Selbstdeklaration bei NIS2!

Das NISG 2026 setzt die EU-Richtlinie NIS-2 in Österreich um und verschärft die Cybersicherheitsanforderungen für Unternehmen deutlich. Es gilt eine Übergangsfrist: Bis zum 30. September 2026 bleibt das bisherige NISG 2018 in Kraft, die neue NIS2 tritt am 01.10.2026 in Kraft.

Wer ist betroffen?

Wie überall sind mittlere und große Unternehmen (ab 50 Mitarbeitende oder > 10 Mio. Euro Umsatz/Bilanzsumme) in definierten NIS-Sektoren. Und auch kleinere Unternehmen können über die Lieferkette oder über ihr spezielles Angebot betroffen sein.

Was ist zu tun?

Es geht u. a. um die Umsetzung verbindlicher Risikomanagementmaßnahmen, Registrierung, Schulung der Leitungsorgane und Meldepflicht bei Sicherheitsvorfällen.

Welche Fristen sind relevant?

Es sind Fristen entscheidend, die vom o.g. Inkrafttreten abweichen. Bereits am 01.10.2026 gelten Risikomanagement & Meldepflicht, die Leitungsorgane müssen geschult sein. Leitungsorgan ist eine oder sind mehrere natürliche Personen oder Verwaltungsorgane, die nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung berufen sind, z.B. Geschäftsführung oder Vorstand.

Bis 01.01.2027 muss die Registrierung abgeschlossen sein. Das ist inhaltlich relativ einfach.

Achtung: Selbstdeklaration

Besonders wichtig ist die bis zum 30.09.2027 einzureichende Selbstdeklaration!

Im Rahmen der Deklaration müssen Unternehmen eine Information zu den umgesetzten Risikomanagementmaßnahmen an die Cybersicherheitsbehörde übermitteln.

• So müssen diese auch detaillierte Nachweise erbringen über die genutzten Netz- und Informationssysteme, eine strukturierte Erfassung und Dokumentation aller geschäftskritischen IT- und OT-Systeme (Operational Technology).

• Auch Ergebnisse der Risikoanalyse sind zu liefern, es braucht einen Nachweis, dass eine formelle und fundierte Bewertung der Cybersicherheitsrisiken für das gesamte Unternehmen durchgeführt wurde.

• Zum Stand der umgesetzten Risikomanagementmaßnahmen sind konkrete Angaben nötig, wie die gesetzlich geforderten Mindeststandards (Cyber-Hygiene, Vorfallsbehandlung, Verschlüsselung, Business Continuity etc.) im Betrieb bereits technisch und organisatorisch implementiert sind.

• Für die Sicherheit der Lieferketten braucht es eine Dokumentation und Nachweise darüber, wie Cyberrisiken in Bezug auf direkte Lieferanten und Dienstleister bewertet und minimiert werden.

Wer heute schon ein ISMS nach ISO 27001 oder TISAX hat, muss also nicht mehr viel tun.

Aktion

Der NIS2-Umsetzungsrahmen ist bekannt, die Registrierung ist einfach, bis 2027 kann man vieles umsetzen.

Aber die Risikomanagementmaßnahmen, die Meldepflicht und die Schulungen der Leitungsorgane müssen bis 1.10.2026 umgesetzt sein!

Und die Selbstdeklaration hat einiges an Dokumentationsaufgaben, die an sich nicht kritisch sind und ohnehin nötig, um das NIS2-Schutz-System aufzubauen. Aber aus dem Stand sind diese sicher nicht für alle Organisationen einfach zu leisten.

Und zum Vergleich: Dazu werden in Deutschland – stand heute - keine konkreten Nachweise verlangt, eine Deklaration gibt es dort nicht.

Ergebnis

Die Sicherheit wächst in jedem Falle, wenn alles implementiert ist, aber nicht jede Organisation ist heute schon gut aufgestellt und hat schon die nötigen Skills im Personal aufgebaut und die Umsetzungsmaßnahmen gestartet. Fangen Sie jetzt schon an.

Und bis zum 1.10.2026 ist es nicht mehr lange hin!

Die gute Nachricht

Ein ISMS (wie z. B. EnterpriseOS) kann bei der Umsetzung der NIS2 helfen und eine gute Grundlage liefern.

Fordern Sie eine Demo an!