NIS2-Vorlagen: Welche Muster Sie wirklich brauchen — und wo sie an Grenzen stoßen

In Kürze: Für die NISG-2026-Umsetzung kursieren viele „NIS2-Vorlagen". Tatsächlich brauchen Sie Struktur für vier Dinge: die Registrierung (sieben § 29-Angaben), das Risikomanagement (zehn Mindestinhalte a–j, § 32), die Vorfallmeldung (24 h / 72 h / 1 Monat, § 34) und den Wirksamkeitsnachweis (Selbstdeklaration, § 33). Eine statische Word-Vorlage liefert den Rahmen — aber NIS2 verlangt Fristen, Änderungsmeldungen und prüffeste Nachweise, die ein einmalig ausgefülltes Dokument nicht abbildet. Dieser Beitrag zeigt, was in jede Vorlage gehört — und wie Sie daraus einen belastbaren Nachweis machen. → Erst Geltungsbereich prüfen.

„Gibt es für NIS2 eine Vorlage?" ist eine der häufigsten Fragen — verständlich, denn eine gute Struktur spart Zeit. Die ehrliche Antwort: Eine Vorlage ist ein guter Startpunkt, aber kein Konformitätsnachweis. Wer die Pflichten des NISG 2026 (BGBl. I Nr. 94/2025) nur in ein Dokument schreibt und ablegt, hat das Wichtigste — Aktualität und Nachweisbarkeit — noch vor sich.

Welche NIS2-Vorlagen brauchen Sie wirklich?

1. Registrierungs-Vorlage (§ 29 Abs. 2) — die sieben Pflichtangaben

Die Registrierung verlangt einen festen Satz von sieben Angaben in der Reihenfolge des Gesetzes:

Feldgenaue Erläuterungen: Die 7 § 29-Pflichtangaben.

2. Risikomanagement-Vorlage (§ 32 Abs. 4) — die zehn Mindestinhalte

Ein § 32-Konzept sollte je Buchstabe a–j festhalten, was umgesetzt ist und wie es belegt wird:

• a) Risikoanalyse & Sicherheitskonzepte · b) Bewältigung von Sicherheitsvorfällen · c) Betriebskontinuität (Backup/Wiederherstellung/Krisenmanagement) · d) Lieferkettensicherheit · e) Sicherheit bei Erwerb/Entwicklung/Wartung · f) Bewertung der Wirksamkeit · g) Cyberhygiene & Schulung · h) Kryptografie · i) Personalsicherheit, Zugriffskontrolle, Asset-Management · j) Multi-Faktor-Authentifizierung & gesicherte Kommunikation.

Diese a–j sind gesetzliche Mindestinhalte, kein abschließender Haken-Katalog (§ 32 Abs. 3/4). Umsetzungshinweise: Die 10 § 32-Maßnahmen.

3. Meldevorlage (§ 34) — die Fristenkette

Eine Vorfallmeldung folgt einer festen Kaskade an das zuständige CSIRT:

• 24 h — Frühwarnung nach Kenntnisnahme
• 72 h — Meldung mit Bewertung (Schweregrad, ggf. Kompromittierungsindikatoren)
• 1 Monat — Abschlussbericht (Ursachen, Abhilfe, ggf. grenzüberschreitende Auswirkungen)

Eine Meldevorlage hält diese Felder bereit, bevor der Ernstfall eintritt. Maßgeblich für „melden ja/nein" ist die Erheblichkeitsschwelle des § 35. → NIS2-Meldepflicht.

4. Selbstdeklarations-Vorlage (§ 33 Abs. 1)

Die Selbstdeklaration (bis 30.9.2027) strukturiert die Information an die Behörde über die umgesetzten § 32-Maßnahmen. Sie baut direkt auf der Risikomanagement-Vorlage auf. → Selbstdeklaration & Nachweis.

Warum statische Vorlagen an Grenzen stoßen

Ein einmal ausgefülltes Word- oder Excel-Dokument bildet vier NIS2-Realitäten nicht ab:

• Fristen. Registrierung bis 31.12.2026, Selbstdeklaration bis 30.9.2027, Meldungen in 24 h / 72 h / 1 Monat — eine Vorlage erinnert nicht.
• Änderungsmeldungen. Neue Niederlassung oder Kontaktstelle? Die Angaben Z 1–5 sind binnen 2 Wochen, Z 6–7 binnen 3 Monaten nachzumelden (§ 29 Abs. 4). Eine statische Datei verfällt still.
• Nachweisbarkeit. Im Aufsichts- oder Prüffall (§ 33) zählt, was Sie wann belegen können — nicht, dass irgendwo ein Dokument liegt.
• Versionierung. Wer hat wann was geändert? Ohne nachvollziehbare Historie ist ein Nachweis angreifbar.

Genau deshalb ist „NIS2-Vorlage herunterladen, ausfüllen, ablegen" der häufigste Scheinfortschritt: Das Dokument existiert, die Pflicht bleibt offen.

Von der Vorlage zum prüffesten Nachweis

Sinnvoller als eine statische Datei ist eine strukturierte, fortschreibbare Dokumentation. Die NISG-Plattform bündelt die sieben § 29-Angaben in einem unveränderlichen Snapshot, leitet aus Ihrer Einstufung datierte Aufgaben mit Fristen-Tracking ab und sichert Nachweise in einem manipulationssicheren Audit-Ledger — also genau dort, wo die statische Vorlage aufhört. Die rechtliche Bewertung und die Einreichung bei der Behörde verbleiben bei Ihnen; die Plattform unterstützt Struktur, Aktualität und Nachweis.

Statt Vorlage ausfüllen: § 29-Paket strukturiert erstellen

Erstellen Sie Ihre Registrierungsangaben als unveränderlichen Snapshot mit Fristen-Tracking — und behalten Sie Änderungs- und Nachweispflichten im Blick. → Jetzt kostenlos starten

Häufige Fragen (FAQ)

Gibt es eine offizielle NIS2-Vorlage? Das Gesetz gibt Inhalte vor (z. B. die sieben § 29-Angaben, die zehn § 32-Mindestinhalte), aber kein amtliches Formularmuster zum Download. Maßgeblich ist, dass Ihre Dokumentation diese Inhalte vollständig und belegbar abbildet.

Reicht eine Word- oder Excel-Vorlage für NIS2? Als Startstruktur ja, als Nachweis nur eingeschränkt. NIS2 verlangt fortlaufende Aktualität (Änderungsmeldungen, § 29 Abs. 4), Fristen­einhaltung und prüffeste Nachweise (§ 33) — das leistet ein statisches Dokument nicht.

Welche NIS2-Vorlagen brauche ich mindestens? Vier: für die Registrierung (§ 29), das Risikomanagement (§ 32 a–j), die Vorfallmeldung (§ 34) und die Selbstdeklaration (§ 33).

Wo bekomme ich die § 29-Vorlage? Den genauen Feldsatz finden Sie unter Die 7 § 29-Pflichtangaben; die Plattform erzeugt daraus ein strukturiertes, prüffestes Registrierungspaket.

Garantiert eine ausgefüllte Vorlage die NIS2-Konformität? Nein. Eine Vorlage ordnet die Inhalte; die Konformität ergibt sich aus der tatsächlichen Umsetzung und ihrem Nachweis. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – NISG 2026, BGBl. I Nr. 94/2025, nis.gv.at, WKO.