NIS2 · DIREKT UND INDIREKT BETROFFEN · ÖSTERREICH

NIS2 betrifft mehr Unternehmen,
als Sie denken.

Direkt betroffen sind rund 4.000 Unternehmen in Österreich. Indirekt — über die Lieferkette — sind es 30.000+. Wir bringen Sie strukturiert zur Konformität: Tool, Beratung, Managed Service.

Sie wissen nicht, ob Sie zu den Betroffenen gehören? Sie haben einen NIS2-Kunden, der jetzt Nachweise verlangt? Sie sind direkt betroffen und brauchen einen Plan? Wir machen den Betroffenheits-Check in 48 Stunden — kostenfrei.

Betroffenheits-Check buchen Wie wir arbeiten →
PRIORISIEREN · NICHT RESIGNIEREN
DIE GRÖSSENORDNUNG

NIS2 in Österreich — drei Zahlen.

Drei Zahlen, die zeigen, warum „nicht direkt betroffen" selten das Ende der Geschichte ist.

160.000
Unternehmen in der EU

…sind direkt von NIS2 betroffen.

4.000
direkt in Österreich

Wesentliche & wichtige Einrichtungen nach NISG — 18 Sektoren.

30.000+
indirekt in Österreich

Zulieferer in der Lieferkette — über Vertragskaskaden in der Pflicht.

SCOPE-CHECK · 3 FRAGEN

Sind Sie betroffen?

Drei Fragen — und Sie wissen, in welcher Liga Sie spielen.

1

Fallen Sie in einen der 18 NIS2-Sektoren?

Energie, Transport, Banken, Gesundheit, Wasser, digitale Infrastruktur, Fertigung, Chemie, öffentliche Verwaltung u. a. Vollständige Liste: Anlage 1 NISG.

2

50+ Mitarbeiter oder 10+ Mio. € Umsatz?

Auch Bilanzsumme 10+ Mio. € zählt. Konzerne werden konsolidiert betrachtet.

3

Sind Sie Zulieferer eines NIS2-Unternehmens?

Dann sind Sie indirekt betroffen — Ihr Kunde reicht Anforderungen weiter (Fragebögen, Audit-Klauseln, Nachweise).

2× JA = direkt betroffen — heute anfangen. · 1× JA bei Frage 3 = Ihr Kunde wird fragen.
LIEFERKETTE · DER VERSTECKTE KREIS

Direkt oder indirekt — beide brauchen Nachweise.

Art. 21 verlangt von NIS2-Unternehmen, ihre gesamte Lieferkette abzusichern. Das trifft Sie — auch wenn Sie nicht direkt unter das Gesetz fallen.

Direkt betroffen

Wesentliche & wichtige Einrichtungen · Österreich: ~4.000 Unternehmen

  • 18 Sektoren & Größenschwelle erfüllt
  • Muss Art. 21-Maßnahmen umsetzen
  • Meldepflicht an Behörde (24 / 72 / 1 M)
  • Persönliche Haftung der Geschäftsführung
  • Aufsicht: regulär bzw. reaktiv

Indirekt betroffen

Zulieferer eines NIS2-Kunden · Österreich: 30.000+ Unternehmen

  • Bekommen Anforderungen vom Kunden
  • Müssen Nachweise erbringen — Fragebögen, Audits
  • Sicherheits-Klauseln im Vertrag
  • Vertragsstrafen bei Nichterfüllung
  • Aufsicht: indirekt über Vertragskaskade
„Nicht direkt betroffen" ist selten das Ende der Geschichte — Ihr Kunde wird Nachweise verlangen.
ART. 21 NISG · PFLICHT

Was Sie nachweisen müssen.

Nicht alles ist neu — alles muss dokumentiert, gelebt und nachweisbar sein.

01
Risikoanalyse & Sicherheitskonzept
02
Bewältigung von Sicherheitsvorfällen
03
Betriebskontinuität & Backup
04
Lieferkettensicherheit
05
Sicherheit bei Einkauf & Entwicklung
06
Bewertung der Wirksamkeit
07
Cyberhygiene & Schulungen
08
Kryptografie & Verschlüsselung
09
Personalsicherheit & Zugriffe
10
MFA & sichere Kommunikation
DSGVO + ISO 27001 → Sie haben 60–70 % schon. Es fehlt meist Dokumentation und System — nicht Substanz.
MELDEPFLICHT · 24 / 72 / 1 MONAT

Die Uhr läuft ab Kenntnisnahme.

24 Stunden = echte 24 Stunden. Nicht Bürozeiten. Verzögerung ist ein eigener Verstoß.

24 h
Frühwarnung

Erste Meldung an die Behörde. Was ist passiert? Grobe Einschätzung, erste Hypothese.

72 h
Vorfallmeldung

Detaillierte Beschreibung. Art, Schwere, Auswirkungen, erste Gegenmaßnahmen.

1 M
Abschlussbericht

Ursache, Ablauf, Schaden, getroffene Maßnahmen, Erkenntnisse für die Zukunft.

ART. 20 NIS2 · HAFTUNG

Verantwortung ist nicht delegierbar.

NIS2 macht erstmals explizit: Die Geschäftsführung haftet persönlich.

Billigen

GF muss NIS2-Maßnahmen formal billigen — Beschluss, Unterschrift, Dokumentation.

Schulen

GF selbst muss sich regelmäßig zu Cybersicherheit fortbilden — nachweisbar.

