NIS2
Praxisleitfaden für NIS2-Readiness
NIS2 betrifft in Österreich weit mehr Unternehmen als früher. Wer früh startet, kann Meldefristen, Pflichten und Nachweise ohne Hektik erfüllen. Dieser Leitfaden fasst einen pragmatischen Ablauf zusammen.
Hinweis: Operative Empfehlung, keine Rechtsberatung. Nationale Umsetzung und branchenspezifische Vorgaben beachten.
1) Betroffenheits-Check & Mini-Roadmap #
- Einstufung (essentiell / wichtig / nicht betroffen) inklusive Management-Briefing zu Pflichten, Haftung und Meldefristen (24h / 72h / 30 Tage).
- 90-Tage-Plan mit Prioritäten und Registrierungs-Checkliste.
- Startliste an Nachweisen, damit Sie auditfähig dokumentieren.
2) Gap-Assessment mit Fahrplan #
- Interviews und Sichtung bestehender Policies und Prozesse (IAM, Backup, Monitoring, Lieferanten).
- Risikoregister und 12-Monats-Roadmap mit Verantwortlichen.
- Incident-Reporting-Paket (Rollen, Abläufe, Formulare) und optional eine Tabletop-Übung.
3) Evidence-first-Roadmap umsetzen #
- Klare Owner und Frequenzen pro Control (Policy, Standard, Procedure).
- Evidence-Bibliothek mit Ablaufdaten, Versionierung und QA-Schleifen.
- KPIs und Dashboard (z. B. MFA-Coverage, Patch-Compliance, Restore-Tests, Vendor-Coverage).
4) Üben vor der Aufsicht #
- Tabletop-Drills für Frühwarnung (~24h), Meldung (~72h) und Abschluss (~30 Tage).
- After-Action-Reports, Maßnahmen und Re-Tests.
- Aktualisierung der Playbooks, Kontaktlisten und Melde-Templates nach jeder Übung.
Ergebnis: ein nachvollziehbarer Fahrplan mit Nachweisen, der Management, Technik und Einkauf verbindet — auditfähig und ohne Overhead.