. 3)? → Meldepflicht

Schritt 6Nachweise & Selbstdeklaration (§ 33)

  • Selbstdeklaration der § 32-Maßnahmen bis 30.9.2027 vorbereitet (§ 33 Abs. 1)?
  • Auf eine mögliche Prüfung durch eine unabhängige Stelle (ab ~1.10.2028) vorbereitet?
  • Nachweise prüffest und versioniert abgelegt? → Selbstdeklaration & Nachweis

Diese Checkliste als nachverfolgbare Aufgaben

Statt Papier-Checkliste: Lassen Sie die Plattform aus Ihrer Einstufung datierte Aufgaben mit Fristen-Tracking ableiten. Jetzt Betroffenheit prüfen

Häufige Fragen (FAQ)

Reicht es, alle Punkte dieser Checkliste abzuhaken? Die Liste deckt die Mindestschritte ab. Die § 32-Maßnahmen sind gesetzliche Mindestinhalte; ihre konkrete Ausgestaltung richtet sich nach Größe, Risiko und Stand der Technik (§ 32 Abs. 3/4). Ein vollständiges Abhaken ist kein automatischer Konformitätsnachweis.

Wo fange ich an? Mit der Betroffenheit (Schritt 1). Erst wenn Sektor, Größe und Einstufung klar sind, lassen sich die übrigen Pflichten sinnvoll planen.

Was ist die wichtigste Frist? Die Registrierung bis 31.12.2026 (§ 29 Abs. 3) — die Pflicht mit der knappsten Frist. Danach folgt die Selbstdeklaration bis 30.9.2027 (§ 33 Abs. 1).

Gibt es die Checkliste als PDF? Eine PDF-Version ist geplant. Bis dahin nutzen Sie die Online-Schritte oben und den kostenlosen Geltungsbereichs-Check.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – NISG 2026, BGBl. I Nr. 94/2025, nis.gv.at, WKO.