Website-Sicherheit war lange ein Thema für Technikteams, Agenturen und Hosting-Anbieter. Mit dem NISG 2026 rückt sie stärker in die Unternehmensführung, in Verträge und in die Lieferkette. Der österreichische Anlass ist konkret: Laut WKO tritt das Netz- und Informationssystemsicherheitsgesetz 2026 am 1. Oktober 2026 in Kraft. Ab dann gelten für betroffene Einrichtungen Risikomanagementmaßnahmen und Meldepflichten; eine Registrierung ist bis Ende 2026 vorgesehen. Für viele kleinere Website-Betreiber bedeutet das nicht automatisch eine direkte NISG-Pflicht. Aber sehr viele Unternehmen werden über Kunden, Dienstleister, Hosting, SaaS-Tools oder Konzernstrukturen indirekt berührt.

Genau deshalb lohnt sich ein nüchterner Blick auf den eigenen Website-Stack: CMS, Hosting, DNS, E-Mail, Plugins, Backups, Formulare, Zahlungsdienste, Consent-Tools, Newsletter, Monitoring und externe Dienstleister. Das ist keine Panikliste. Es ist die praktische Frage, ob die digitale Präsenz eines Unternehmens im Ernstfall weiterläuft, nachvollziehbar betreut wird und die wichtigsten Verantwortlichkeiten geklärt sind.

Was sich mit NISG 2026 verschiebt

Die NIS2-Richtlinie der EU soll ein hohes gemeinsames Cybersicherheitsniveau schaffen. Österreich setzt sie mit dem NISG 2026 um. Die WKO fasst die wichtigsten Fristen und Pflichten für Unternehmen zusammen: Inkrafttreten am 1. Oktober 2026, Registrierung betroffener Einrichtungen bis 31. Dezember 2026, Selbstdeklaration bis 30. September 2027 und mögliche behördliche Prüfungen in späteren Stufen. Entscheidend ist außerdem, dass Risikomanagementmaßnahmen und Berichtspflichten ab Inkrafttreten zu beachten sind.

Für Website-Projekte ist besonders die Lieferkette relevant. Die WKO weist ausdrücklich darauf hin, dass auch Dienstleister und Lieferanten betroffener Einrichtungen vertraglich zu Sicherheitsmaßnahmen verpflichtet werden können. Das ist der Punkt, an dem NIS2 in den Alltag vieler Agenturen, IT-Dienstleister, Hosting-Partner und SaaS-Anbieter hineinwirkt, selbst wenn diese nicht immer unmittelbar als wesentliche oder wichtige Einrichtung eingestuft sind.

Nicht jede Website ist direkt NISG-pflichtig

Eine wichtige Klarstellung vorweg: Ein kleiner Webshop, eine Praxiswebsite oder eine lokale Unternehmensseite fällt nicht allein deshalb unter NISG 2026, weil sie eine Website betreibt. Die direkte Betroffenheit hängt unter anderem von Sektor, Unternehmensgröße und konkreter Tätigkeit ab. Die NIS-Anlaufstelle beschreibt die Ausweitung auf einen größeren Teil der Wirtschaft und des öffentlichen Sektors, insbesondere in kritischen und wichtigen Sektoren.

Für KMU ist die indirekte Wirkung oft praktischer als die juristische Einordnung. Ein Unternehmen kann Kunden in einem NIS-relevanten Sektor beliefern, als Dienstleister Zugriff auf Systeme haben, Cloud- oder Hosting-Leistungen bereitstellen oder als Agentur eine Website betreuen, auf der Bestellungen, Anfragen, Login-Bereiche oder Kundendaten verarbeitet werden. Dann kommen Sicherheitsnachweise, Rollen, Reaktionszeiten, Backup-Prozesse und Incident-Meldewege schnell in Ausschreibungen, Verträge oder Audit-Fragebögen.

