NIS2-Richtlinie: Vollständiger Compliance-Leitfaden für Österreich (NISG 2026)
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die aktualisierte Cybersicherheitsgesetzgebung der EU, die die ursprüngliche NIS-Richtlinie von 2016 ersetzt. Sie erweitert die Cybersicherheitsanforderungen erheblich und legt strengere Verpflichtungen für Organisationen in kritischen Sektoren fest—mit echten Konsequenzen für die Geschäftsführung bei Nichteinhaltung.
NIS2 etabliert:
- Harmonisierte Cybersicherheitsanforderungen in allen EU-Mitgliedstaaten
- Stärkere Durchsetzungsmechanismen mit DSGVO-ähnlichen Strafen
- Erweiterte Abdeckung von 7 auf 18 Sektoren
- Verbesserte Vorfallmeldung mit strengen 24/72-Stunden-Fristen
- Persönliche Haftung für Leitungsorgane—eine wesentliche Änderung gegenüber NIS1
Für österreichische Unternehmen bedeutet dies, dass etwa 4.000 Organisationen unter die neuen Anforderungen fallen werden, verglichen mit rund 100 unter dem aktuellen NISG 2018.
Stand der österreichischen Umsetzung (November 2025)
Aktueller Status: Österreich hat die EU-Umsetzungsfrist vom 17. Oktober 2024 versäumt. Die Europäische Kommission hat am 7. Mai 2025 eine "mit Gründen versehene Stellungnahme" abgegeben—der letzte Schritt vor einer Verweisung an den Europäischen Gerichtshof.
Das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) wurde am 20. November 2025 vom Ministerrat beschlossen und als Regierungsvorlage 308 d.B. (XXVIII. Gesetzgebungsperiode) in den Nationalrat eingebracht.
Warum die Verzögerung? Das Gesetz erfordert aufgrund verfassungsrechtlicher Bestimmungen zu Bund-Länder-Kompetenzen eine Zweidrittelmehrheit. Ein früherer Versuch (NISG 2024) scheiterte am 3. Juli 2024, als Oppositionsparteien die Verabschiedung blockierten.
Wer muss NIS2 einhalten?
NIS2 gilt für wesentliche Einrichtungen und wichtige Einrichtungen in 18 Sektoren, wobei die Standard-KMU-Definition der EU für Größenschwellenwerte verwendet wird.
Wesentliche Einrichtungen
Diese unterliegen den strengsten Anforderungen und höchsten Strafen:
- Energie: Strom, Fernwärme/-kälte, Öl, Gas, Wasserstoff
- Verkehr: Luft-, Schienen-, Wasser-, Straßenverkehrsbetreiber
- Bankwesen: Kreditinstitute (Hinweis: DORA-regulierte Unternehmen haben separate Anforderungen)
- Finanzmarktinfrastruktur: Handelsplätze, zentrale Gegenparteien
- Gesundheit: Krankenhäuser, Gesundheitsdienstleister, EU-Referenzlabore, Pharmahersteller, Medizinproduktehersteller
- Trinkwasser: Versorgung und Verteilung
- Abwasser: Sammlung, Entsorgung, Behandlung
- Digitale Infrastruktur: Internetknotenpunkte, DNS-Anbieter, TLD-Registrare, Cloud-Computing-Dienste, Rechenzentren, Content Delivery Networks, Vertrauensdiensteanbieter
- IKT-Dienstverwaltung: Managed Service Provider (MSPs), Managed Security Service Provider (MSSPs)
- Öffentliche Verwaltung: Zentrale Regierungsbehörden
- Raumfahrt: Betreiber bodengestützter Infrastruktur für weltraumgestützte Dienste
Wichtige Einrichtungen
Unterliegen denselben Sicherheitsanforderungen, jedoch mit niedrigeren Strafen und reaktiver (statt proaktiver) Aufsicht:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemikalien: Herstellung, Produktion, Vertrieb
- Lebensmittel: Produktion, Verarbeitung, Vertrieb (Großhandel)
- Fertigung: Medizinprodukte, Computer/Elektronik, Elektrogeräte, Maschinen, Kraftfahrzeuge, sonstige Transportmittel
- Digitale Anbieter: Online-Marktplätze, Suchmaschinen, soziale Netzwerkplattformen
- Forschungsorganisationen
Größenschwellenwerte
NIS2 verwendet die Standard-KMU-Definition der EU. Sie sind betroffen, wenn Sie einen der Schwellenwerte erreichen:
| Kategorie | Mitarbeiter | Finanzschwellenwert |
|---|---|---|
| Mittleres Unternehmen | ≥50 | Umsatz >€10M ODER Bilanzsumme >€10M |
| Großes Unternehmen | ≥250 | Umsatz >€50M ODER Bilanzsumme >€43M |
Größenunabhängige Einbeziehung: Bestimmte Einrichtungen müssen unabhängig von ihrer Größe konform sein, darunter alleinige DNS-Anbieter, TLD-Registrare, Vertrauensdiensteanbieter und von Mitgliedstaaten als kritisch eingestufte Einrichtungen.
