Was jetzt?
Die schlechte Nachricht: Wer in Deutschland noch nicht registriert ist, hat formell bereits den ersten NIS2-Verstoß begangen. Die gute Nachricht: Es ist nicht zu spät. Aber wie Sie jetzt reagieren, entscheidet darüber, was als nächstes passiert.
Das BSI verfolgt Verstöße gestuft: Hinweise und Fristsetzungen, formelle Aufforderungen, Prüfungen und Anordnungen; als letzte Maßnahmen sind Bußgelder und gegebenenfalls öffentliche Bekanntmachungen vorgesehen. Unternehmen, die sich jetzt registrieren und Mindestmaßnahmen umsetzen, können Sanktionen in vielen Fällen vermeiden.
Drei konkrete Handlungsempfehlungen:
- 1Sofort registrieren und Kontaktdaten aktuell halten
- 2Nachweisbare (Mindest-) Maßnahmen dokumentieren
- 3Prozess zur Erreichbarkeit der Kontaktstelle sicherstellen und testen
Österreich: Das Bundesamt für Cybersicherheit ist ab 1. Oktober 2026 zuständig. Die Strafe für Nichtregistrierung liegt in Österreich bei bis zu 50.000 Euro, im Wiederholungsfall bei bis zu 100.000 Euro.
Die BSI-Registrierung läuft über das MUK-Portal und erfordert ein ELSTER-Organisationszertifikat als absolute Grundlage. Prüfen Sie zuerst in der Steuerabteilung oder beim Steuerberater — oft ist das Zertifikat vorhanden, aber der Zugang ist nicht bekannt. Falls es fehlt: sofort beantragen. Die Beantragung dauert Tage bis Wochen.
Sobald das ELSTER-Zertifikat vorliegt, erfolgt die Registrierung über das MUK-Portal. Benötigt werden: Firmenname und Anschrift, Kontaktdaten für die 24/7-Erreichbarkeit bei Sicherheitsvorfällen und die Angabe der relevanten Sektoren. Wichtig: Berechnen Sie die Schwellenwerte inklusive Partner- und verbundener Unternehmen. Das Konzernprivileg entfällt.
Die Meldepflicht ist bereits aktiv. Das dreistufige Melderegime — Erstmeldung innerhalb 24 Stunden, qualifizierte Meldung innerhalb 72 Stunden, Abschlussbericht innerhalb eines Monats — muss als dokumentierter Prozess vorliegen, bevor er gebraucht wird.
Ein schriftlicher Umsetzungsplan zeigt Handlungsbereitschaft und schützt im Verwaltungsverfahren. Der Plan muss zeigen: Wo steht das Unternehmen, welche Lücken wurden identifiziert, welche Schritte sind mit welcher Priorität geplant.
In Österreich haben Unternehmen noch bis zum 1. Oktober 2026 Zeit, bis das NISG 2026 in Kraft tritt. Aber diese Zeit ist keine Schonfrist — sie ist Vorbereitungszeit. Wer erst im Herbst 2026 mit der Vorbereitung beginnt, beginnt zu spät.
Die Betroffenheitsprüfung ist der erste Compliance-Nachweis. Nutzen Sie den WKO Online-Ratgeber für eine erste Einschätzung und dokumentieren Sie das Ergebnis schriftlich mit Datum und Begründung. Das NISG 2026 berücksichtigt neben Unternehmensgröße und Sektor auch die sektorale Bedeutung — kleinere, aber versorgungskritische Unternehmen, können betroffen sein.
Die Registrierung in Österreich erfolgt über das Unternehmer-Service-Portal (USP). Richten Sie den Zugang jetzt ein, damit Sie sich am 1. Oktober 2026 sofort registrieren können. Die Registrierungsfrist läuft bis 31. Dezember 2026.
Die inhaltlichen Anforderungen des NISG 2026 sind weitgehend identisch mit dem deutschen NIS2UmsuCG. Eine GAP-Analyse gegen die zehn Pflichtmaßnahmen kann jetzt begonnen werden. Die Zeit bis Oktober 2026 sollte aktiv genutzt werden.
Das NISG 2026 verlangt innerhalb von zwölf Monaten nach der Registrierung eine Selbstdeklaration bei der Cybersicherheitsbehörde — ein strukturierter Bericht über die umgesetzten Risikomanagementmaßnahmen. Frist: 30. September 2027.
| 🇩🇪 Deutschland | 🇦🇹 Österreich | |
|---|---|---|
| Gesetz | NIS2UmsuCG | NISG 2026 |
| In Kraft | 6. Dezember 2025 | 1. Oktober 2026 |
| Behörde | BSI | Bundesamt für Cybersicherheit |
| Registrierung | MUK-Portal + ELSTER Frist abgelaufen | USP-Portal Frist: 31. Dez. 2026 |
| Selbstdeklaration | Nicht vorgesehen | Bis 30. Sept. 2027 |
| Bußgeld (wesentl.) | bis 10 Mio. € / 2 % | bis 10 Mio. € / 2 % |
| Bußgeld (wichtig) | bis 7 Mio. € / 1,4 % | bis 7 Mio. € / 1,4 % |
| Status | Durchsetzungsphase aktiv | Vorbereitung läuft |
Besonders wichtige beziehungsweise wesentliche Einrichtungen riskieren Geldstrafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.
Dazu kommt in beiden Ländern die persönliche Haftung der Geschäftsführung — mit dem Privatvermögen, ohne Möglichkeit eines Haftungsverzichts. In Österreich kann das Bundesamt für Cybersicherheit im Extremfall sogar ein Tätigkeitsverbot für Geschäftsleitungspersonen anordnen.
Je länger ein Unternehmen wartet, desto teurer wird es. Und desto wahrscheinlicher ist es, dass der erste Behördenkontakt kein freundliches Schreiben ist, sondern ein Verwaltungsverfahren.
Frist verpasst bedeutet nicht zu spät. Es bedeutet schnell handeln.
Deutschland: ELSTER-Zertifikat prüfen, Registrierung nachholen, Meldeprozesse definieren, Umsetzungsplan erstellen — das sind die Schritte der nächsten Tage.
Österreich: Betroffenheit dokumentieren, USP-Zugang einrichten, GAP-Analyse starten — die Zeit bis Oktober 2026 ist wertvoller als sie aussieht.
OMNI Inform Pro begleitet Unternehmen in einem gemeinsamen Workshop — direkt auf Ihre Systeme und Anforderungen zugeschnitten. Das Ergebnis: Erstanalyse, Priorisierung und konkreter Maßnahmenplan. Für Deutschland und für Österreich.