NISG
AnmeldenKostenlos prüfen

NIS2-Zertifizierung: Gibt es das überhaupt?

NISG-Plattform-RedaktionStand Juni 20264 Min Lesezeit

In Kürze: Es gibt kein staatliches „NIS2-Zertifikat", das man erwirbt und damit „NIS2-konform" ist. Das NISG 2026 verlangt Registrierung (§ 29), Umsetzung der Risikomanagement­maßnahmen (§ 32) und eine Selbstdeklaration (§ 33) — gegebenenfalls mit Prüfung durch eine unabhängige Stelle. Eine ISO-27001-Zertifizierung ist eine starke Grundlage, ersetzt NIS2 aber nicht 1:1. Statt eines Zertifikats brauchen Sie einen nachweisbar dokumentierten Umsetzungsstand. Erster Schritt: Betroffenheit prüfen.

„Wie werden wir NIS2-zertifiziert?" ist eine der häufigsten — und missverständlichsten — Fragen. Die kurze Antwort: So funktioniert NIS2 nicht. Die lange Antwort klärt, was stattdessen zählt.

Kann man sich „nach NIS2 zertifizieren" lassen?

Nein, nicht im Sinne eines erwerbbaren Gütesiegels. NIS2 bzw. das NISG 2026 ist ein gesetzlicher Pflichtenrahmen, kein freiwilliges Zertifizierungsschema wie ISO 27001. Sie „bestehen" NIS2 nicht durch ein Audit mit Urkunde, sondern indem Sie die gesetzlichen Pflichten erfüllen und nachweisen können. Anbieter, die ein „NIS2-Zertifikat" versprechen, meinen in der Regel eine Beratungs- oder Reifegrad-Bestätigung — die kann nützlich sein, ist aber kein amtlicher Konformitätsnachweis.

Was NIS2 stattdessen verlangt

Drei nachweisbare Schritte statt eines Zertifikats:

Schritt Inhalt §
Registrierung Anmeldung bei der Cybersicherheitsbehörde § 29
Risikomanagement die 10 Mindestmaßnahmen umsetzen § 32
Selbstdeklaration umgesetzte Maßnahmen melden; ggf. Prüfung durch unabhängige Stelle § 33

Insbesondere die Selbstdeklaration nach § 33 ist der dem „Audit" am nächsten kommende Schritt: Die Behörde kann eine Prüfung durch eine unabhängige Stelle verlangen, über die ein Prüfbericht (mit Mängeln und Maßnahmenplan) erstellt wird — wobei der Nachweis der operativen und organisatorischen Umsetzung laut Gesetz auch durch einschlägige gültige Zertifikate möglich ist (§ 33 Abs. 2). Das ist aber eine behördlich veranlasste Prüfung, kein frei erwerbbares „NIS2-Zertifikat". Mehr dazu: Selbstdeklaration.

Welche Rolle spielt ISO 27001?

Eine große — aber nicht die einer Eintrittskarte:

  • ISO 27001 strukturiert ein Informationssicherheits-Managementsystem (ISMS) und deckt viele der § 32-Maßnahmen inhaltlich ab. Wer zertifiziert ist, hat einen erheblichen Vorsprung.
  • Aber: ISO 27001 deckt NIS2 nicht vollständig ab — Registrierung, die spezifischen Meldepflichten und die Governance-Pflichten der Leitung kommen obendrauf.
  • Eine ISO-Zertifizierung macht nicht automatisch „NIS2-konform" — aber ein einschlägiges gültiges Zertifikat kann im Nachweisverfahren (§ 33 Abs. 2) als Beleg der operativen und organisatorischen Umsetzung dienen.

Den vollständigen Vergleich gibt es unter NIS2 vs. ISO 27001.

Können Zertifizierungen trotzdem gefordert werden?

In bestimmten Fällen ja — aber auf gesetzlicher Grundlage, nicht als allgemeines „NIS2-Siegel": Die Cybersicherheitsbehörde kann Einrichtungen verpflichten, zertifizierte IKT-Produkte, -Dienste oder -Prozesse (nach europäischen Zertifizierungsschemata gemäß VO (EU) 2019/881) zu verwenden, um bestimmte § 32-Anforderungen nachzuweisen (§ 40). Zusätzlich kann sie per Verordnung nähere Anforderungen an die Risikomanagementmaßnahmen festlegen (§ 32 Abs. 5). Maßgeblich ist jeweils die konkrete Rechtsgrundlage; ein pauschales „Zertifikat macht konform" lässt sich daraus nicht ableiten.

Was Sie wirklich brauchen: Nachweisbarkeit

Statt einer Urkunde brauchen Sie einen prüffest dokumentierten Compliance-Stand: dokumentierte Einstufung, fristgerechte Registrierung, umgesetzte § 32-Maßnahmen und eine manipulationssichere Belegkette. Im Aufsichtsfall zählt, was Sie belegen können — nicht, welches Logo Sie führen.

Beginnen Sie beim Fundament: der Einstufung

Ein Zertifikat brauchen Sie nicht — einen klaren, nachweisbaren Umsetzungsstand schon. Starten Sie mit der kostenlosen Betroffenheitsprüfung. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Gibt es eine offizielle NIS2-Zertifizierung? Nein. NIS2 bzw. das NISG 2026 ist ein gesetzlicher Pflichtenrahmen. Es gibt kein staatliches Zertifikat, das man erwirbt und damit „konform" ist — gefordert sind Registrierung, Umsetzung der § 32-Maßnahmen und die Selbstdeklaration.

Macht mich ISO 27001 NIS2-konform? Nein, aber es hilft erheblich. ISO 27001 deckt viele § 32-Maßnahmen ab, und ein gültiges Zertifikat kann im Nachweisverfahren (§ 33 Abs. 2) als Beleg dienen — es ersetzt jedoch nicht die NIS2-spezifischen Pflichten wie Registrierung, Meldewesen und Governance.

Was ist die Selbstdeklaration nach § 33? Die Meldung der umgesetzten Risikomanagement­maßnahmen an die Behörde. Diese kann eine Prüfung durch eine unabhängige Stelle verlangen, über die ein Prüfbericht erstellt wird — das kommt einem „Audit" am nächsten.

Bringt ein „NIS2-Zertifikat" eines Beraters etwas? Eine Reifegrad- oder Beratungsbestätigung kann intern nützlich sein, ist aber kein amtlicher Konformitätsnachweis. Maßgeblich bleibt die Erfüllung der gesetzlichen Pflichten.

Was zählt im Aufsichtsfall? Die Nachweisbarkeit: dokumentierte Einstufung, Registrierung, umgesetzte Maßnahmen und eine prüffeste Belegkette.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.