Kernanforderungen der NIS2
Artikel 21 der NIS2 schreibt zehn Kategorien von Risikomanagementmaßnahmen vor. Hier ist, was sie in der Praxis bedeuten:
1. Risikomanagement
- Regelmäßige Risikobewertungen für Netz- und Informationssysteme durchführen
- Sicherheitsmaßnahmen verhältnismäßig zu den identifizierten Risiken umsetzen
- Risikobehandlungsentscheidungen mit klarer Begründung dokumentieren
- Risikobewertungen mindestens jährlich oder nach wesentlichen Änderungen überprüfen
- Sowohl technische als auch menschliche Faktoren berücksichtigen
2. Vorfallbehandlung—Die 24/72-Stunden-Regel
NIS2 führt einen strengen dreistufigen Vorfallmeldeprozess ein:
| Stufe | Frist | Erforderlicher Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden | Erstmeldung: Wird rechtswidrige/bösartige Handlung vermutet? Könnte es grenzüberschreitende Auswirkungen geben? |
| Vorfallmeldung | 72 Stunden | Schweregradbewertung, Auswirkungen, Kompromittierungsindikatoren, erste Abhilfemaßnahmen |
| Abschlussbericht | 1 Monat | Ursachenanalyse, ergriffene Abhilfemaßnahmen, grenzüberschreitende Auswirkungen (falls vorhanden) |
Was löst eine Meldepflicht aus? "Erhebliche Sicherheitsvorfälle", die schwere Betriebsstörungen, finanzielle Verluste verursachen oder verursachen können, oder andere natürliche/juristische Personen betreffen.
3. Geschäftskontinuität
- Geschäftskontinuitätspläne einschließlich Krisenmanagementverfahren entwickeln und pflegen
- Regelmäßige Tests durchführen—mindestens Planspiele, Vollsimulationen für kritische Systeme
- Backup und Disaster Recovery mit definierten RTO (Recovery Time Objective) und RPO (Recovery Point Objective) etablieren
- Wiederherstellungsverfahren dokumentieren und testen
4. Lieferkettensicherheit
Dies ist ein neuer Schwerpunkt in NIS2, der viele Organisationen überrascht:
- Cybersicherheitsrisiken von direkten Lieferanten und Dienstleistern bewerten
- Sicherheitsanforderungen in Verträge aufnehmen—nicht nur Nice-to-have-Klauseln
- Lieferanten-Compliance und Sicherheitslage überwachen
- Lieferanteninventar mit Risikoprofilen führen
- Lieferkettensschwachstellen in Risikobewertungen berücksichtigen
5. Sicherheitsmaßnahmen—MFA ist Pflicht
NIS2 verlangt ausdrücklich:
- Multi-Faktor-Authentifizierung (MFA) oder kontinuierliche Authentifizierung—das ist nicht optional
- Gesicherte Sprach-, Video- und Textkommunikation
- Gesicherte Notfallkommunikationssysteme
- Verschlüsselung im Ruhezustand und bei der Übertragung
- Netzwerksicherheit (Segmentierung, Firewalls, Intrusion Detection)
- Schwachstellenmanagement und Patching
- Sicherheitsbewusstseinsschulungen und Cyber-Hygienepraktiken für alle Mitarbeiter
Weitere Maßnahmen umfassen Zugriffskontrollen, Asset-Management und HR-Sicherheit (Hintergrundprüfungen, Sicherheitsverantwortlichkeiten im Arbeitsverhältnis).
