In Kürze: Die NIS2-Umsetzung lässt sich in fünf Phasen gliedern: (1) Betroffenheit & Einstufung klären, (2) bis 31.12.2026 registrieren (§ 29), (3) Risikomanagement mit den 10 Mindestmaßnahmen aufbauen (§ 32), (4) Melde- und Governance-Prozesse einrichten (§ 34, § 31), (5) Wirksamkeit nachweisen und bis 30.9.2027 selbst deklarieren (§ 33). Wer früh und strukturiert vorgeht, vermeidet teure Eilarbeit. Erster Schritt: Betroffenheit prüfen.
NIS2-Compliance ist kein einmaliges Projekt, sondern ein dauerhafter Zustand. Trotzdem hilft ein klarer Fahrplan, um vom „betrifft uns vielleicht" zu einem nachweisbaren Umsetzungsstand zu kommen. Diese fünf Phasen strukturieren den Weg; den inhaltlichen Überblick liefert der Pillar NIS2-Pflichten.
Phase 1 — Betroffenheit & Einstufung
Bevor Sie irgendetwas umsetzen, muss klar sein, ob und wie Sie betroffen sind:
- Fallen Sie in einen der 18 Sektoren (Anlage 1 oder 2)?
- Erreichen Sie die Größenschwelle (ab 50 MA oder > 10 Mio. € Umsatz und Bilanzsumme)?
- Sind Sie wesentlich oder wichtig — oder größenunabhängig erfasst?
Dokumentieren Sie das Ergebnis mit Begründung — auch ein „nicht betroffen" sollte nachvollziehbar festgehalten sein. Start: NIS2-Betroffenheit oder direkt der kostenlose Check.
Phase 2 — Registrierung bis 31.12.2026 (§ 29)
Betroffene Einrichtungen registrieren sich bei der Cybersicherheitsbehörde — mit den sieben Pflichtangaben nach § 29 Abs. 2 (Name, Niederlassungen, Kontaktstelle, Sektor, betroffene Mitgliedstaaten, IP-Bereiche, Schwellenwert-/Einstufungsangaben). Da diese Daten aus dem ganzen Unternehmen kommen, früh mit der Datensammlung beginnen. Änderungen sind später fristgerecht zu melden (Z 1–5 binnen 2 Wochen, Z 6–7 binnen 3 Monaten).
Phase 3 — Risikomanagement aufbauen (§ 32)
Das Herzstück. § 32 verlangt mindestens zehn geeignete und verhältnismäßige Maßnahmen (a–j) — gefahrenübergreifend, vom Risikomanagement-Konzept über Incident Handling, Backup/Krisenmanagement, Lieferkettensicherheit, Schwachstellenmanagement und Cyberhygiene/Schulungen bis zu Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung.
Praxis-Tipp: Bestehendes nutzen. Wer bereits ein ISMS (z. B. ISO 27001) betreibt, hat viele Maßnahmen schon abgedeckt — abgleichen statt neu bauen. Die vollständige Liste: Die 10 Risikomanagementmaßnahmen. Die Maßnahmen sind Mindestinhalte; nähere Anforderungen kann eine Verordnung konkretisieren (§ 32 Abs. 5).
Phase 4 — Melde- und Governance-Prozesse (§ 34, § 31)
- Meldeprozess (§ 34): einen klaren Ablauf für 24 h Frühwarnung / 72 h Meldung / 1 Monat Abschlussbericht festlegen — inklusive Zuständigkeiten und Vorlagen. Details: NIS2-Meldepflicht.
- Governance (§ 31): Das Leitungsorgan muss die Maßnahmen sicherstellen und beaufsichtigen und an Schulungen teilnehmen. Diese Verantwortung ist nicht delegierbar.
Phase 5 — Nachweis & Selbstdeklaration (§ 33)
Im Aufsichtsfall zählt, was Sie belegen können. Führen Sie deshalb eine prüffeste Belegkette (wer hat was wann umgesetzt/gemeldet). Bis 30.9.2027 ist die erste Selbstdeklaration der umgesetzten § 32-Maßnahmen fällig; eine unabhängige Prüfung kann verlangt werden. Mehr: Selbstdeklaration.
Selbst machen, Beratung oder Software?
Die laufenden Pflichten (Fristen, Selbstbewertung, Nachweise) lassen sich mit einer Plattform strukturieren, Beratung hilft bei strategischen Einzelfragen, Eigenleistung bei dem, was Ihr Team am besten kennt — meist eine Mischung. Worauf es bei Werkzeugen ankommt: NIS2-Software-Auswahl.
Vom Fahrplan zur Umsetzung — beginnen Sie bei Phase 1
Klären Sie kostenlos Ihre voraussichtliche Einstufung und leiten Sie daraus die nächsten Schritte ab. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Wie setze ich NIS2 um? In fünf Phasen: Betroffenheit klären, registrieren (§ 29), Risikomanagement aufbauen (§ 32), Melde- und Governance-Prozesse einrichten (§ 34/§ 31) und die Wirksamkeit nachweisen/selbst deklarieren (§ 33).
Wie lange dauert die NIS2-Umsetzung? Das hängt von Größe, Sektor und Reifegrad ab. Wer bereits ein ISMS betreibt, ist schneller. Wichtig ist, früh zu starten — vor allem die Registrierung bis 31.12.2026 und der Aufbau der § 32-Maßnahmen brauchen Vorlauf.
Wo fange ich bei der Umsetzung an? Mit der Betroffenheits- und Einstufungsprüfung. Ohne klare Einstufung lassen sich die weiteren Pflichten nicht sauber ableiten.
Reicht ISO 27001 für die Umsetzung? ISO 27001 ist eine sehr gute Grundlage und deckt viele § 32-Maßnahmen ab, ersetzt aber nicht die NIS2-spezifischen Pflichten wie Registrierung, Meldewesen und Selbstdeklaration.
Brauche ich für die Umsetzung eine Software? Nicht zwingend, aber eine Plattform senkt die laufende interne Zeit und das Risiko von Fristversäumnissen, weil Pflichten, Termine und Nachweise strukturiert geführt werden.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.