NIS2 Sensor 2026: Österreichische Unternehmen bei Umsetzung zurück
Die neue Studie „NIS2 Sensor 2026“ von IMAS und dem Cyber Security-Experten CERTAINITY zeigt: Viele österreichische Unternehmen kennen die EU-Cyber-Sicherheitsrichtlinie NIS2 gut. Trotzdem setzen viele Unternehmen die Anforderungen noch nicht richtig um. Obwohl neun von zehn Unternehmen die Vorgaben kennen, kann etwa die Hälfte nicht genau sagen, ob sie von NIS2 betroffen sind.
Wien, 10. März 2026. NIS2 ist eine EU-Richtlinie, die Unternehmen und wichtige Einrichtungen besser vor Cyberangriffen schützen will. In Österreich gilt sie ab dem 1. Oktober 2026 als Gesetz (NISG 2026).
Diese Regel gilt für Firmen mit mindestens 50 Mitarbeiter:innen oder einem Jahresumsatz von mehr als 10 Millionen Euro, wenn sie in Branchen arbeiten, die besonders wichtig für das System sind.
Das österreichische Beratungsunternehmen CERTAINITY aus Wien hat zusammen mit dem Marktforschungsinstitut IMAS nach Einführung des NISG 2026 am 23.12.2026 in der Studie „NIS2 Sensor 2026“ untersucht, wie weit die Umsetzung der Richtlinie in österreichischen Unternehmen aktuell ist.
Betroffenheit und Schwierigkeit werden oft unterschätzt
Die Studie zeigt: Nur etwa die Hälfte der befragten Firmen sieht sich richtig als „NIS2 relevant“ an. Ein Viertel denkt, es sei nicht betroffen, und 26 % sind unsicher. Dabei wurden nur Unternehmen mit mehr als 50 Mitarbeiter:innen befragt, die grundsätzlich unter die Richtlinie fallen.
„Hier herrscht akuter Handlungsbedarf“, erklärt Christoph Zajic, Cyber Security-Experte und Leiter bei CERTAINITY.
„Denn die Anwendbarkeit von NIS2 ist klar geregelt – wer aus Unsicherheit oder Unwissen zu spät oder gar nicht mit der Umsetzung startet, trägt gleich ein zweifaches Risiko: leichter Opfer von Cyber-Kriminalität zu werden und erheblichen Sanktionen ausgesetzt zu sein.“
Zum Zeitpunkt der Befragung hatten die Unternehmen im Durchschnitt erst 30 % der NIS2-Anforderungen umgesetzt. Vier von fünf Firmen gehen aber davon aus, bis Ende September 2026 wenigstens 75 % der Vorgaben zu erfüllen.
Dieser Optimismus täuscht aber. Weil NIS2 in über 70 % der Firmen nur in der IT-Abteilung als Projekt läuft. Die Richtlinie betrifft jedoch das ganze Unternehmen und ist komplex. Daher sieht NIS2 auch eine Haftung für das obere Management vor.
„NIS2 ist kein reines IT-Projekt. Eine effiziente Umsetzung braucht Management-Fokus und klare Prioritäten im gesamten Unternehmen“, betont Christoph Zajic.
„Wer erst kurz vor der Frist mit der Umsetzung beginnt, hat nicht nur viel Stress, sondern muss auch mit höheren Kosten rechnen.“
Kosten bleiben eine große Herausforderung
Die häufigsten Probleme bei der Umsetzung sind laut Studie Budgetengpässe, Bürokratie und der hohe Aufwand an Personal und Zeit. Trotzdem sagen etwa drei Viertel der Firmen, dass NIS2 ihre IT-Sicherheit verbessert.
„NIS2 wird als Herausforderung gesehen, aber nicht als nutzlose Bürokratie. Eine gute Umsetzung stärkt die Sicherheit im Betrieb“, fasst Christoph Zajic ein wichtiges Studienergebnis zusammen.
Ein nützlicher Tipp für betroffene Unternehmen: Eine ISO 27001-Zertifizierung kann zukünftig als offizieller Nachweis dienen, dass die Anforderungen von NIS2 organisatorisch und praktisch umgesetzt sind. So können Firmen ihre Vorbereitung auf NIS2 besser zeigen – technische Prüfungen bleiben aber meist notwendig.
Zur Studie „NIS2 Sensor 2026“ von IMAS und CERTAINITY:
Die Studie wurde vom Marktforschungsinstitut IMAS im Auftrag von CERTAINITY durchgeführt. 300 österreichische Unternehmen mit mehr als 50 Mitarbeitenden aus NIS2-relevanten Branchen wurden befragt. Die Daten wurden durch computergestützte telefonische Interviews (CATI) zwischen 13. Januar und 2. Februar 2026 gesammelt.
Link zur Studie „NIS2 Sensor 2026“ von IMAS und CERTAINITY:
https://www.certainity.com/nis2-sensor-2026