6. Governance und Geschäftsführerhaftung
Hier wird NIS2 ernst—und persönlich:
- Leitungsorgane müssen Cybersicherheits-Risikomanagementmaßnahmen genehmigen
- Leitungsorgane müssen die Umsetzung überwachen—nicht nur delegieren und vergessen
- Pflichtschulung für Leitungsorgane zu Cybersicherheitsrisiken (und empfohlen für alle Mitarbeiter)
- Benannte verantwortliche Person für Cybersicherheit mit direkter Berichtslinie zur Geschäftsführung
- Regelmäßige Sicherheitsberichterstattung an die Geschäftsführung
⚠️ Persönliche Haftung: Nach dem NISG 2026 haften Leitungsorgane persönlich für Schäden, die durch schuldhafte Verletzung der Aufsichtspflicht über Cybersicherheitsmaßnahmen entstehen. Dies spiegelt Trends in der Corporate Governance wider und bedeutet, dass C-Level-Führungskräfte sich nicht auf Unwissenheit berufen können.
Österreichische Behörden unter dem NISG 2026
Das NISG 2026 etabliert eine neue Behördenstruktur:
| Behörde | Rolle | Hinweise |
|---|---|---|
| Bundesamt für Cybersicherheit | Zentrale Aufsichtsbehörde | Neue Behörde unter dem BMI (Innenministerium) |
| GovCERT Austria | Regierungs-CSIRT | Incident Response für öffentlichen Sektor |
| CERT.at | Nationales CSIRT | Incident Response für Privatsektor |
| Sektorenregulatoren | Sektorspezifische Aufsicht | Z.B. E-Control für Energie, RTR für Telekom |
Hinweis: Die aktuelle Struktur unter dem NISG 2018 hat das Bundeskanzleramt als strategische NIS-Behörde. Dies wechselt zum neuen Bundesamt für Cybersicherheit, sobald das NISG 2026 in Kraft tritt.
Umsetzungszeitplan
| Datum | Meilenstein | Status |
|---|---|---|
| 17. Okt. 2024 | EU-Umsetzungsfrist | ❌ Verpasst |
| 7. Mai 2025 | EK mit Gründen versehene Stellungnahme | ✓ Abgeschlossen |
| 20. Nov. 2025 | Ministerratsbeschluss | ✓ Abgeschlossen |
| Q1-Q2 2026 | Parlamentsdebatte und Abstimmung | ⏳ Ausstehend (erfordert 2/3-Mehrheit) |
| ~9 Monate nach Kundmachung | NISG 2026 tritt in Kraft | Erwartet Q3/Q4 2026 |
| +3 Monate | Registrierungsfrist | Nach Inkrafttreten |
| +12 Monate | Selbstdeklarationsfrist | Nachweis der Wirksamkeit von Sicherheitsmaßnahmen |
Was bedeutet das für Sie? Auch wenn das österreichische Gesetz verzögert ist, sollten Sie jetzt vorbereiten. Die EU-Richtlinie ist in Kraft, und die Durchsetzung wird nach Verabschiedung des NISG 2026 zügig erfolgen.
Strafen
NIS2 bringt DSGVO-ähnliche Strafen in die Cybersicherheit:
Wesentliche Einrichtungen
- Bis zu €10 Millionen oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
- Proaktive Aufsicht (Prüfungen ohne vorherigen Vorfall)
Wichtige Einrichtungen
- Bis zu €7 Millionen oder 1,4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
- Reaktive Aufsicht (Untersuchungen nach Vorfällen oder Beschwerden)
Weitere Konsequenzen
- Vorübergehende Aussetzung von Zertifizierungen oder Genehmigungen
- Vorübergehendes Verbot von Führungsfunktionen für verantwortliche Personen
- Veröffentlichung von Nichteinhaltung (Naming and Shaming)
- Persönliche Haftung für die Geschäftsführung
Nächste Schritte zur Compliance
- Prüfen Sie, ob Sie betroffen sind: Überprüfen Sie Sektorenlisten und Größenschwellenwerte. Im Zweifelsfall gehen Sie davon aus, dass Sie betroffen sind—die Strafen für Nichteinhaltung übersteigen die Compliance-Kosten bei Weitem.
