NIS2 & NISG 2026 — Was Unternehmen wissen müssen

Was ist NIS2 — und warum betrifft es Sie?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die Mindeststandards für Cybersicherheit in Unternehmen vorschreibt. Die erste Version (NIS1) galt nur für große Betreiber kritischer Infrastruktur — Energieversorger, Banken, Krankenhäuser. NIS2 weitet den Kreis drastisch aus.

In Österreich wird NIS2 durch das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) umgesetzt. Das Gesetz wurde Ende 2025 beschlossen. Die Umsetzungspflichten greifen im Laufe des Jahres 2026.

Die Kernbotschaft: IT-Sicherheit ist nicht mehr freiwillig. Für betroffene Unternehmen wird sie zur gesetzlichen Pflicht — mit empfindlichen Strafen bei Verstößen.

Wer ist betroffen?

NIS2 unterscheidet zwischen “wesentlichen” und “wichtigen” Einrichtungen in 18 Sektoren:

Wesentliche Einrichtungen (strengere Pflichten):

• Energie (Strom, Gas, Öl, Fernwärme)
• Verkehr (Luft, Schiene, Wasser, Straße)
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen (Krankenhäuser, Labore, Pharma)
• Trinkwasser und Abwasser
• Digitale Infrastruktur (Rechenzentren, DNS, Cloud-Anbieter)
• Öffentliche Verwaltung
• Weltraum

Wichtige Einrichtungen (moderatere Pflichten):

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittelproduktion und -vertrieb
• Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kfz)
• Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschungseinrichtungen

Schwellenwerte: Grundsätzlich betroffen sind Unternehmen ab 50 Mitarbeitern oder €10 Mio. Jahresumsatz. Aber Achtung: Für bestimmte Sektoren gibt es Ausnahmen nach unten — DNS-Anbieter und Domain-Registrare sind unabhängig von der Größe betroffen.

Die Lieferketten-Falle

Hier wird es für Kleinunternehmen relevant: NIS2 verpflichtet betroffene Unternehmen, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten. Das bedeutet:

Wenn Ihr Kunde ein NIS2-betroffenes Unternehmen ist, wird er von Ihnen Nachweise über Ihre IT-Sicherheit verlangen. Keine Zertifizierung, kein Auftrag. Das ist keine Theorie — es passiert bereits.

Ein Steuerberater mit 8 Mitarbeitern ist nicht direkt von NIS2 betroffen. Aber wenn sein größter Kunde ein Energieversorger ist, wird dieser Kunde fragen: “Wie sichern Sie unsere Finanzdaten?” Und “Wir passen schon auf” reicht dann nicht mehr als Antwort.

Was NIS2 konkret verlangt

Das Gesetz definiert zehn Bereiche, in denen Maßnahmen ergriffen werden müssen:

1. Risikomanagement

Sie müssen die Risiken für Ihre IT-Systeme systematisch erfassen und bewerten. Nicht einmal, sondern regelmäßig. Welche Systeme sind kritisch? Was passiert, wenn sie ausfallen? Wie wahrscheinlich ist ein Angriff?

2. Vorfallbehandlung

Was tun Sie, wenn ein Cyberangriff passiert? Sie brauchen einen Plan — und die Fähigkeit, ihn umzusetzen. Dazu gehören Erkennung, Analyse, Eindämmung und Wiederherstellung.

3. Meldepflichten

Schwerwiegende Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Innerhalb von 72 Stunden folgt eine detaillierte Meldung. Das erfordert, dass Sie Vorfälle überhaupt bemerken — viele Unternehmen tun das heute nicht.

4. Business Continuity

Backup-Strategien, Notfallpläne, Wiederherstellungsverfahren. Wie schnell können Sie nach einem Vorfall wieder arbeiten?

5. Lieferkettensicherheit

Bewertung der IT-Sicherheit Ihrer Dienstleister und Zulieferer. Vertragliche Sicherheitsanforderungen an Dritte.

6. Sicherheit bei Erwerb und Entwicklung

Neue IT-Systeme und Software müssen unter Sicherheitsaspekten bewertet werden.

7. Bewertung der Wirksamkeit

Regelmäßige Überprüfung, ob Ihre Sicherheitsmaßnahmen tatsächlich wirken. Audits, Tests, Überprüfungen.

8. Cyberhygiene und Schulungen

Mitarbeiterschulungen zu IT-Sicherheit. Passwortvorgaben. Phishing-Awareness. Die meisten Angriffe beginnen mit einem Klick auf den falschen Link.

9. Kryptographie und Verschlüsselung

Angemessene Verschlüsselung für Daten in Übertragung und Speicherung.

10. Zugriffskontrolle und Asset-Management

Wer hat Zugriff auf welche Systeme? Welche Geräte sind im Netzwerk? Multi-Faktor-Authentifizierung wird zum Standard.

