NISG
AnmeldenKostenlos prüfen

Was kostet NIS2-Compliance in Österreich?

NISG-Plattform-RedaktionStand Juni 20265 Min Lesezeit

In Kürze: Es gibt keinen pauschalen Preis. Die Kosten hängen von Größe, Sektor, Einstufung (wesentlich/wichtig) und Ihrem bestehenden Sicherheitsniveau ab. Planbar sind die Blöcke Registrierung (§ 29), Risikomanagement (§ 32), Melde-Prozess (§ 34), Schulung (§ 31) und prüffeste Nachweise. Der größte variable Posten ist meist externe Beratung, der größte versteckte Posten die interne Arbeitszeit. Die mit Abstand teuerste Variante ist, nichts zu tun — die Bußgeldrahmen reichen bis 10 Mio. € / 2 % des Jahresumsatzes. Den ersten Schritt — die Betroffenheits-Prüfung — bekommen Sie kostenlos.

Eine der häufigsten Fragen vor dem 31.12.2026: „Was kommt finanziell auf uns zu?" Eine seriöse Antwort lautet zunächst „es kommt darauf an" — aber man kann die Kostentreiber sauber strukturieren, damit Sie ein belastbares Budget aufstellen und Angebote vergleichen können. Dieser Beitrag gibt die Struktur; konkrete Zahlen hängen von Ihrem Einzelfall ab und sollten als individuelle Angebote eingeholt werden.

Wovon die Kosten abhängen

Vier Faktoren bestimmen den Aufwand:

  • Größe & Komplexität — Mehr Standorte, Dienste und Lieferanten bedeuten mehr abzubildende Prozesse. Ob Sie überhaupt in den Anwendungsbereich fallen, klären die Schwellenwerte.
  • Sektor — Manche der 18 Sektoren bringen zusätzliche Erwartungen mit.
  • Einstufungwesentliche Einrichtungen unterliegen proaktiver Aufsicht (und höheren Strafobergrenzen) als wichtige; die inhaltlichen Pflichten sind aber dieselben.
  • Reifegrad — Wer bereits ein ISMS (z. B. nach ISO 27001) betreibt, hat einen großen Teil der § 32-Maßnahmen bereits abgedeckt und spart entsprechend.

Die typischen Kostenblöcke

Block Was dahintersteckt Kostencharakter
Betroffenheit & Einstufung Sektor-/Größenprüfung, Dokumentation der Einstufung gering — kostenlos startbar
Registrierung (§ 29) Zusammenstellung der 7 Pflichtangaben, Einreichung bis 31.12.2026 einmalig, gering–mittel
Risikomanagement (§ 32) Aufbau/Anpassung der 10 Mindestmaßnahmen (a–j) Hauptposten, einmalig + laufend
Melde-Prozess (§ 34) Prozesse & Vorlagen für 24 h / 72 h / 1 Monat mittel, einmalig
Governance & Schulung (§ 31) Schulung der Leitungsorgane und Mitarbeiter gering–mittel, wiederkehrend
Prüffeste Nachweise revisionssichere Belegkette, Selbstdeklaration (§ 33, ab 2027) laufend
Externe Beratung / Software optional, je nach Eigenleistung größter variabler Posten

Eine Schritt-für-Schritt-Sicht auf diese Blöcke gibt der Pflichten-Überblick.

Eigenleistung, Beratung oder Plattform?

Drei Wege — meist eine Mischung:

  • Eigenleistung — Geringste Außenkosten, höchste interne Zeitbindung. Tragfähig bei vorhandener IT-Sicherheitskompetenz; riskant, wenn Fristen und Nachweise nebenher laufen.
  • Beratung — Schnell und fundiert bei strategischen Einzelfragen, aber der teuerste laufende Posten; Tagsätze summieren sich, und das Wissen bleibt nicht automatisch im Haus.
  • Plattform/Software — Planbare Abo-Kosten, strukturiert die laufenden Pflichten (Fristen, Selbstbewertung, Nachweise) und senkt die interne Zeit. Worauf es bei der Auswahl ankommt, steht im Software-Ratgeber.

Faustregel: Software für die wiederkehrende Struktur, Beratung punktuell für Spezialfragen, Eigenleistung für das, was Ihr Team ohnehin am besten kennt. Keine dieser Optionen ersetzt die rechtliche Bewertung Ihres Einzelfalls.

Der teuerste Postennichts zu tun

Das NISG 2026 hat ein zweistufiges Strafsystem:

  • Inhaltliche Pflichten (Risikomanagement § 32, Meldung § 34, Schulung § 31): bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes bei wesentlichen, bis 7 Mio. € oder 1,4 % bei wichtigen Einrichtungen (jeweils der höhere Betrag).
  • Administrative Verstöße wie eine verspätete oder unterlassene Registrierung: bis zu 50 000 €, im Wiederholungsfall bis 100 000 € (§ 45 Abs. 4).

Hinzu kommt: Bei wesentlichen Einrichtungen kann die Behörde Leitungsorganen die Funktion vorübergehend untersagen (§ 39). Gegen diese Risiken sind die Umsetzungskosten in aller Regel der deutlich kleinere Betrag. Die Fristen bestimmen, wie viel Zeit Ihnen für eine geordnete (und damit günstigere) Umsetzung bleibt.

Wie Sie die Kosten senken

  • Früh anfangen — Zeitdruck im Q4 2026 macht Beratung teurer und Fehler wahrscheinlicher.
  • Vorhandenes nutzen — ISO 27001, bestehende Backup-/IAM-Prozesse auf § 32 mappen statt neu bauen.
  • Standardisieren — Vorlagen und eine Plattform statt individueller Einzelprojekte.
  • Interne Zeit sichtbar machen — sie ist real und gehört ins Budget.
  • Kostenlos starten — erst Betroffenheit prüfen, dann gezielt investieren.

Häufige Fragen (FAQ)

Was kostet NIS2-Compliance ungefähr? Es gibt keinen Pauschalpreis — die Kosten hängen von Größe, Sektor, Einstufung und Ihrem bestehenden Sicherheitsniveau ab. Sinnvoll ist es, entlang der Kostenblöcke (Registrierung, § 32-Maßnahmen, Melde-Prozess, Schulung, Nachweise) zu budgetieren und individuelle Angebote einzuholen.

Was ist der größte Kostenfaktor? Meist das Risikomanagement nach § 32 (einmaliger Aufbau plus laufender Betrieb) sowie — falls extern beauftragt — die Beratung. Der größte oft übersehene Posten ist die interne Arbeitszeit.

Ist die Registrierung selbst teuer? Nein. Die Registrierung nach § 29 ist organisatorischer Aufwand (die 7 Pflichtangaben zusammenstellen und bis 31.12.2026 einreichen). Teuer wird vor allem eine verspätete Registrierung: bis zu 50 000 € (im Wiederholungsfall 100 000 €).

Spare ich mit einer Software Geld? Eine Plattform senkt vor allem die laufende interne Zeit und das Risiko von Fristversäumnissen, weil Pflichten, Nachweise und Termine strukturiert geführt werden. Ob sich das rechnet, hängt von Ihrer Größe und Ihren bestehenden Prozessen ab — siehe den Software-Ratgeber.

Lohnt es sich, früh zu starten? Ja. Wer vor dem Q4-Stau 2026 anfängt, verteilt den Aufwand, vermeidet teure Eilberatung und reduziert das Risiko von Strafen wegen Fristversäumnissen.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.