EU-Cyber-Sicherheitsrichtlinie NIS2: Trotz hoher Bekanntheit bleiben viele Fragezeichen

Eine neue Studie des Marktforschungsinstituts IMAS International und des Cyber-Security-Beratungsunternehmens CERTAINITY zeigt: Österreichische Unternehmen kennen die neue EU-Cybersicherheitsrichtlinie weitgehend – bei der Umsetzung besteht jedoch deutlicher Nachholbedarf. Obwohl neun von zehn Unternehmen die Vorgaben kennen, kann etwa jedes zweite derzeit nicht sicher einschätzen, ob es selbst von der Richtlinie betroffen ist.

Wien, 10. März 2026 – Die Studie „NIS2 Sensor 2026“ untersucht erstmals umfassend den Umsetzungsstand der europäischen Cybersicherheitsrichtlinie NIS2 Directive in Österreich. Die Richtlinie zur Stärkung der Resilienz gegen Cyberangriffe wird hierzulande durch das nationale Gesetz NISG 2026 umgesetzt und tritt am 1. Oktober 2026 in Kraft.

Konkret gilt die Richtlinie für Organisationen mit mindestens 50 Mitarbeiter:innen oder mehr als zehn Millionen Euro Jahresumsatz, sofern sie in systemkritischen oder besonders relevanten Branchen tätig sind.

Betroffenheit und Komplexität werden unterschätzt

Die Studie zeigt, dass viele Unternehmen ihre eigene Betroffenheit falsch einschätzen. Nur rund die Hälfte der befragten Organisationen erkennt korrekt, dass sie unter die Richtlinie fällt. Ein Viertel geht davon aus, nicht betroffen zu sein, weitere 26 Prozent können dies nicht beurteilen.

„Hier herrscht akuter Handlungsbedarf“, erklärt Christoph Zajic, Cyber-Security-Experte und Head of Process Consulting bei CERTAINITY. „Die Anwendbarkeit von NIS2 ist klar geregelt. Wer aus Unsicherheit oder Unwissen zu spät oder gar nicht mit der Umsetzung startet, trägt ein doppeltes Risiko: leichter Opfer von Cyberkriminalität zu werden und gleichzeitig Sanktionen ausgesetzt zu sein.“

Zum Zeitpunkt der Befragung hatten die teilnehmenden Unternehmen im Durchschnitt erst rund 30 Prozent der NIS2-Anforderungen umgesetzt. Gleichzeitig gehen vier von fünf Organisationen davon aus, bis zum Ende der Übergangsfrist Ende September 2026 zumindest 75 Prozent der Vorgaben erfüllen zu können.

NIS2 ist mehr als ein IT-Projekt

Ein zentraler Befund der Studie: In mehr als 70 Prozent der Unternehmen ist NIS2 aktuell ausschließlich in der IT-Abteilung als Projekt verankert. Die Richtlinie betrifft jedoch die gesamte Organisation und ist daher deutlich komplexer.

Die neuen Vorgaben sehen unter anderem auch eine Haftung des Top-Managements für die Umsetzung vor. Entsprechend müssen Sicherheitsprozesse, Risikomanagement, Meldepflichten und organisatorische Maßnahmen unternehmensweit verankert werden.

„NIS2 ist kein reines IT-Projekt. Eine effiziente Umsetzung braucht Management-Fokus und klare Prioritäten im gesamten Unternehmen“, betont Zajic. „Wer erst knapp vor der Deadline ernsthaft mit der Umsetzung beginnt, riskiert nicht nur hohen Zeitdruck, sondern auch deutlich höhere Kosten.“

Kosten und Ressourcen als größte Hürden

Als größte Herausforderungen nennen Unternehmen laut Studie vor allem Budgetfragen, bürokratische Anforderungen sowie den organisatorischen Aufwand bei der Umsetzung.

Gleichzeitig sehen viele Organisationen auch klare Vorteile: Rund drei Viertel der Befragten bestätigen, dass die Umsetzung der Richtlinie die Sicherheitslage ihres Unternehmens verbessert.

Ein weiterer wichtiger Aspekt: Eine Zertifizierung nach der internationalen Sicherheitsnorm ISO/IEC 27001 kann künftig als Nachweis für die organisatorische und operative Umsetzung der NIS2-Anforderungen dienen. Unternehmen können damit ihre NIS2-Readiness nach außen dokumentieren – erforderlich bleiben in der Regel lediglich zusätzliche technische Audits.