NIS2 Sensor 2026: Österreichs Unternehmen hinken bei Umsetzung hinterher

Wien (OTS) – Die neue Studie „NIS2 Sensor 2026“ von IMAS und dem
Cyber Security-
Experten CERTAINITY zeigt: Österreichische Unternehmen wissen
mehrheitlich über die EU-Cyber-Sicherheitsrichtlinie NIS2 Bescheid.
Bei der Umsetzung hinken viele jedoch deutlich hinterher. Und obwohl
neun von zehn Unternehmen die Vorgaben kennen, kann etwa jedes zweite
Unternehmen derzeit nicht sicher einschätzen, ob es tatsächlich
selbst von NIS2 betroffen ist.

Wien, 10. März 2026. NIS2 ist eine EU-Richtlinie zur Stärkung der
Resilienz gegen Cyber-Angriffe von wesentlichen, wichtigen
Einrichtungen in Österreich und tritt als NISG 2026 mit 1. Oktober
2026 in Kraft. Konkret kommt NIS2 für Organisationen ab einer
Belegschaftsgröße von 50 Mitarbeiter:innen bzw. einem Jahresumsatz
von mehr als 10 Millionen Euro in systemkritischen Branchen
verpflichtend zur Anwendung.

Das österreichische Cyber Security-Beratungsunternehmen
CERTAINITY in Wien hat nach der Veröffentlichung des NISG 2026 am
23.12.2026 mit dem Marktforschungsinstitut IMAS in der empirischen
Studie „NIS2 Sensor 2026“ den aktuellen Status der NIS2-Umsetzung in
Österreich erhoben.

Zwtl.: Betroffenheit und Komplexität werden unterschätzt

Die gemeinsame Studie zeigt ein interessantes Detail: Nur rund
die Hälfte der befragten Unternehmen sieht sich korrekt selbst als
NIS2-relevant. Ein Viertel geht davon aus, nicht betroffen zu sein,
weitere 26 Prozent können dies nicht einschätzen. Befragt wurden
ausschließlich Organisationen mit mehr als 50 Mitarbeiter:innen, die
grundsätzlich in den Anwendungsbereich der Richtlinie fallen.

„Hier herrscht akuter Handlungsbedarf“ , zeigt Christoph Zajic,
Cyber Security-Experte und Head of Process Consulting bei CERTAINITY
auf. „Denn die Anwendbarkeit von NIS2 ist klar geregelt – wer aus
Unsicherheit oder Unwissen zu spät oder gar nicht mit der Umsetzung
startet, trägt gleich ein zweifaches Risiko: leichter Opfer von Cyber
-Kriminalität zu werden und erheblichen Sanktionen ausgesetzt zu
sein.“

Zum Zeitpunkt der Befragung hatten die teilnehmenden Unternehmen
im Durchschnitt erst 30 Prozent der Vorgaben für NIS2 umgesetzt.
Gleichzeitig gehen vier von fünf Organisationen davon aus, dass sie
bis zum Ende der Übergangsfrist Ende September 2026 zumindest 75
Prozent der Anforderungen umgesetzt haben.

Doch der Optimismus trügt. Denn NIS2 ist in über 70 Prozent der
Organisationen in der IT-Abteilung als Projekt verankert. Die Cyber
Security-Richtlinie der EU betrifft aber die gesamte Organisation,
ist dementsprechend komplex und damit ein übergreifendes
Managementthema. Die Richtlinie sieht so auch eine Haftung des Top-
Managements für die Umsetzung von NIS2 vor.

„NIS2 ist kein reines IT-Projekt. Eine effiziente Umsetzung
braucht Management-Fokus und klare Prioritäten im gesamten
Unternehmen“ , betont Christoph Zajic. „Wer erst knapp vor der
Deadline ernsthaft mit NIS2 beginnt, hat nicht nur einen hohen
Zeitdruck, sondern riskiert auch deutlich höhere Umsetzungskosten.“

Zwtl.: Kosten bleiben zentrale Herausforderung

Budget, Bürokratie und Ressourcenaufwand werden in der Studie am
häufigsten als Hürden bei der Implementierung von NIS2 genannt.
Gleichzeitig bestätigen rund drei Viertel der befragten
Organisationen, dass die Umsetzung von NIS2 die Sicherheit im
Unternehmen verbessert.

„NIS2 wird als Herausforderung wahrgenommen, aber nicht als bloße
Bürokratie, die nichts bringt, im Gegenteil: Eine strukturierte
Umsetzung wird von den Unternehmen als klarer Mehrwert für die eigene
Sicherheitslage wahrgenommen“ , streicht Christoph Zajic ein Ergebnis
der gemeinsamen Studie zu NIS2 hervor.

Ein interessantes Detail für alle betroffenen Unternehmen: Eine
ISO 27001-Zertifizierung kann künftig als Nachweis für die
organisatorische und operative Umsetzung der NIS2-Anforderungen
dienen. Unternehmen können damit ihre NIS2-Readiness nach außen hin
offiziell belegen – erforderlich bleiben in der Regel nur noch
technische Audits.

Zwtl.: Zur Studie „NIS2 Sensor 2026“ von IMAS und CERTAINITY:

Die Studie wurde vom Marktforschungsinstitut IMAS im Auftrag von
CERTAINITY durchgeführt. Befragt wurden 300 österreichische
Unternehmen mit mehr als 50 Mitarbeitenden aus Branchen im
Wirkungsbereich der NIS2-Richtlinie. Die Datenerhebung erfolgte
mittels computergestützter telefonischer Interviews (CATI) zwischen
13. Jänner und 2. Februar 2026.

Link zum NIS2 Sensor 2026 von IMAS und CERTAINITY:
https://www.certainity.com/nis2-sensor-2026