Was das für Kleinunternehmen bedeutet

Wenn Sie ein Unternehmen unter 50 Mitarbeitern führen, atmen Sie kurz durch — NIS2 betrifft Sie wahrscheinlich nicht direkt. Aber:

Erstens: Die Lieferketten-Klausel (siehe oben) kann Sie indirekt treffen.

Zweitens: Unabhängig von NIS2 sind die Maßnahmen einfach gute IT-Praxis. Die DSGVO verlangt bereits “angemessene technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten. NIS2 macht nur konkreter, was “angemessen” bedeutet.

Drittens: Cyberangriffe treffen Kleinunternehmen besonders hart. Ein Ransomware-Angriff, der ein Kleinunternehmen für zwei Wochen lahmlegt, kann existenzbedrohend sein. Die Investition in grundlegende IT-Sicherheit lohnt sich — auch ohne gesetzliche Pflicht.

Pragmatische Schritte für Ihr Unternehmen

Sie müssen nicht alles auf einmal machen. Aber Sie sollten anfangen:

Schritt 1: Prüfen, ob Sie betroffen sind

Sind Sie in einem der 18 Sektoren tätig? Haben Sie mehr als 50 Mitarbeiter oder €10 Mio. Umsatz? Haben Sie Kunden, die unter NIS2 fallen? Wenn Sie unsicher sind, hilft eine kurze Beratung.

Schritt 2: IT-Sicherheits-Ist-Stand erfassen

Was haben Sie bereits? Firewall, Backup, Virenschutz, Passwortrichtlinien? Wo gibt es Lücken? Ein IT-Audit gibt Ihnen Klarheit.

Schritt 3: Grundschutz umsetzen

Für die meisten Kleinunternehmen sind das die wichtigsten Maßnahmen:

• Firewall: Professionelle Firewall statt Consumer-Router. pfSense oder Fortigate schützen Ihr Netzwerk zuverlässig.
• Backup: Automatische, verschlüsselte, getestete Backups. Die 3-2-1-Regel: 3 Kopien, 2 Medien, 1 extern.
• Updates: Betriebssysteme und Software aktuell halten. Klingt selbstverständlich, wird erschreckend oft vernachlässigt.
• Zugriffskontrolle: Nicht jeder braucht Adminrechte. Individuelle Benutzerkonten, starke Passwörter, Multi-Faktor-Authentifizierung.
• Schulung: Ihre Mitarbeiter sind die erste Verteidigungslinie. Ein kurzes Phishing-Training kann mehr bewirken als die teuerste Firewall.

Schritt 4: Dokumentation beginnen

NIS2 verlangt Nachweise. Fangen Sie an, Ihre Maßnahmen zu dokumentieren: Was wurde wann umgesetzt? Wann war das letzte Backup-Test? Wer hat Zugriff worauf?

Häufige Missverständnisse

“NIS2 betrifft nur große Konzerne.” Falsch. Ab 50 Mitarbeitern oder €10 Mio. Umsatz sind Sie dabei. Und über die Lieferkette können auch kleinere Unternehmen betroffen sein.

“Ich bin kein IT-Unternehmen, also bin ich nicht betroffen.” NIS2 betrifft 18 Sektoren, von Lebensmittel über Chemie bis Post. IT-Sicherheitspflichten gelten für alle, nicht nur für IT-Firmen.

“Eine Firewall und ein Virenscanner reichen.” NIS2 verlangt ein umfassendes Sicherheitskonzept: Risikomanagement, Vorfallbehandlung, Meldepflichten, Schulungen. Technik allein reicht nicht.

“Das Gesetz kommt eh nie.” Es ist bereits beschlossen. Die EU-Frist war Oktober 2024, Österreich hat Ende 2025 nachgezogen. Die Durchsetzung beginnt 2026.

Wie chilli IT helfen kann

NIS2-Compliance klingt nach Enterprise-Projekt mit sechsstelligem Budget. Muss es nicht sein.

Für Kleinunternehmen in Wien bieten wir:

• Kostenloses IT-Audit: Wir prüfen Ihren aktuellen IT-Sicherheitsstand und identifizieren die wichtigsten Lücken. Kein Verkaufsgespräch — eine ehrliche Bestandsaufnahme.
• Grundschutz-Paket: Firewall, Backup, Monitoring, Update-Management — die technische Basis für IT-Sicherheit. Im Rahmen unserer regulären IT-Betreuung ab €79/Monat pro Arbeitsplatz.
• Dokumentationshilfe: Wir helfen Ihnen, die geforderten Nachweise zu erstellen — pragmatisch und verhältnismäßig, nicht als Papierberg.

IT-Sicherheit muss weder kompliziert noch teuer sein. Aber sie muss gemacht werden. Fangen Sie an — wir helfen Ihnen dabei.