Die 10 NIS2-Risikomanagementmaßnahmen (§ 32) als Checkliste
In Kürze: Das österreichische NISG 2026 verlangt in § 32 „geeignete und verhältnismäßige" Risikomanagementmaßnahmen. § 32 Abs. 4 nennt dafür mindestens zehn Inhalte (a–j) — diese Liste ist die Mindestausstattung, nicht eine abschließende Konformitäts-Garantie. Diese Checkliste übersetzt jede Maßnahme in konkrete Schritte, damit Sie auf einen Blick sehen, wo Sie stehen. Umfang und Tiefe sind verhältnismäßig zu Größe und Risiko zu wählen und nachvollziehbar zu dokumentieren.
Nutzen Sie die Liste als Selbsteinschätzung: Haken Sie ab, was bereits steht, und markieren Sie Lücken. Den Gesamtüberblick zu allen Pflichten gibt der NIS2-Pflichten-Leitfaden.
Was § 32 verlangt — und was die a–j-Liste bedeutet
Die zehn Punkte a–j stehen in § 32 Abs. 4 NISG 2026 (BGBl. I Nr. 94/2025; die nationale Umsetzung von Art. 21 NIS2). Wichtig für die Einordnung:
- § 32 Abs. 1: Die Maßnahmen müssen „geeignet und verhältnismäßig" in technischer, operativer und organisatorischer Hinsicht sein.
- § 32 Abs. 2: Maßstab ist der Stand der Technik und ein dem Risiko angemessenes Sicherheitsniveau.
- § 32 Abs. 3: Die Verhältnismäßigkeit richtet sich nach Risikoexposition, Größe der Einrichtung sowie Eintrittswahrscheinlichkeit und Schwere möglicher Vorfälle.
- § 32 Abs. 4: Der Ansatz ist gefahrenübergreifend und umfasst mindestens die Inhalte a–j.
- § 32 Abs. 5: Die Cybersicherheitsbehörde kann durch Verordnung nähere Anforderungen festlegen (anknüpfend an EU-Durchführungsrechtsakte).
Das heißt: Die a–j sind Mindestinhalte. Eine abgehakte Liste belegt nicht automatisch ein angemessenes Niveau — entscheidend ist ein verhältnismäßiges, dokumentiertes und im Audit nachvollziehbares Sicherheitsmanagement.
| § 32 Abs. 4 | Maßnahme (Kurzform) |
|---|---|
| a | Risikoanalyse & Sicherheit für Informationssysteme |
| b | Bewältigung von Cybersicherheitsvorfällen |
| c | Aufrechterhaltung des Betriebs (Backup, Recovery, Krisenmanagement) |
| d | Sicherheit der Lieferkette |
| e | Sicherheit bei Erwerb, Entwicklung & Wartung (inkl. Schwachstellen) |
| f | Bewertung der Wirksamkeit der Maßnahmen |
| g | Cyberhygiene & Schulungen |
| h | Kryptografie & Verschlüsselung |
| i | Personalsicherheit, Zugriffskontrolle, Asset-Management |
| j | MFA, gesicherte Kommunikation, Notfallkommunikation |
a) Risikoanalyse & Sicherheit für Informationssysteme
- Dokumentierte Risikoanalyse für Ihre Informationssysteme
- Sicherheitsleitlinie (Information Security Policy), vom Leitungsorgan gebilligt
- Regelmäßige Aktualisierung (mind. jährlich / bei wesentlichen Änderungen)
b) Bewältigung von Cybersicherheitsvorfällen
- Incident-Response-Prozess (Erkennen, Eindämmen, Beheben, Nachbereiten)
- Rollen & Eskalationswege definiert
- Anbindung an die Meldepflichten (24 h Frühwarnung / 72 h Meldung / Abschlussbericht binnen 1 Monat)
c) Aufrechterhaltung des Betriebs
- Backup-Konzept (z. B. 3-2-1), Restore regelmäßig getestet
- Notfallwiederherstellung (Disaster Recovery) mit RTO/RPO
- Krisenmanagement-Plan
d) Sicherheit der Lieferkette
- Inventar kritischer Lieferanten & Dienstleister (inkl. unmittelbarer Anbieter)
- Sicherheitsanforderungen vertraglich verankert
- Bewertung des Lieferantenrisikos → NIS2 & Lieferkette
e) Sicherheit bei Erwerb, Entwicklung & Wartung
- Schwachstellenmanagement (Scanning, Patch-Prozess, Fristen)
- Sichere Beschaffung & Entwicklung (Security by Design)
