Die EU-Cyber-Sicherheitsrichtlinie NIS2 ist eine Richtlinie zur Stärkung der Resilienz gegen Cyber-Angriffe von wesentlichen, wichtigen Einrichtungen in Österreich und tritt als NISG 2026 mit 1. Oktober 2026 in Kraft.
Konkret kommt NIS2 für Organisationen ab einer Belegschaftsgröße von 50 Mitarbeiter:innen beziehungsweise einem Jahresumsatz von mehr als 10 Millionen Euro in systemkritischen Branchen verpflichtend zur Anwendung.
Das österreichische Cybersecurity-Beratungsunternehmen CERTAINITY in Wien hat nach der Veröffentlichung des NISG 2026 mit dem Marktforschungsinstitut IMAS in der empirischen Studie „NIS2 Sensor 2026“ den aktuellen Status der NIS2-Umsetzung in Österreich erhoben.
Betroffenheit und Komplexität
Die gemeinsame Studie zeigt ein interessantes Detail: Nur rund die Hälfte der befragten Unternehmen sieht sich korrekt selbst als NIS2-relevant. Ein Viertel geht davon aus, nicht betroffen zu sein, weitere 26 Prozent können dies nicht einschätzen.
Auffällig ist zudem, dass sich überwiegend Großunternehmen als betroffen einstufen, während kleinere Unternehmen deutlich zurückhaltender sind. Die zuvor festgestellte hohe Bekanntheit von NIS2 bedeutet somit nicht automatisch ein klares Verständnis der konkreten Auswirkungen auf das eigene Unternehmen.
Befragt wurden ausschließlich Organisationen mit mehr als 50 Mitarbeiter:innen, die grundsätzlich in den Anwendungsbereich der Richtlinie fallen.
„Hier herrscht akuter Handlungsbedarf. Denn die Anwendbarkeit von NIS2 ist klar geregelt – wer aus Unsicherheit oder Unwissen zu spät oder gar nicht mit der Umsetzung startet, trägt gleich ein zweifaches Risiko: leichter Opfer von Cyber-Kriminalität zu werden und erheblichen Sanktionen ausgesetzt zu sein“, analysiert Christoph Zajic, Cybersecurity-Experte und Head of Process Consulting bei CERTAINITY.
Zum Zeitpunkt der Befragung hatten die teilnehmenden Unternehmen im Durchschnitt erst 30 Prozent der Vorgaben für NIS2 umgesetzt.
Gleichzeitig gehen vier von fünf Organisationen davon aus, dass sie bis zum Ende der Übergangsfrist Ende September 2026 zumindest 75 Prozent der Anforderungen umgesetzt haben.
Doch der Optimismus trügt. Denn NIS2 ist in über 70 Prozent der Organisationen in der IT-Abteilung als Projekt verankert. Die Cybersecurity-Richtlinie der EU betrifft aber die gesamte Organisation, ist dementsprechend komplex und damit ein übergreifendes Managementthema. Die Richtlinie sieht so auch eine Haftung des Top-Managements für die Umsetzung von NIS2 vor.
„NIS2 ist kein reines IT-Projekt. Eine effiziente Umsetzung braucht Management-Fokus und klare Prioritäten im gesamten Unternehmen. Wer erst knapp vor der Deadline ernsthaft mit NIS2 beginnt, hat nicht nur einen hohen Zeitdruck, sondern riskiert auch deutlich höhere Umsetzungskosten“, verdeutlicht Christoph Zajic.
Kosten als zentrale Herausforderung
Budget, Bürokratie und Ressourcenaufwand werden in der Studie am häufigsten als Hürden bei der Implementierung von NIS2 genannt.
Während auf Gesamtebene vor allem Budget- und Verwaltungsaufwand dominieren, setzen große Unternehmen zusätzliche Schwerpunkte. Sie nennen häufiger IT-Voraussetzungen, Zugriffsverwaltung, Lieferantenmanagement und Kontrolle der Einhaltung als zentrale Herausforderungen.
Damit verschiebt sich der Fokus mit steigender Unternehmensgröße stärker in Richtung strategischer und externer Risikofaktoren. Neben finanziellen und administrativen Belastungen rücken komplexe Abhängigkeiten und regulatorische Unsicherheiten verstärkt in den Vordergrund.
Gleichzeitig bestätigen rund drei Viertel der befragten Organisationen, dass die Umsetzung von NIS2 die Sicherheit im Unternehmen verbessert.
„NIS2 wird als Herausforderung wahrgenommen, aber nicht als bloße Bürokratie, die nichts bringt, im Gegenteil: Eine strukturierte Umsetzung wird von den Unternehmen als klarer Mehrwert für die eigene Sicherheitslage wahrgenommen“, ergänzt Christoph Zajic.
Ein interessantes Detail für alle betroffenen Unternehmen: Eine ISO 27001-Zertifizierung kann künftig als Nachweis für die organisatorische und operative Umsetzung der NIS2-Anforderungen dienen. Unternehmen können damit ihre NIS2-Readiness nach außen hin offiziell belegen – erforderlich bleiben in der Regel nur noch technische Audits.
Die vollständige Studie können Sie hier gratis anfordern.
