Was macht Lugmayr Kern?

Lugmayr Kern ist ein österreichisches IT-Unternehmen, das sich auf IT-Sicherheit, Infrastruktur und digitale Transformation für KMU spezialisiert hat. Wir bieten NIS2-konforme Sicherheitsstrategien, Netzwerkarchitekturen und Digitalisierungsberatung.

Was ist die KMU.DIGITAL Förderung?

KMU.DIGITAL 2026 bietet bis zu 6.000 € Förderung für Digitalisierungsprojekte österreichischer KMU: 80% Zuschuss auf Beratung und 30% auf die Umsetzung. Wir begleiten Sie durch den gesamten Förderprozess.

Welche Region betreut Lugmayr Kern?

Unser Firmensitz ist in Perg, Oberösterreich. Wir betreuen Unternehmen in ganz Österreich sowie im DACH-Raum — persönlich vor Ort oder digital.

Was ist die Lugmayr Kern Reasoning Engine?

Die Reasoning Engine ist eine von Lugmayr Kern eigenentwickelte KI, die komplett lokal und ohne Internetverbindung läuft. Sie ist 100% Open Source, produziert keine Halluzinationen und ist DSGVO-konform, da keine Daten das Unternehmen verlassen.

Was ist das Austrian Business Mag?

Das Austrian Business Mag (austrianbusiness.at) ist ein von Lugmayr Kern betriebenes digitales Wirtschaftsmagazin mit praxisnahen Artikeln zu Digitalisierung, IT-Sicherheit, Förderungen und Unternehmensstrategie für den österreichischen Mittelstand.

NIS2 in Österreich: Was KMU jetzt wissen müssen

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte wenden Sie sich an einen spezialisierten Rechtsanwalt oder die zuständige Behörde. Stand: März 2026.

Die europäische NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfassendste Cybersecurity-Regulierung, die die EU je verabschiedet hat. Mit der Umsetzung in österreichisches Recht durch das NISG 2026 — das Netz- und Informationssystemsicherheitsgesetz — sind tausende heimische Unternehmen erstmals direkt von verbindlichen IT-Sicherheitspflichten betroffen. Wer die Vorgaben ignoriert, riskiert empfindliche Strafen und persönliche Haftung der Geschäftsführung.

„NIS2 betrifft nicht nur Großkonzerne. Auch mittelständische Betriebe mit 50 Mitarbeitern oder 10 Millionen Euro Umsatz können in den Anwendungsbereich fallen."

Was ist NIS2 — und warum betrifft es Österreich?

Die NIS2-Richtlinie (EU 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen drastisch. Ziel ist ein einheitliches, hohes Cybersicherheitsniveau in der gesamten EU. In Österreich wurde die Richtlinie durch das NISG 2026 in nationales Recht umgesetzt, das am 1. Oktober 2026 in Kraft tritt. Unternehmen sollten sich jetzt vorbereiten, um die Anforderungen rechtzeitig zu erfüllen.

Die zuständige Behörde in Österreich ist das neu geschaffene Bundesamt für Cybersicherheit, unterstützt durch das nationale CERT (Computer Emergency Response Team). Betroffene Unternehmen müssen sich registrieren und nachweisen, dass sie die geforderten Sicherheitsmaßnahmen implementiert haben.

Wer ist betroffen? Wesentliche und wichtige Einrichtungen

NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen, die jeweils unterschiedlich streng reguliert werden:

Wesentliche Einrichtungen (Essential Entities): Betreiber in Sektoren mit hoher Kritikalität — darunter Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur und öffentliche Verwaltung. Ab 250 Mitarbeitern oder 50 Mio. Euro Umsatz fallen Unternehmen in diese Kategorie, manche Sektoren unabhängig von der Größe.

Wichtige Einrichtungen (Important Entities): Unternehmen aus Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschung. Hier gilt die Schwelle ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz.

Entscheidend: Auch IT-Dienstleister und Managed-Service-Provider können unabhängig von ihrer Größe unter NIS2 fallen, wenn sie Dienste für betroffene Einrichtungen erbringen. In Österreich schätzt man, dass rund 4.000 bis 5.000 Unternehmen direkt betroffen sind — plus deren Zulieferer indirekt.

Die zentralen Pflichten unter NIS2

1. Risikomanagement und Sicherheitsmaßnahmen

Unternehmen müssen ein umfassendes Risikomanagementsystem implementieren, das mindestens folgende Bereiche abdeckt: Risikoanalyse und Bewertung, Incident-Management-Prozesse, Business Continuity und Krisenmanagement, Sicherheit in der Lieferkette, Netzwerk- und Informationssystemsicherheit, Schwachstellenmanagement, Kryptografie und Verschlüsselung sowie Zugangskontrollen und Asset-Management. Diese Maßnahmen müssen dokumentiert, regelmäßig überprüft und dem Stand der Technik entsprechen.

