nisg26.at

Nach der Registrierung: Die NIS2-Selbstdeklaration bis 30.09.2027

In Kürze: Mit der Registrierung ist die NISG/NIS2-Pflicht nicht erledigt. Innerhalb von 12 Monaten ab Eintritt der Registrierungspflicht — somit bis 30.09.2027 — übermitteln betroffene Unternehmen der Cybersicherheitsbehörde eine Selbstdeklaration der umgesetzten Risikomanagementmaßnahmen (Wirksamkeitsnachweis, § 33 Abs. 1). Später kann die Behörde zusätzlich eine Prüfung durch eine unabhängige Stelle verlangen (§ 33 Abs. 2/3). Eine verspätete oder falsche Übermittlung fällt unter § 45 Abs. 4 — Geldstrafe bis 50.000 €, im Wiederholungsfall bis 100.000 €.

Die Selbstdeklaration ist die zweite große Frist nach der Registrierung — und der Moment, in dem sich zeigt, ob das Risikomanagement nicht nur auf dem Papier steht, sondern tatsächlich umgesetzt ist.

Was ist die NIS2-Selbstdeklaration?

Die Selbstdeklaration nach § 33 Abs. 1 ist eine strukturierte Information an die Cybersicherheitsbehörde über die nach § 32 umgesetzten Risikomanagementmaßnahmen — einschließlich der Begründung ihrer Verhältnismäßigkeit (§ 32 Abs. 3: Risikoexposition, Größe, Eintrittswahrscheinlichkeit und Schwere). Sie macht den Umsetzungsstand offiziell und nachvollziehbar.

  • Wer: wesentliche und wichtige Einrichtungen, die der Registrierungspflicht unterliegen.
  • Frist: innerhalb von 12 Monaten ab Eintritt der Registrierungspflicht → 30.09.2027.
  • Inhalt: Stand der § 32-Maßnahmen (Mindestinhalte a–j) und Begründung ihrer Angemessenheit.
  • Form: strukturierte Übermittlung nach den Vorgaben der Behörde (§ 33 Abs. 1).

Die zehn Mindestinhalte des Risikomanagements (a–j) sind in der Maßnahmen-Übersicht erläutert; den Gesamtüberblick über alle Pflichten finden Sie unter NIS2-Pflichten.

Die Fristen des § 33 im Überblick

Pflicht § Frist
Selbstdeklaration (Wirksamkeitsnachweis) § 33 Abs. 1 12 Monate ab Registrierungspflicht → 30.09.2027
Erste behördliche Aufforderung zur Prüfung frühestens § 33 Abs. 2 2 Jahre nach Inkrafttreten (also ab Oktober 2028)
Unabhängige Prüfung nach Aufforderung § 33 Abs. 2 innerhalb von 2 Jahren nach Aufforderung
— bei wesentlichen Einrichtungen: operative/organisatorische Umsetzung § 33 Abs. 2 innerhalb von 2 Monaten nach Aufforderung
Vorab-Ankündigung geplanter Prüfungen (Prüfplan) § 33 Abs. 5 mindestens 1 Monat im Voraus

Selbstdeklaration (Abs. 1) und unabhängige Prüfung (Abs. 2/3)

§ 33 kennt zwei Stufen des Wirksamkeitsnachweises:

1. Selbstdeklaration (Abs. 1). Das Unternehmen erklärt selbst den Umsetzungsstand seiner Risikomanagementmaßnahmen und übermittelt diese Erklärung strukturiert nach den Vorgaben der Behörde — bis 30.09.2027.

2. Prüfung durch eine unabhängige Stelle (Abs. 2/3). Auf Aufforderung der Behörde kann zusätzlich ein externer Nachweis verlangt werden:

  • Die Prüfung ist innerhalb von 2 Jahren nach der Aufforderung durchzuführen. Bei wesentlichen Einrichtungen ist die operative und organisatorische Umsetzung der Maßnahmen bereits innerhalb von 2 Monaten nach der Aufforderung nachzuweisen.
  • Die erste Aufforderung ist frühestens 2 Jahre nach Inkrafttreten des NISG möglich (also ab Oktober 2028).
  • Bestehende, gültige Zertifizierungen können angerechnet werden.
  • Der Prüfbericht (Abs. 3) wird von den Leitungsorganen und den unabhängigen Prüfern unterzeichnet und enthält festgestellte Mängel samt Maßnahmenplan zu deren Behebung.
  • Die Kosten der Prüfung trägt grundsätzlich die geprüfte Einrichtung (Abs. 4, Ausnahmen möglich).
  • Geplante Prüfungen sind der Behörde mindestens einen Monat im Voraus anzukündigen (Abs. 5, Prüfplan).