Der Website-Stack als Lieferkette

Viele Websites wirken nach außen wie eine einzelne Seite. In Wahrheit sind sie ein Verbund aus mehreren digitalen Bausteinen. Domain und DNS liegen bei einem Anbieter, Hosting bei einem zweiten, E-Mail bei einem dritten, das CMS bei WordPress, der Shop bei WooCommerce oder einer SaaS-Plattform, Zahlungen bei einem Payment-Provider, Tracking bei externen Tools, Consent bei einem Consent-Manager, Backups in einer Cloud und Wartung bei einer Agentur. Jedes Element kann die Verfügbarkeit, Integrität oder Vertraulichkeit beeinflussen.

Dieser Stack sollte zumindest grob dokumentiert sein. Welche Systeme sind geschäftskritisch? Wer hat Admin-Zugriff? Wo liegen Backups? Wie schnell kann die Website nach einem Ausfall wieder online sein? Welche Plugins oder Drittanbieter-Skripte sind wirklich notwendig? Welche Dienstleister müssen im Notfall erreichbar sein? Diese Fragen sind nicht nur für NIS2 sinnvoll, sondern generell für professionellen Website-Betrieb.

Die Diskussion passt auch zum jüngsten Beitrag über die EU Open Source Strategy. Dort ging es um Abhängigkeiten, Wartbarkeit und offene Software-Bausteine. NISG 2026 macht dieselbe Abhängigkeitsfrage aus Sicherheitsperspektive greifbar: Offene oder geschlossene Tools können beide gut sein, aber sie müssen gepflegt, dokumentiert und verantwortet werden.

Welche Maßnahmen Website-Betreiber zuerst ordnen sollten

Wer nicht weiß, ob NISG 2026 direkt greift, sollte nicht mit einem hundertseitigen Konzept beginnen. Sinnvoller ist eine kompakte operative Bestandsaufnahme:

  • Alle geschäftskritischen Website-Komponenten erfassen: Domain, DNS, Hosting, CMS, Theme, Plugins, Shop, Formulare, E-Mail, Backups, Monitoring und externe Skripte.
  • Admin-Zugriffe prüfen: Wer hat welche Rechte, gibt es Mehrfaktor-Authentifizierung, werden Zugänge nach Mitarbeiter- oder Agenturwechseln entfernt?
  • Backup- und Wiederherstellungsprozess testen: Nicht nur Backup vorhanden, sondern Restore-Zeit, Verantwortliche und Eskalationswege kennen.
  • Plugin- und Update-Strategie festlegen: Wer prüft Updates, wer testet kritische Änderungen, wer entscheidet über veraltete Erweiterungen?
  • Incident-Ablauf skizzieren: Was passiert bei kompromittierter Website, Datenabfluss, defektem Shop, Malware-Fund oder DNS-Problem?
  • Dienstleisterverträge und SLAs ansehen: Reaktionszeiten, Sicherheitsanforderungen, Subdienstleister und Meldewege sollten nicht nur mündlich vereinbart sein.
  • Datenschutz- und Consent-Dokumentation gegen die technische Realität abgleichen.

Der letzte Punkt ist wichtig, weil Sicherheitsvorfälle oft auch Datenschutzfragen auslösen. Wenn personenbezogene Daten betroffen sein könnten, reichen rein technische Maßnahmen nicht. Die Datenschutzerklärung sollte eingesetzte Dienste korrekt beschreiben, und Einwilligungen müssen zu den tatsächlichen Skripten passen. Ein gepflegter Datenschutz Generator und ein sauber konfigurierter Consent Manager lösen keine Sicherheitslücke, helfen aber dabei, Tool-Einsatz und Informationspflichten nicht auseinanderlaufen zu lassen.

Managementverantwortung statt reines IT-Ticket

Die EU-Kommission beschreibt NIS2 als Rahmen, der Risikomanagement, Meldepflichten, Aufsicht und Durchsetzung in mehr Sektoren bringt. Auf ihrer NIS2-Seite betont sie außerdem, dass Top-Management für Verstöße gegen Cybersicherheits-Risikomanagementmaßnahmen verantwortlich werden kann. Für österreichische Unternehmen ist das eine klare Botschaft: Website-Sicherheit sollte nicht nur als Ticket an die IT oder Agentur weitergereicht werden.

