Langsame Umsetzung

NIS2 ist eine EU-Richtlinie zur Stärkung der Resilienz gegen Cyber-Angriffe von wesentlichen, wichtigen Einrichtungen in Österreich und tritt als NISG 2026 mit 1. Oktober 2026 in Kraft. Eine gemeinsame Studie des österreichischen Cyber Security-Beratungsunternehmen Certainity mit dem Marktforschungsinstitut IMAS zeigt ein interessantes Detail: Nur rund die Hälfte der befragten Unternehmen sieht sich korrekt selbst als NIS2-relevant. Ein Viertel geht davon aus, nicht betroffen zu sein, weitere 26 % können dies nicht einschätzen. Befragt wurden ausschließlich Organisationen mit mehr als 50 Mitarbeiter:innen, die grundsätzlich in den Anwendungsbereich der Richtlinie fallen. „Hier herrscht akuter Handlungsbedarf“, zeigt Christoph Zajic, Cyber Security-Experte und Head of Process Consulting bei Certainity auf. „Denn die Anwendbarkeit von NIS2 ist klar geregelt – wer aus Unsicherheit oder Unwissen zu spät oder gar nicht mit der Umsetzung startet, trägt gleich ein zweifaches Risiko: leichter Opfer von Cyber-Kriminalität zu werden und erheblichen Sanktionen ausgesetzt zu sein.“

Kein reines IT-Projekt. 

Zum Zeitpunkt der Befragung hatten die teilnehmenden Unternehmen im Durchschnitt erst 30 % der Vorgaben für NIS2 umgesetzt. Gleichzeitig gehen vier von fünf Organisationen davon aus, dass sie bis zum Ende der Übergangsfrist Ende September 2026 zumindest 75 % der Anforderungen umgesetzt haben. Doch der Optimismus trügt. Denn NIS2 ist in über 70 % der Organisationen in der IT-Abteilung als Projekt verankert. Die Cyber Security-Richtlinie der EU betrifft aber die gesamte Organisation, ist dementsprechend komplex und damit ein übergreifendes Managementthema. Die Richtlinie sieht so auch eine Haftung des Top-Managements für die Umsetzung von NIS2 vor. „NIS2 ist kein reines IT-Projekt. Eine effiziente Umsetzung braucht Management-Fokus und klare Prioritäten im gesamten Unternehmen“, betont Zajic. „Wer erst knapp vor der Deadline ernsthaft mit NIS2 beginnt, hat nicht nur einen hohen Zeitdruck, sondern riskiert auch deutlich höhere Umsetzungskosten.“

Kosten bleiben zentrale Herausforderung. 

Budget, Bürokratie und Ressourcenaufwand werden in der Studie am häufigsten als Hürden bei der Implementierung von NIS2 genannt. Gleichzeitig bestätigen rund drei Viertel der befragten Organisationen, dass die Umsetzung von NIS2 die Sicherheit im Unternehmen verbessert. „NIS2 wird als Herausforderung wahrgenommen, aber nicht als bloße Bürokratie, die nichts bringt, im Gegenteil: Eine strukturierte Umsetzung wird von den Unternehmen als klarer Mehrwert für die eigene Sicherheitslage wahrgenommen“, streicht Christoph Zajic ein Ergebnis der gemeinsamen Studie zu NIS2 hervor. Ein interessantes Detail für alle betroffenen Unternehmen: Eine ISO 27001-Zertifizierung kann künftig als Nachweis für die organisatorische und operative Umsetzung der NIS2-Anforderungen dienen. Unternehmen können damit ihre NIS2-Readiness nach außen hin offiziell belegen – erforderlich bleiben in der Regel nur noch technische Audits.