NIS2-Pflichten: Risikomanagement, Meldung und Governance im Überblick
In Kürze: Betroffene Unternehmen müssen fünf Pflichtblöcke erfüllen: Registrierung (§ 29), Governance & Schulung (§ 31), Risikomanagement mit zehn Maßnahmen (§ 32), Wirksamkeitsnachweis (§ 33) und Vorfallmeldung (§ 34/35). Die Maßnahmen sind verhältnismäßig umzusetzen — passend zu Größe, Risiko und Tätigkeit. Wesentliche und wichtige Einrichtungen haben dieselben inhaltlichen Pflichten; Unterschiede gibt es nur bei Aufsicht und Strafrahmen.
Nach der Einstufung und der Registrierung beginnt die eigentliche Arbeit: die Umsetzung der Sicherheitspflichten. Dieser Beitrag gibt den strukturierten Überblick — die Detailthemen sind verlinkt. Maßgeblich ist und bleibt der Gesetzestext (NISG 2026, BGBl. I Nr. 94/2025).
1. Registrierung (§ 29)
Vor allen inhaltlichen Pflichten steht die formale Registrierung bei der Cybersicherheitsbehörde — elektronisch, über einen sicheren Kanal, in strukturierter Form. Das Gesetz verlangt sieben Pflichtangaben (§ 29 Abs. 2), darunter Name, Kontakt- und Niederlassungsdaten, Sektor/Teilsektor nach Anlage 1 oder 2 und die Einstufung als wesentlich oder wichtig. Die Erstregistrierung ist bis 31.12.2026 vorzunehmen (drei Monate ab Inkrafttreten am 01.10.2026). Details: Registrierung in Österreich.
2. Governance & Schulung (§ 31)
Cybersicherheit ist Chefsache: Nach § 31 Abs. 1 hat das Leitungsorgan die Einhaltung der Risikomanagementmaßnahmen nach § 32 sicherzustellen und zu beaufsichtigen. Diese Aufsichtsverantwortung liegt beim Leitungsorgan selbst und lässt sich nicht einfach an eine Fachabteilung „wegdelegieren".
Hinzu kommt eine Schulungspflicht (§ 31 Abs. 2): Leitungsorgane müssen an spezifischen Cybersicherheitsschulungen teilnehmen, und die Einrichtung hat ihren Mitarbeitenden regelmäßig entsprechende Schulungen anzubieten.
Verstöße gegen § 31/§ 32 fallen in den oberen Strafrahmen (siehe Abschnitt 7); Geldstrafen treffen dabei primär die juristische Person. Bei wesentlichen Einrichtungen kann die Behörde Leitungsorganen zudem vorübergehend untersagen, Leitungsaufgaben wahrzunehmen (§ 39 Abs. 4 Z 2) — eine verbindliche Anordnung der Behörde. Eine pauschale „persönliche Millionenhaftung der Geschäftsführung" ist damit aber nicht gemeint. Details: NIS2 & Geschäftsleitung.
3. Risikomanagement: die 10 Maßnahmen (§ 32)
Den Kern bildet ein Katalog von zehn Risikomanagementmaßnahmen (a–j) in technischer, operativer und organisatorischer Hinsicht. § 32 Abs. 2 verlangt ein dem Stand der Technik entsprechendes, angemessenes Sicherheitsniveau; Abs. 4 nennt diese Punkte als gefahrenübergreifende Mindestinhalte:
| Maßnahme (§ 32 Abs. 4) | |
|---|---|
| a | Konzepte für Risikoanalyse und Sicherheit von Informationssystemen |
| b | Bewältigung von Cybersicherheitsvorfällen (Incident Handling) |
| c | Aufrechterhaltung des Betriebs: Backup-Management, Notfallwiederherstellung, Krisenmanagement |
| d | Sicherheit der Lieferkette (inkl. Beziehungen zu unmittelbaren Anbietern) |
| e | Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen (inkl. Schwachstellenmanagement und -offenlegung) |
| f | Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen |
| g | grundlegende Cyberhygiene und Schulungen |
| h | Kryptografie und ggf. Verschlüsselung |
| i | Personalsicherheit, Zugriffskontrolle, Management von Anlagen (Assets) |
| j | Multi-Faktor-/kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, ggf. gesicherte Notfallkommunikation |
Diese a–j sind Mindestinhalte, keine abschließende „Fertig-Checkliste": Die Cybersicherheitsbehörde kann per Verordnung nähere Anforderungen festlegen (§ 32 Abs. 5). Als Checkliste mit Umsetzungshinweisen: Die 10 NIS2-Maßnahmen (§ 32).
4. Wirksamkeitsnachweis (§ 33)
Maßnahmen umzusetzen genügt nicht — ihre Wirksamkeit ist nachzuweisen:
- Selbstdeklaration (§ 33 Abs. 1): innerhalb von 12 Monaten nach Eintritt der Registrierungspflicht — die erste Frist ist der 30.09.2027.
- Unabhängige Prüfung (§ 33 Abs. 2): auf Aufforderung der Behörde, innerhalb von 2 Jahren; bei wesentlichen Einrichtungen ist die operative/organisatorische Umsetzung innerhalb von 2 Monaten nach Aufforderung nachzuweisen. Gültige Zertifikate werden berücksichtigt.
- Prüfbericht (§ 33 Abs. 3): von Leitungsorganen und unabhängigen Prüfern unterzeichnet, inklusive festgestellter Mängel und Maßnahmenplan.
