NIS2-Software: Worauf Sie bei der Auswahl achten sollten
In Kürze: Gute NIS2-Software begleitet den gesamten Weg — von der Geltungsbereichs-Prüfung über das § 29-Registrierungspaket und das Risikomanagement nach § 32 bis zum prüffesten Nachweis. Entscheidend sind Nachvollziehbarkeit (jede Funktion verweist auf ihren Paragrafen), Fristen-Tracking und EU-Hosting/DSGVO. Welche Lösung am Ende passt, hängt von Ihrer Größe, Ihrem Sektor und Ihren bestehenden Prozessen ab.
NIS2-Compliance scheitert selten am guten Willen, sondern an Fristen, Nachweisen und Zuständigkeiten. Software kann das strukturieren — wenn sie die richtigen Dinge kann. Diese neun Kriterien helfen bei der Auswahl. Sie ersetzen keine individuelle Rechtsberatung, geben Ihnen aber eine prüfbare Vergleichsgrundlage.
9 Auswahlkriterien
| # | Kriterium | Warum wichtig |
|---|---|---|
| 1 | Nachvollziehbare Geltungsbereichs-Prüfung (§ 24/25) | detaillierte Einstufung im Scope-Wizard mit dokumentierter Regel-Spur statt Bauchgefühl |
| 2 | § 29-Registrierungspaket | alle 7 Pflichtangaben (§ 29 Abs. 2) gebündelt für die eigene Einreichung, als unveränderlicher Snapshot |
| 3 | Fristen-Tracking | datierte Aufgaben: 31.12.2026 (Erstregistrierung), 2 Wochen (Änderungsmeldung), 30.9.2027 (Selbstdeklaration) |
| 4 | § 32-Selbstbewertung | die 10 Mindestmaßnahmen (a–j) strukturiert, mit Verhältnismäßigkeit nach § 32 Abs. 3 |
| 5 | Melde-Workflow (24 h / 72 h / 1 Monat) | vorbereitete Prozesse & Vorlagen für die Meldung ans zuständige CSIRT |
| 6 | Prüffeste Nachweise / Audit-Ledger | im Audit zählt, was Sie belegen können — manipulationssicher und unveränderlich |
| 7 | Lieferketten-/Asset-Abbildung | Blind Spots in Rechtsträger → Dienste → Lieferanten erkennen |
| 8 | EU-Hosting & DSGVO | Daten in der EU, saubere Auftragsverarbeitung (AVV) als Grundlage |
| 9 | Zweisprachig DE/EN & Mandantentrennung | für DACH-Teams und Gruppenstrukturen |
Kriterium 4 im Detail: Deckt die Software die 10 § 32-Maßnahmen ab?
Das Risikomanagement ist das Herzstück der NIS2-Pflichten. § 32 Abs. 4 NISG nennt mindestens zehn Inhalte (a–j), die eine betroffene Einrichtung „geeignet und verhältnismäßig" umsetzen muss. Eine gute Plattform bildet diese Maßnahmen als Selbstbewertung ab — prüfen Sie bei der Auswahl, ob alle zehn abgedeckt sind:
- a) Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme
- b) Bewältigung von Cybersicherheitsvorfällen (Incident Handling)
- c) Aufrechterhaltung des Betriebs — Backup-Management, Wiederherstellung, Krisenmanagement
- d) Sicherheit der Lieferkette (inkl. Beziehungen zu unmittelbaren Anbietern/Dienstleistern)
- e) Sicherheit bei Erwerb, Entwicklung und Wartung — inkl. Schwachstellenmanagement
- f) Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
- g) grundlegende Cyberhygiene und Schulungen
- h) Kryptografie und ggf. Verschlüsselung
- i) Personalsicherheit, Zugriffskontrolle und Asset-Management
- j) Multi-Faktor-/kontinuierliche Authentifizierung und gesicherte Kommunikation
Wichtig für die Software-Auswahl: Die a–j sind Mindestinhalte, keine abschließende „Checkliste, nach der man automatisch konform ist". Die Cybersicherheitsbehörde kann per Verordnung nähere Anforderungen festlegen (§ 32 Abs. 5). Eine Plattform sollte daher nicht „Konformität" versprechen, sondern Ihre Umsetzung nachvollziehbar dokumentieren und Sie bei der Vorbereitung unterstützen — Details im Ratgeber Risikomanagement-Maßnahmen nach § 32.
Make, Buy oder Beratung?
- Eigenleistung (Excel & Co.): günstig im Einstieg, aber fehleranfällig bei Fristen und Nachweisen.
- Beratung: wertvoll für Strategie und Einzelfragen — laufende Pflichten bleiben aber bei Ihnen.
- Plattform: strukturiert den Dauerbetrieb (Fristen, Nachweise, Registrierungs-Vorbereitung) und ergänzt die Beratung ideal.
In der Praxis gewinnt meist die Kombination: Plattform für den strukturierten Betrieb, Beratung für die kniffligen Einzelfälle. Die rechtliche Einordnung im konkreten Fall bleibt Sache Ihrer Berater:innen — die Software liefert die nachvollziehbare Faktenbasis dafür.
Worauf Sie verzichten können
Brauchen Sie keinen „Enterprise-Overkill"? Achten Sie auf Time-to-Value: Eine Lösung, mit der Sie in Minuten zur ersten Einstufung kommen und in Tagen registrierungsbereit sind, schlägt ein monatelanges Implementierungsprojekt — gerade angesichts der Frist 31.12.2026 für die Erstregistrierung.
Die Plattform, die jeden Schritt auf seinen Paragrafen zurückführt
Von der Einstufung bis zum prüffesten Nachweis — sehen Sie, wie das in der Praxis aussieht. → NIS2-Plattform ansehen · → Erst kostenlos prüfen
Häufige Fragen (FAQ)
Was sollte NIS2-Software können? Geltungsbereichs-Prüfung, Registrierungspaket (§ 29), Fristen-Tracking, § 32-Selbstbewertung der zehn Maßnahmen, Melde-Workflow und prüffeste Nachweise — idealerweise mit EU-Hosting. Mehr dazu im Überblick NIS2-Pflichten.
Reicht Excel für NIS2? Für den Einstieg vielleicht, für den Dauerbetrieb riskant: Fristen und Nachweise lassen sich kaum revisionssicher führen, und im Audit zählt vor allem die nachvollziehbare Belegkette.
Brauche ich Software oder Beratung? Beides ergänzt sich. Software strukturiert die laufenden Pflichten, Beratung hilft bei strategischen Einzelfragen. Keine Plattform ersetzt die rechtliche Bewertung Ihres Einzelfalls.
Macht mich eine NIS2-Software automatisch konform? Nein. Software unterstützt Ihre Compliance-Vorbereitung und dokumentiert Ihre Umsetzung prüffest — die Verantwortung für die Maßnahmen nach § 32 und deren Beaufsichtigung bleibt beim Leitungsorgan (§ 31). Maßgeblich ist und bleibt der Gesetzestext.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.