- Verfahren zur Offenlegung von Schwachstellen
f) Bewertung der Wirksamkeit
- Kennzahlen/Audits zur Wirksamkeit der Maßnahmen
- Regelmäßige Reviews, dokumentiert (Basis für die Selbstdeklaration, Frist 30.09.2027)
g) Cyberhygiene & Schulungen
- Grundlegende Cyberhygiene (Updates, sichere Konfiguration, Least Privilege)
- Awareness-Schulungen für Mitarbeitende
- Schulung des Leitungsorgans
h) Kryptografie & Verschlüsselung
- Verschlüsselung ruhender und übertragener Daten
- Schlüsselmanagement
- Krypto-Leitlinie (Algorithmen, Verfahren)
i) Personalsicherheit, Zugriffskontrolle & Asset-Management
- Rollenbasierte Zugriffskontrolle, regelmäßige Rezertifizierung
- Asset-Inventar (Hardware, Software, Daten)
- Onboarding/Offboarding-Prozesse
j) MFA, gesicherte & Notfallkommunikation
- Multi-Faktor- bzw. kontinuierliche Authentifizierung (mind. für privilegierte/Remote-Zugänge)
- Gesicherte Sprach-/Video-/Textkommunikation
- Gesicherte Notfallkommunikation (falls Standardsysteme ausfallen)
Verhältnismäßigkeit nicht vergessen
Nicht jede Maßnahme muss in jeder Einrichtung gleich tief umgesetzt sein. Entscheidend ist, dass Sie das angemessene Niveau wählen (§ 32 Abs. 3) und die Begründung dokumentieren — im Audit zählt die Nachvollziehbarkeit. Unsere Plattform unterstützt Sie dabei, diese Nachweise prüffest zu dokumentieren: mit unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger.
Was bei Versäumnissen droht
Verstöße gegen die Risikomanagement-Pflicht (§ 32) zählen zu den schwerwiegenden Pflichtverstößen. Der Strafrahmen reicht nach § 45 bis zu 10 Mio. € oder 2 % des gesamten weltweiten Vorjahresumsatzes (wesentliche Einrichtungen) bzw. 7 Mio. € oder 1,4 % (wichtige Einrichtungen) — maßgeblich ist jeweils der höhere Betrag. Die bloße Nicht-Registrierung fällt dagegen unter den niedrigeren Rahmen (bis 50 000 € / im Wiederholungsfall 100 000 €, § 45 Abs. 4).
Erst Einstufung, dann Maßnahmenplan
Klären Sie zunächst Ihre voraussichtliche Einstufung und leiten Sie daraus die passenden Maßnahmen ab. Eine genauere Einordnung liefert der Scope-Wizard. → Jetzt kostenlos Betroffenheit prüfen
Häufige Fragen (FAQ)
Was sind die 10 Maßnahmen nach § 32? Risikoanalyse (a), Bewältigung von Cybersicherheitsvorfällen (b), Aufrechterhaltung des Betriebs (c), Sicherheit der Lieferkette (d), sichere Beschaffung/Entwicklung/Wartung (e), Bewertung der Wirksamkeit (f), Cyberhygiene & Schulungen (g), Kryptografie (h), Personalsicherheit/Zugriffskontrolle/Asset-Management (i) sowie MFA & gesicherte Kommunikation (j). Sie stehen in § 32 Abs. 4 NISG 2026.
Ist die a–j-Liste abschließend? Nein. § 32 Abs. 4 beschreibt Mindestinhalte („mindestens folgende"). Die Cybersicherheitsbehörde kann zusätzliche Anforderungen per Verordnung festlegen (§ 32 Abs. 5). Eine abgehakte Liste ist daher kein automatischer Konformitätsnachweis.
Muss ich alle Maßnahmen vollständig umsetzen? Die Umsetzung ist verhältnismäßig — passend zu Risikoexposition, Größe und möglicher Schadenshöhe (§ 32 Abs. 3). Das gewählte Niveau und seine Begründung sind zu dokumentieren.
Reicht eine ISO-27001-Zertifizierung? Sie hilft erheblich, und gültige Zertifikate können im Rahmen der Wirksamkeitsprüfung nach § 33 Abs. 2 berücksichtigt werden. Sie deckt aber nicht automatisch alle Pflichten des NISG ab — § 32 und der Wirksamkeitsnachweis nach § 33 bleiben eigenständig zu erfüllen.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – Bundesrecht, nis.gv.at, WKO.