Was passiert bei verspäteter Selbstdeklaration?

Die verspätete oder wissentlich falsche Selbstdeklaration bzw. ein verspäteter Prüfbericht ist ein administrativer Verstoß nach § 45 Abs. 4: Geldstrafe bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 €.

Das ist die zweite Stufe des Verwaltungsstrafrahmens. Die hohen Beträge der Schlagzeilen (bis 10 Mio. € bzw. 2 % des weltweiten Vorjahresumsatzes für wesentliche, bis 7 Mio. € bzw. 1,4 % für wichtige Einrichtungen) greifen bei inhaltlichen Pflichtverstößen — etwa fehlendem Risikomanagement nach § 32 — nicht bei der bloßen Verspätung der Deklaration. Die Einordnung der Stufen erläutert der Beitrag NIS2-Strafen.

So bereiten Sie sich vor

  1. § 32-Maßnahmen sauber dokumentierenMaßnahmen-Übersicht (a–j).
  2. Verhältnismäßigkeit begründen — warum ist Ihr Schutzniveau im Verhältnis zu Risikoexposition und Größe angemessen?
  3. Wirksamkeit belegen — mit Kennzahlen, Audits und Tests, nicht nur mit Richtlinientexten.
  4. Nachweise einfrieren — datiert und unveränderlich, damit der Stand zum Stichtag jederzeit belegbar bleibt.

Wer Maßnahmen und Nachweise von Beginn an strukturiert führt, erstellt die Selbstdeklaration nahezu „auf Knopfdruck" — statt im Spätsommer 2027 den Umsetzungsstand zu rekonstruieren.

Die NISG-Plattform unterstützt Sie dabei: Sie verknüpft jede § 32-Maßnahme mit dem zugehörigen Nachweis, friert den Stand als unveränderlichen Snapshot ein und protokolliert jede Änderung in einem manipulationssicheren Audit-Ledger — so bleiben prüffeste Nachweise auch Jahre später überprüfbar.

Von der Registrierung zum Nachweis — ohne Bruch

Führen Sie Maßnahmen und Nachweise von Anfang an prüffest. Klären Sie zuerst Ihre Einstufung. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Was ist die NIS2-Selbstdeklaration? Eine strukturierte Information an die Cybersicherheitsbehörde über die nach § 32 umgesetzten Risikomanagementmaßnahmen und deren Verhältnismäßigkeit (§ 33 Abs. 1).

Bis wann muss die Selbstdeklaration erfolgen? Innerhalb von 12 Monaten ab Eintritt der Registrierungspflicht — somit bis 30.09.2027.

Was ist der Unterschied zwischen Selbstdeklaration und Prüfbericht? Die Selbstdeklaration (Abs. 1) erklärt das Unternehmen selbst. Den Prüfbericht (Abs. 2/3) erstellt eine unabhängige Stelle nach behördlicher Aufforderung; er wird von Leitungsorganen und Prüfern unterzeichnet und enthält Mängel samt Maßnahmenplan.

Wann kann die unabhängige Prüfung verlangt werden? Eine Aufforderung ist frühestens 2 Jahre nach Inkrafttreten möglich (ab Oktober 2028). Die Prüfung ist dann binnen 2 Jahren durchzuführen; wesentliche Einrichtungen weisen die operative Umsetzung binnen 2 Monaten nach.

Was passiert, wenn ich die Frist versäume? Die verspätete oder falsche Selbstdeklaration ist ein administrativer Verstoß nach § 45 Abs. 4: Geldstrafe bis 50.000 €, im Wiederholungsfall bis 100.000 €.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025), § 33. Quellen: RIS – Bundesrecht, nis.gv.at, WKO.