NIS-2 kommt: Was KMU jetzt wissen und tun müssen
@frauenbusinessatalexa | Wien 2026 | Werbung.Unbezahlt.
Mit mehr als einjähriger Verspätung bekam Österreich im Dezember ein zeitgemäßes Gesetz zu Netz- und Informationssystemsicherheit. Mit NIS-2 wird der Kreis der betroffenen Unternehmen ab 2026 deutlich größer – und damit steigen auch die Anforderungen an KMU. Für viele Betriebe beginnt jetzt ein entscheidender Countdown: Rund neun Monate bleiben voraussichtlich Zeit, um die notwendigen Maßnahmen zu planen und umzusetzen.
Im November wurde der Entwurf für das Netz- und Informationssystemsicherheitsgesetz 2 (NIS-2) ins Parlament eingebracht und im Dezember beschlossen. Das Gesetz legt klare Mindeststandards für Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen fest und soll die Resilienz gegenüber Cyberangriffen erhöhen. Neben den rund 4.000 direkt betroffenen mittleren und großen Unternehmen werden auch zahlreiche KMU als Zulieferer in die Verantwortung genommen. In Wien ist der Großteil der Unternehmen indirekt betroffen.
„Spätestens jetzt ist es Zeit zu handeln! Vor allem Kleinst- und Kleinunternehmen müssen die nächsten Monate gemeinsam mit ihren IT-Experten nutzen, um die neuen Anforderungen zu erfüllen, die sich in der Lieferkette durch die Einführung der NIS-2-Richtlinie ergeben“, betont Rüdiger Linhart, Berufsgruppensprecher IT der UBIT Wien.
Was KMU jetzt tun müssen
Auch wenn einige Detailbestimmungen noch ausstehen, können Unternehmen bereits viele Schritte vorbereiten. Wichtig: NIS-2 verlangt keine Einzelmaßnahmen, sondern ganzheitliche Prozesse, die organisatorische und technische Aspekte verbinden. Mit NIS-2 wird zudem klargestellt: Cybersicherheit ist Führungsaufgabe. Geschäftsführer tragen künftig persönliche Verantwortung für die Umsetzung. KMU müssen sich daher verstärkt mit Risikomanagement, Meldepflichten und Sorgfalt in der Lieferkette auseinandersetzen. Ebenso entscheidend ist die Einbindung aller Beschäftigten – nur mit ausreichender Awareness und Schulung kann Sicherheit im Unternehmen nachhaltig verankert werden.
„NIS-2 ist keine abstrakte Richtlinie, sondern ein konkreter Handlungsauftrag. Wer früh handelt, schützt sein Unternehmen, stärkt die eigene Wettbewerbsfähigkeit und profitiert auch vom Vertrauen bei Kunden und Partnern“, so Linhart. „Unsere Experten unterstützen KMU dabei, die Anforderungen effizient und praxisnah umzusetzen.“
Unterstützung für Unternehmen – diese Schritte sind zentral
Konkret können sich Unternehmen Unterstützung und Expertise für verschiedene Teilbereiche holen – etwa für:
- Gap Analyse bestehender Sicherheitsmaßnahmen
- Einrichten von Meldeprozessen für Sicherheitsvorfälle
- Überprüfen und Absichern der Lieferketten
- Schulungen für Geschäftsführung und Mitarbeitende zu Verantwortlichkeiten und Cyberrisiken
Die UBIT Wien beschäftigt sich in einem eigenen Arbeitskreis intensiv mit IT-Security und informiert ihre Mitglieder laufend über aktuelle Entwicklungen, Schulungsangebote und praktische Unterstützung.
Resilienz und Vertrauen
NIS-2 ist mehr als eine gesetzliche Verpflichtung. Es geht um die digitale Zukunftsfähigkeit jedes einzelnen Unternehmens und um die Resilienz Österreichs als verlässlicher Wirtschaftsstandort. Europaweit soll das Gesetz die Cybersicherheit und digitale Souveränität stärken und Unternehmen besser gegen steigende Bedrohungen aus dem Cyberraum wappnen.
Erwartungen an die angekündigte NIS-Behörde
Die neue NIS-Behörde müsse vor allem klare, einheitliche und praxistaugliche Vorgaben liefern und dabei darauf achten, KMU nicht mit unnötiger Bürokratie zu belasten, damit diese die komplexen NIS-2-Anforderungen rechtssicher umsetzen können. Zudem müsse die Behörde technisch und personell stark aufgestellt sein und eng mit Wirtschaft und Experten zusammenarbeiten. „Cybersecurity ist essenziell – aber Bürokratie darf nicht zum Hemmschuh werden. Die Behörde muss hier unterstützend wirken“, schließt Linhart.