- Führen Sie eine Gap-Analyse durch: Bewerten Sie Ihren aktuellen Sicherheitsstand anhand aller zehn NIS2-Anforderungskategorien. Achten Sie besonders auf MFA-Implementierung, Lieferkettensicherheit und Vorfallmeldefähigkeiten.
- Adressieren Sie die Geschäftsführerhaftung: Informieren Sie Vorstand/Geschäftsführung über ihre persönlichen Pflichten. Planen Sie Pflichtschulungen. Dokumentieren Sie alles.
- Bauen Sie Ihren Incident Response auf: Können Sie realistisch einen Vorfall innerhalb von 24 Stunden erkennen, bewerten und melden? Falls nicht, ist dies Priorität eins.
- Überprüfen Sie Lieferantenverträge: Enthalten Ihre Verträge Cybersicherheitsanforderungen? Haben Sie Einblick in die Sicherheitslage Ihrer Lieferanten?
- Implementieren Sie MFA: Falls noch nicht geschehen, ist dies ausdrücklich erforderlich—keine Ausnahmen.
- Bereiten Sie sich auf die Registrierung vor: Sie müssen sich innerhalb von 3 Monaten nach Inkrafttreten des NISG 2026 beim Bundesamt für Cybersicherheit registrieren.
- Planen Sie für die Selbstdeklaration: Innerhalb von 12 Monaten nach der Registrierung müssen Sie die Wirksamkeit Ihrer Sicherheitsmaßnahmen nachweisen.
Offizielle Ressourcen
- WKO – NIS2 Übersicht und NISG 2026
- NIS2-Richtlinie Volltext (EUR-Lex)
- ENISA – NIS2 Guidance
- Bundesministerium für Inneres (BMI)
- CERT.at – Österreichisches Nationales CSIRT
- GovCERT Austria
Benötigen Sie Hilfe bei der NIS2-Compliance?
NIS2-Compliance ist komplex, aber Sie müssen es nicht alleine herausfinden. VETOSEC spezialisiert sich darauf, österreichische Organisationen auf das NISG 2026 vorzubereiten—von der ersten Gap-Analyse bis zur vollständigen Implementierungsunterstützung.
Unsere NIS2-Dienstleistungen umfassen:
- Kostenlose Schnellbewertung: Finden Sie heraus, ob Sie betroffen sind und wo Ihre größten Lücken liegen
- Gap-Analyse: Detaillierte Überprüfung anhand aller zehn NIS2-Anforderungskategorien
- Implementierungs-Roadmap: Priorisierter Aktionsplan mit realistischen Zeitplänen
- Technische Implementierung: MFA-Rollout, SIEM-Deployment, Incident Response Setup
- Management-Schulung: Erfüllen Sie die Pflichtschulungsanforderung
- Laufendes Compliance-Monitoring: Bleiben Sie compliant, während sich Anforderungen weiterentwickeln
Kontaktieren Sie VETOSEC heute für eine kostenlose Beratung und machen Sie den ersten Schritt zur NIS2-Compliance.
What is the NIS2 Directive?
The NIS2 Directive (Directive (EU) 2022/2555) is the EU's updated cybersecurity legislation replacing the original NIS Directive from 2016. It significantly expands cybersecurity requirements and applies stricter obligations to organizations in critical sectors—with real consequences for management who fail to comply.
NIS2 establishes:
- Harmonized cybersecurity requirements across all EU member states
- Stronger enforcement mechanisms with GDPR-level penalties
- Expanded coverage from 7 to 18 sectors
- Enhanced incident reporting with strict 24/72-hour deadlines
- Personal liability for management bodies—a significant change from NIS1
For Austrian businesses, this means approximately 4,000 organizations will fall under the new requirements, compared to roughly 100 under the current NISG 2018.
Austrian Implementation Status (November 2025)
Current Status: Austria missed the EU's October 17, 2024 transposition deadline. The European Commission issued a "reasoned opinion" on May 7, 2025—the final step before European Court of Justice referral.
The NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) was approved by the Council of Ministers on November 20, 2025 and submitted to Parliament as Bill 308 d.B. (XXVIII legislative period).
Why the delay? The law requires a two-thirds majority due to constitutional provisions affecting federal-state competencies. A previous attempt (NISG 2024) failed on July 3, 2024 when opposition parties blocked passage.
Who Must Comply with NIS2?
NIS2 applies to Essential Entities and Important Entities across 18 sectors, using the EU's standard SME definition for size thresholds.
