Praxisleitfaden für NIS2-Readiness

NIS2 betrifft in Österreich weit mehr Unternehmen als früher. Wer früh startet, kann Meldefristen, Pflichten und Nachweise ohne Hektik erfüllen. Dieser Leitfaden fasst einen pragmatischen Ablauf zusammen.

1) Betroffenheits-Check & Mini-Roadmap

• Einstufung (essentiell/wichtig/nicht betroffen) inkl. Management-Briefing zu Pflichten, Haftung, Meldefristen (24h/72h/30 Tage).
• 90-Tage-Plan mit Prioritäten und Registrierungs-Checkliste.
• Startliste an Nachweisen, damit Sie auditfähig dokumentieren.

2) Gap-Assessment mit Fahrplan

• Interviews und Sichtung bestehender Policies/Prozesse (IAM, Backup, Monitoring, Lieferanten).
• Risikoregister und 12-Monats-Roadmap mit Verantwortlichen.
• Incident-Reporting-Paket (Rollen, Abläufe, Formulare) und optional Tabletop-Übung.

3) Evidence-first Roadmap umsetzen

• Klare Owner und Frequenzen pro Control (Policy, Standard, Procedure).
• Evidence-Bibliothek mit Ablaufdaten, Versionierung und QA-Schleifen.
• KPIs und Dashboard (z. B. MFA-Coverage, Patch-Compliance, Restore-Tests, Vendor-Coverage).

4) Üben vor der Aufsicht

• Tabletop-Drills für Frühwarnung (~24h), Meldung (~72h) und Abschluss (~30 Tage).
• After-Action-Reports, Maßnahmen und Re-Tests.
• Aktualisierung der Playbooks, Kontaktlisten und Melde-Templates nach jeder Übung.

Ergebnis: Ein nachvollziehbarer Fahrplan mit Nachweisen, der Management, Technik und Einkauf verbindet – auditfähig und ohne Overhead.