2. Meldepflicht bei Sicherheitsvorfällen

Eines der Kernelemente von NIS2 ist die strenge Meldepflicht. Erhebliche Sicherheitsvorfälle müssen dem nationalen CSIRT (in Österreich: CERT.at) in einem dreistufigen Verfahren gemeldet werden: Innerhalb von 24 Stunden eine Frühwarnung mit der Einschätzung, ob der Vorfall auf einer rechtswidrigen oder böswilligen Handlung beruht. Innerhalb von 72 Stunden eine ausführliche Meldung mit Bewertung der Schwere, Auswirkungen und Kompromittierungsindikatoren. Innerhalb eines Monats ein Abschlussbericht mit detaillierter Beschreibung, Ursachenanalyse und getroffenen Maßnahmen.

3. Lieferketten-Sicherheit

NIS2 verpflichtet Unternehmen erstmals ausdrücklich, die Cybersicherheit ihrer Lieferkette zu berücksichtigen. Das bedeutet konkret: Sie müssen die Sicherheitspraktiken Ihrer Zulieferer und Dienstleister bewerten, vertragliche Sicherheitsanforderungen festlegen und die Einhaltung regelmäßig überprüfen. Für österreichische KMU, die häufig Zulieferer größerer Unternehmen sind, bedeutet das: Auch wenn Sie nicht direkt unter NIS2 fallen, könnten Ihre Kunden NIS2-konforme Sicherheitsnachweise von Ihnen verlangen.

4. Geschäftsführer-Haftung

Besonders brisant: NIS2 sieht eine persönliche Verantwortung der Leitungsorgane vor. Geschäftsführer und Vorstände müssen Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und an Schulungen teilnehmen. Bei Verstößen können sie persönlich haftbar gemacht werden — ein Novum im europäischen Cybersecurity-Recht.

Welche Strafen drohen bei Verstößen?

Die Sanktionen unter NIS2 sind erheblich und orientieren sich am DSGVO-Modell. Für wesentliche Einrichtungen drohen Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des globalen Umsatzes. Hinzu kommen mögliche Anordnungen zur Aussetzung von Tätigkeiten und die bereits erwähnte persönliche Haftung der Geschäftsführung.

Wie sollten sich KMU vorbereiten? 5 praktische Schritte

Betroffenheitsanalyse durchführen

Prüfen Sie, ob Ihr Unternehmen in einen der 18 Sektoren fällt und die Schwellenwerte bei Mitarbeiterzahl oder Umsatz überschreitet. Berücksichtigen Sie auch verbundene Unternehmen.

GAP-Analyse zum Ist-Zustand

Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den NIS2-Anforderungen. Identifizieren Sie Lücken in den Bereichen Risikomanagement, Incident Response, Business Continuity und Lieferkettensicherheit.

Maßnahmenplan erstellen und umsetzen

Priorisieren Sie die identifizierten Lücken und erstellen Sie einen realistischen Umsetzungsplan. Beginnen Sie mit den kritischsten Bereichen: Meldeprozesse, Zugangskontrolle und Backup-Strategie.

Geschäftsführung einbinden

Stellen Sie sicher, dass die Geschäftsführung über NIS2-Pflichten informiert ist, Schulungen absolviert und Sicherheitsmaßnahmen formal genehmigt. Dokumentieren Sie alles lückenlos.

Registrierung und laufende Compliance

Registrieren Sie sich beim Bundesamt für Cybersicherheit als betroffene Einrichtung. Etablieren Sie Prozesse für die laufende Überprüfung, regelmäßige Audits und die kontinuierliche Verbesserung Ihres Sicherheitsniveaus.

NIS2-Compliance mit Lugmayr Kern

Als IT-Sicherheitsberater für den österreichischen Mittelstand unterstützen wir Sie bei der gesamten NIS2-Umsetzung — von der initialen Betroffenheitsanalyse über die GAP-Analyse bis zur Implementierung aller geforderten Sicherheitsmaßnahmen. Wir kennen die österreichische Gesetzeslage, sprechen Ihre Sprache und arbeiten pragmatisch statt akademisch. Unser Ziel: Compliance, die nicht nur auf dem Papier steht, sondern Ihr Unternehmen tatsächlich schützt.

Unsicher, ob NIS2 Sie betrifft?

In einem kostenlosen Erstgespräch klären wir, ob Ihr Unternehmen unter NIS2 fällt und welche Schritte Sie als Nächstes setzen sollten — unverbindlich und auf Augenhöhe.

Erstgespräch vereinbaren