Verspätete oder falsche Selbstdeklarationen/Prüfberichte fallen unter den administrativen Strafrahmen (§ 45 Abs. 4). Die NISG-Plattform unterstützt Sie hier mit datierten, prüffesten Artefakten und unveränderlichen Snapshots. Details: Selbstdeklaration (§ 33).
5. Vorfallmeldung (§ 34/35)
Erhebliche Sicherheitsvorfälle sind gestuft zu melden — und zwar an das zuständige sektorspezifische CSIRT (ersatzweise das nationale CSIRT), das die Meldung unverzüglich an die Cybersicherheitsbehörde weiterleitet (§ 34 Abs. 1). Die Meldung geht also nicht direkt an die Behörde.
| Stufe | Frist (§ 34 Abs. 2) | Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden | erste Meldung nach Kenntnisnahme; ggf. Hinweis auf rechtswidrige Handlung oder grenzüberschreitende Auswirkung |
| Meldung | 72 Stunden | Bewertung inkl. Schweregrad, ggf. Kompromittierungsindikatoren |
| Abschlussbericht | 1 Monat | Beschreibung, Ursachen, Abhilfemaßnahmen, ggf. grenzüberschreitende Auswirkungen |
Auf Ersuchen kommt ein Zwischenbericht hinzu; dauert der Vorfall an, folgt ein Fortschrittsbericht. Für Vertrauensdiensteanbieter gilt für ihre Vertrauensdienste betreffende Vorfälle abweichend eine 24-Stunden-Frist statt der 72 Stunden. Ist die Diensterbringung beeinträchtigt, sind zudem die Empfänger der Dienste unverzüglich zu unterrichten (§ 34 Abs. 3).
Wann ist ein Vorfall „erheblich"? Nach § 35 Abs. 1, wenn er entweder (1) schwerwiegende Betriebsstörungen oder schwerwiegende finanzielle Verluste verursacht hat oder verursachen kann, oder (2) andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Der Prozess muss vorbereitet sein, bevor der Ernstfall eintritt — 24 Stunden sind kurz. Details: NIS2-Meldepflicht 24h/72h/1 Monat.
6. Lieferkettensicherheit
Ein Querschnittsthema mit eigener Brisanz: Betroffene Unternehmen müssen die Sicherheit ihrer Lieferanten und Dienstleister in das Risikomanagement einbeziehen (Maßnahme d). Das wirkt in die gesamte Lieferkette hinein — auch auf nicht direkt betroffene Zulieferer.
7. Strafen: zwei Stufen
Das NISG kennt ein zweistufiges Verwaltungsstrafsystem (§ 45):
- Inhaltliche Pflichtverstöße (§ 31 Schulung/Governance, § 32 Risikomanagement, § 34 Meldung): bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (der höhere Betrag); bei wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 %.
- Administrative Verstöße (z. B. verspätete Registrierung nach § 29 Abs. 3, verspätete Änderungsmeldung, verspätete Selbstdeklaration): bis zu 50 000 €, im Wiederholungsfall bis zu 100 000 €.
Die bloße Nicht-Registrierung fällt also in die untere Stufe — nicht unter die 10-Mio.-Schlagzeile. Details: NIS2-Strafen.
Verhältnismäßigkeit: Augenmaß statt Goldstandard
NIS2 verlangt verhältnismäßige Maßnahmen (§ 32 Abs. 3): Umfang und Tiefe richten sich nach Größe, Risikoexposition und Tätigkeit der Einrichtung. Ein mittlerer Lebensmittelbetrieb muss nicht dasselbe leisten wie ein großer Energieversorger — aber dokumentieren, warum sein Maßnahmenniveau angemessen ist. Genau diese Begründung ist im Audit Gold wert.
Vom Pflichten-Überblick zur Umsetzung
Klären Sie zuerst Ihre voraussichtliche Einstufung — danach leiten sich Pflichten und Fristen ab. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Welche Pflichten bringt NIS2? Registrierung (§ 29), Governance & Schulung (§ 31), Risikomanagement mit 10 Maßnahmen (§ 32), Wirksamkeitsnachweis (§ 33) und Vorfallmeldung (§ 34/35).
Was sind die 10 Maßnahmen nach § 32? Ein Katalog (a–j) von Risikoanalyse über Incident Handling, Betriebsaufrechterhaltung, Lieferkettensicherheit, Schwachstellenmanagement, Wirksamkeitsbewertung, Cyberhygiene/Schulung, Kryptografie und Zugriffskontrolle bis zur Multi-Faktor-Authentifizierung. Es handelt sich um Mindestinhalte, die per Verordnung konkretisiert werden können.
Gelten für wichtige Einrichtungen geringere Pflichten? Nein — die inhaltlichen Pflichten sind dieselben. Unterschiede gibt es nur bei Aufsicht und Strafrahmen (10 Mio./2 % für wesentliche, 7 Mio./1,4 % für wichtige Einrichtungen).
An wen werden Sicherheitsvorfälle gemeldet? An das zuständige sektorspezifische CSIRT (ersatzweise das nationale CSIRT), das unverzüglich an die Cybersicherheitsbehörde weiterleitet — in den Stufen 24 Stunden, 72 Stunden und 1 Monat.
Muss ich alle Maßnahmen sofort vollständig umsetzen? Die Maßnahmen sind verhältnismäßig umzusetzen; Umfang und Tiefe richten sich nach Größe und Risiko — die Angemessenheit ist zu dokumentieren.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.