Essential Entities (Wesentliche Einrichtungen)
These face the strictest requirements and highest penalties:
- Energy: Electricity, district heating/cooling, oil, gas, hydrogen
- Transport: Air, rail, water, road transport operators
- Banking: Credit institutions (note: entities under DORA have separate requirements)
- Financial market infrastructure: Trading venues, central counterparties
- Health: Hospitals, healthcare providers, EU reference laboratories, pharmaceutical manufacturers, medical device producers
- Drinking water: Supply and distribution
- Wastewater: Collection, disposal, treatment
- Digital infrastructure: Internet exchange points, DNS providers, TLD registries, cloud computing services, data centers, content delivery networks, trust service providers
- ICT service management: Managed service providers (MSPs), managed security service providers (MSSPs)
- Public administration: Central government entities
- Space: Operators of ground-based infrastructure supporting space-based services
Important Entities (Wichtige Einrichtungen)
Subject to the same security requirements but with lower penalties and reactive (rather than proactive) supervision:
- Postal and courier services
- Waste management
- Chemicals: Manufacturing, production, distribution
- Food: Production, processing, distribution (wholesale)
- Manufacturing: Medical devices, computers/electronics, electrical equipment, machinery, motor vehicles, other transport equipment
- Digital providers: Online marketplaces, search engines, social networking platforms
- Research organizations
Size Thresholds
NIS2 uses the standard EU SME definition. You're in scope if you meet either threshold:
| Category | Employees | Financial Threshold |
|---|---|---|
| Medium enterprise | ≥50 | Turnover >€10M OR Balance sheet >€10M |
| Large enterprise | ≥250 | Turnover >€50M OR Balance sheet >€43M |
Size-independent inclusion: Certain entities must comply regardless of size, including sole DNS providers, TLD registries, trust service providers, and entities designated as critical by member states.
Core NIS2 Requirements
Article 21 of NIS2 mandates ten categories of risk management measures. Here's what they mean in practice:
1. Risk Management
- Conduct regular risk assessments covering network and information systems
- Implement security measures proportionate to the risks identified
- Document risk treatment decisions with clear rationale
- Review and update risk assessments at least annually or after significant changes
- Consider both technical and human factors
2. Incident Handling—The 24/72-Hour Rule
NIS2 introduces a strict three-stage incident reporting process:
| Stage | Deadline | Content Required |
|---|---|---|
| Early warning | 24 hours | Initial notification: Is it suspected unlawful/malicious? Could it have cross-border impact? |
| Incident notification | 72 hours | Severity assessment, impact, indicators of compromise, initial mitigation |
| Final report | 1 month | Root cause analysis, mitigation measures taken, cross-border impact (if any) |
What triggers reporting? "Significant incidents" that cause or may cause severe operational disruption, financial loss, or affect other natural/legal persons.
3. Business Continuity
- Develop and maintain business continuity plans including crisis management procedures
- Conduct regular testing—tabletop exercises at minimum, full simulations for critical systems
- Establish backup and disaster recovery with defined RTO (Recovery Time Objective) and RPO (Recovery Point Objective)
- Document and test restoration procedures
4. Supply Chain Security
This is new emphasis in NIS2 and catches many organizations off guard:
- Assess cybersecurity risks from direct suppliers and service providers
- Include security requirements in contracts—not just nice-to-have clauses
- Monitor supplier compliance and security posture
- Maintain a supplier inventory with risk profiles
- Consider supply chain vulnerabilities in risk assessments
5. Security Measures—MFA is Mandatory
NIS2 explicitly requires:
- Multi-factor authentication (MFA) or continuous authentication—this is not optional
- Secured voice, video, and text communications
- Secured emergency communication systems
- Encryption at rest and in transit
- Network security (segmentation, firewalls, intrusion detection)
- Vulnerability management and patching
- Security awareness training and cyber hygiene practices for all staff
Additional measures include access control policies, asset management, and HR security (background checks, security responsibilities in employment).
6. Governance and Management Liability
This is where NIS2 gets serious—and personal:
- Management bodies must approve cybersecurity risk management measures
- Management must oversee implementation—not just delegate and forget
- Mandatory training for management on cybersecurity risks (and encouraged for all employees)
- Designated responsible person for cybersecurity with direct reporting line to management
- Regular security reporting to management
⚠️ Personal Liability: Under NISG 2026, management bodies are personally liable for damages caused by culpable failure to supervise cybersecurity measures. This mirrors trends in corporate governance and means C-level executives cannot claim ignorance.