Das bedeutet nicht, dass Geschäftsführerinnen jedes Plugin technisch prüfen müssen. Aber sie sollten wissen, ob es ein Sicherheitskonzept, klare Zuständigkeiten, getestete Backups, definierte Reaktionswege und einen Überblick über kritische Dienstleister gibt. Gerade im E-Commerce, bei Plattformen, Gesundheits- und Bildungsangeboten, Beratungsportalen oder B2B-SaaS kann eine Website schnell geschäftskritisch werden. Dann ist ein Ausfall nicht nur ärgerlich, sondern kann Umsatz, Vertrauen und Meldepflichten berühren.

Lieferkette: Agenturen und Dienstleister werden mitgezogen

Für Agenturen, Webhoster, IT-Betreuer und SaaS-Anbieter ist NISG 2026 besonders relevant, weil Kunden künftig häufiger Nachweise verlangen werden. Wer für ein betroffenes Unternehmen arbeitet, muss möglicherweise belegen, wie Zugriffe geschützt, Updates gesteuert, Sicherheitsvorfälle behandelt und Subdienstleister kontrolliert werden. Die EU hat mit der ICT Supply Chain Security Toolbox zusätzlich ein aktuelles Signal gesetzt: Lieferkettenrisiken sollen identifiziert, bewertet und reduziert werden.

Website-Agenturen können daraus eine Stärke machen. Ein sauber dokumentierter Wartungsprozess, klare Übergaben, MFA für Admin-Zugänge, getrennte Accounts, Update-Protokolle, Backups, Monitoring und ein einfacher Incident-Ablauf sind nicht nur Compliance-Argumente. Sie verbessern die Qualität der Zusammenarbeit. Auch für SEO und Online-Marketing ist das relevant: kompromittierte Websites, Malware-Warnungen, Ausfälle und langsame Notfallreaktionen beschädigen Sichtbarkeit und Vertrauen. Wer ohnehin an SEO oder Online Marketing arbeitet, sollte Website-Sicherheit nicht als Nebensache behandeln.

Was jetzt sinnvoll ist

Bis 1. Oktober 2026 ist noch Zeit, aber nicht viel, wenn Verantwortlichkeiten, Verträge und technische Dokumentation fehlen. Der beste Start ist ein pragmatischer Workshop: direkte NISG-Betroffenheit grob einschätzen, Website-Stack erfassen, kritische Dienstleister markieren, Sicherheitslücken priorisieren und die nächsten drei Maßnahmen festlegen. Für viele Unternehmen werden das MFA, Backup-Test, Plugin-Bereinigung, Monitoring und eine klare Notfallkontaktliste sein.

Parallel sollte die rechtliche Website-Basis gepflegt bleiben. Impressum, Datenschutztexte, Consent-Setup und Dienstedokumentation müssen nicht wegen NISG 2026 neu erfunden werden, sollten aber zur tatsächlichen Tool-Landschaft passen. Für einen kombinierten Blick auf Website-Recht, Datenschutz und laufende Compliance eignet sich das AdSimple Business Paket; die Pflichtangaben selbst lassen sich mit dem Impressum Generator sauber strukturiert halten.

Fazit: NISG 2026 macht Website-Sicherheit organisatorisch

NISG 2026 ist kein reines IT-Gesetz, das irgendwo in der Infrastruktur verschwindet. Es verändert, wie Unternehmen über digitale Abhängigkeiten, Lieferketten und Verantwortlichkeiten sprechen. Für viele Website-Betreiber beginnt der sinnvolle nächste Schritt nicht mit einer juristischen Feinprüfung, sondern mit Transparenz über den eigenen Stack: Wer betreibt was, wer darf worauf zugreifen, wie wird wiederhergestellt und wer reagiert, wenn etwas passiert?

Wer diese Fragen heute beantwortet, ist nicht automatisch NIS2-konform. Aber er ist deutlich besser vorbereitet: für Kundenfragen, Dienstleisterverträge, Sicherheitsvorfälle und die nächste Runde digitaler Pflichten. Und genau das ist im Website-Alltag oft der Unterschied zwischen hektischer Schadensbegrenzung und kontrollierbarem Betrieb.

Quellen