Überwachen

Aktive Überwachung der Umsetzung. Nicht „die IT wird schon was machen".

Haften

Bei Verstoß: persönliche Haftung — auch Jahre später, auch nach Ausscheiden.

10 Mio. € oder 2 % Jahresumsatz — wesentliche Einrichtungen
7 Mio. € oder 1,4 % Jahresumsatz — wichtige Einrichtungen
Persönliche Haftung der GF bei Vorsatz oder grober Fahrlässigkeit
Funktionsverbot möglich — Behörde kann GF die Funktion vorübergehend untersagen
LÖSUNG · ICTE NIS2-KOMPASS

Strukturiert zur NIS2-Konformität.

Tool + Beratung + Managed Service. Aufeinander abgestimmt. KMU-tauglich. Österreichisch.

Tool

Strukturiertes Framework

Gap-Assessment mit 44 Fragen und Reifegrad 0–5, Risiko-Matrix 5×5, Maßnahmenplan P1/P2/P3, Nachweis-Dossier — alles aufeinander abgestimmt.

Beratung

Erfahrene Umsetzung

Durchführung durch ICTE-Experten mit österreichischer Rechtspraxis und KMU-DNA. 25+ Jahre IT-Security in Österreich.

Managed Service

Laufende Konformität

Konformität ist kein Einmalprojekt. Quartalsweise Reassessments, 24/7-Incident-Bereitschaft, Lieferanten-Reviews, GF-Quartalsreport.

EINSTIEGSSTUFEN · BASIC + PRO

Zwei Stufen — passend zu Ihrer Situation.

Wir passen uns Ihrer Rolle an — nicht umgekehrt.

NIS2-Kompass Basic

Für KMU in Lieferketten · Festpreis · niedrige Einstiegshürde

  • 2–3 Beratungstage
  • Kurz-Assessment aller 6 Module
  • Sofortmaßnahmen-Plan (90 Tage)
  • Lieferanten-Selbstauskunft
  • GF-Kurzbriefing

Ziel: auditfähig gegenüber betroffenen Kunden.

NIS2-Kompass Pro

Für direkt betroffene Einrichtungen · projektbasiert

  • 6–12 Wochen Projekt
  • Vollständiges Gap-Assessment & Risikomanagement
  • ISMS-Grundgerüst inkl. Richtlinien & Playbooks
  • Incident-Response-Framework mit Meldepflichten
  • GF-Schulung & Haftungsdokumentation (Art. 20)
  • 12-Monats-Roadmap mit Nachweis-Dossier

Ziel: nachweisbare Konformität gegenüber NIS-Behörde.

Beide Pfade enden auditfähig — der Aufwand richtet sich nach Ihrer Rolle, nicht nach unserer Standardliste.
METHODIK · 5 SCHRITTE

Vom Scope-Check bis zur Auditfähigkeit.

Jede Phase endet mit einem klaren Deliverable und einem Freigabepunkt. Keine Beratungsmeter — sondern Ergebnisse.

1
Scoping

Betroffenheit klären, Geltungsbereich definieren.

1–2 Wochen
2
Assessment

Reifegrad messen, Lücken identifizieren.

2–4 Wochen
3
Roadmap

Priorisierter Maßnahmenplan mit Terminen.

1 Woche
4
Umsetzung

Begleitung bei Richtlinien und Prozessen.

6–12 Monate
5
Nachweis

Auditfähige Dokumentation und Reviews.

laufend
IM CLUSTER · CYBERSECURITY · CYBERVERSICHERUNG · FÖRDERUNGEN

NIS2 steht nicht allein.

Was wir für Sie aufsetzen, schließt sauber an die anderen Pflicht- und Förderthemen an — kein Insel-Setup.

Cybersecurity

Technische Substanz.

NIS2 Art. 21 verlangt MFA, EDR, Backup, Awareness — genau die Bausteine, die wir auch ohne NIS2-Anlass täglich umsetzen.

Mehr zu Cybersecurity
Cyberversicherung

~70 % Überlapp.

Wer NIS2-konform aufgestellt ist, ist auch versicherbar — Versicherer fordern im Kern dieselben Nachweise.

Mehr zu Cyberversicherung
Förderungen

KMU.Digital · SFG Cyber!sicher.

Teile der NIS2-Vorbereitung (Risikoinventur, Awareness, technische Maßnahmen) sind förderfähig: KMU.Digital bis 50 %, SFG Cyber!sicher bis 30 % bzw. max. 15.000 €.

Mehr zu Förderungen
Jürgen Ebner, Inhaber ICTE
JÜRGEN EBNER · INHABER · ICTE

„NIS2 ist kein Grund zur Panik. Aber ein guter Grund, jetzt sichtbar zu machen, was läuft. Die meisten Unternehmen, die wir treffen, sind weiter, als sie denken — es fehlt meist Struktur und Dokumentation, nicht Substanz."

KOSTENFREI · 48 STUNDEN

Betroffenheits-Check in 48 Stunden.

Wir klären in einem 30-Minuten-Erstgespräch, ob Sie wesentlich, wichtig oder über die Lieferkette betroffen sind. In 48 Stunden bekommen Sie ein Ein-Seiten-Statement mit Begründung. Kostenfrei, unverbindlich — keine Verkaufspräsentation.

Erstgespräch online buchen

Oder direkt: 03512 / 209 00 · jebner@icte.biz