Austrian Authorities Under NISG 2026
The NISG 2026 establishes a new authority structure:
| Authority | Role | Notes |
|---|---|---|
| Bundesamt für Cybersicherheit | Central supervisory authority | New authority under BMI (Interior Ministry) |
| GovCERT Austria | Government CSIRT | Incident response for public sector |
| CERT.at | National CSIRT | Incident response for private sector |
| Sector regulators | Sector-specific oversight | E.g., E-Control for energy, RTR for telecom |
Note: The current structure under NISG 2018 has the Bundeskanzleramt (Federal Chancellery) as the strategic NIS authority. This shifts to the new Bundesamt für Cybersicherheit once NISG 2026 enters into force.
Implementation Timeline
| Date | Milestone | Status |
|---|---|---|
| Oct 17, 2024 | EU transposition deadline | ❌ Missed |
| May 7, 2025 | EC reasoned opinion issued | ✓ Completed |
| Nov 20, 2025 | Council of Ministers approval | ✓ Completed |
| Q1-Q2 2026 | Parliamentary debate and vote | ⏳ Pending (requires 2/3 majority) |
| ~9 months after publication | NISG 2026 enters into force | Expected Q3/Q4 2026 |
| +3 months | Registration deadline | After entry into force |
| +12 months | Self-declaration deadline | Proof of security measures effectiveness |
What does this mean for you? Even though Austrian law is delayed, you should prepare now. The EU directive is in force, and enforcement will be swift once NISG 2026 passes.
Penalties
NIS2 brings GDPR-level penalties to cybersecurity:
Essential Entities
- Up to €10 million or 2% of global annual turnover, whichever is higher
- Proactive supervision (audits without prior incident)
Important Entities
- Up to €7 million or 1.4% of global annual turnover, whichever is higher
- Reactive supervision (investigations after incidents or complaints)
Additional Consequences
- Temporary suspension of certifications or authorizations
- Temporary ban on management functions for responsible individuals
- Publication of non-compliance (naming and shaming)
- Personal liability for management
Next Steps for Compliance
- Determine if you're in scope: Check sector lists and size thresholds. When in doubt, assume you're covered—the penalties for non-compliance far exceed the cost of compliance.
- Conduct a gap analysis: Assess your current security posture against all ten NIS2 requirement categories. Pay special attention to MFA implementation, supply chain security, and incident reporting capabilities.
- Address management liability: Brief your board/management on their personal obligations. Schedule mandatory training. Document everything.
- Build your incident response: Can you realistically detect, assess, and report an incident within 24 hours? If not, this is priority one.
- Review supplier contracts: Do your contracts include cybersecurity requirements? Do you have visibility into supplier security posture?
- Implement MFA: If you haven't already, this is explicitly required—no exceptions.
- Prepare for registration: You'll need to register with the Bundesamt für Cybersicherheit within 3 months of NISG 2026 entering into force.
- Plan for self-declaration: Within 12 months of registration, you'll need to demonstrate the effectiveness of your security measures.
Official Resources
- WKO – NIS2 Overview and NISG 2026
- NIS2 Directive Full Text (EUR-Lex)
- ENISA – NIS2 Guidance
- Austrian Federal Ministry of the Interior (BMI)
- CERT.at – Austrian National CSIRT
- GovCERT Austria
Need Help with NIS2 Compliance?
NIS2 compliance is complex, but you don't have to figure it out alone. VETOSEC specializes in helping Austrian organizations prepare for NISG 2026—from initial gap analysis to full implementation support.
Our NIS2 services include:
- Free quick assessment: Find out if you're in scope and where your biggest gaps are
- Gap analysis: Detailed review against all ten NIS2 requirement categories
- Implementation roadmap: Prioritized action plan with realistic timelines
- Technical implementation: MFA rollout, SIEM deployment, incident response setup
- Management training: Fulfill the mandatory training requirement
- Ongoing compliance monitoring: Stay compliant as requirements evolve
Contact VETOSEC today for a free consultation and take the first step toward NIS2 compliance.