Was ist NIS2 und wer ist in Österreich betroffen?

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Security Directive). In Österreich betrifft sie kritische Infrastrukturen wie Energie, Verkehr, Gesundheitswesen, sowie wichtige Wirtschaftssektoren. Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in betroffenen Sektoren müssen die Anforderungen erfüllen. vetosec unterstützt bei der NIS2-Compliance mit Gap-Analysen und Beratung.

Was sind Managed Security Services?

Managed Security Services bedeuten, dass ein spezialisierter Anbieter Ihre Cybersicherheit kontinuierlich überwacht und verwaltet. Dies umfasst 24/7 Bedrohungsüberwachung, Endpoint Detection and Response (EDR), Incident Response, und Security Operations Center (SOC) Funktionen. Ideal für Unternehmen ohne eigenes Security-Team.

Wie lange dauert eine ISO27001-Zertifizierung?

Eine ISO27001-Zertifizierung dauert in Österreich typischerweise 6-12 Monate, abhängig von der Unternehmensgröße und bestehenden Sicherheitsmaßnahmen. Der Prozess umfasst Gap-Analyse, Implementierung eines Information Security Management Systems (ISMS), interne Audits und das externe Zertifizierungsaudit.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 gilt für kritische Infrastrukturen und wichtige Wirtschaftssektoren in der gesamten EU. DORA (Digital Operational Resilience Act) ist spezifisch für Finanzinstitute und konzentriert sich auf digitale operationale Resilienz. Beide erfordern Cybersicherheitsmaßnahmen, aber DORA hat zusätzliche Anforderungen für Finanzdienstleister in Österreich.

Warum brauchen österreichische KMU Cybersicherheit?

Österreichische KMU sind zunehmend Ziel von Cyberangriffen, insbesondere Ransomware. Zusätzlich erfordern neue EU-Richtlinien wie NIS2 und DSGVO angemessene Sicherheitsmaßnahmen. Ein Sicherheitsvorfall kann zu Datenverlust, Betriebsunterbrechungen, hohen Strafen und Reputationsschäden führen. Professionelle Cybersicherheit schützt Ihr Geschäft und Ihre Kunden.

IT Check: See Exactly Where Your IT Really Stands

Published: May 27, 2026 • Updated: May 27, 2026

Die meisten Betriebe in Österreich wissen nicht genau, wie sicher ihre IT ist. Die Systeme laufen, der IT-Dienstleister meldet sich nur, wenn etwas kaputt ist, und solange nichts passiert, geht man davon aus, dass es schon passen wird. Bis etwas passiert. Der VetoSec IT Check schafft Klarheit, bevor es so weit kommt.

Was der IT Check ist und was er nicht ist

Der VetoSec IT Check ist ein strukturierter, unabhängiger Sicherheits- und Datencheck für kleine und mittlere Unternehmen. Wir kommen zu Ihnen, sehen uns Ihre IT-Infrastruktur persönlich an und liefern Ihnen am Ende einen klaren Befund mit konkreten nächsten Schritten. Kein Fachchinesisch, kein Verkaufsdruck, keine pauschalen Aussagen. Sondern ein ehrlicher Blick von außen, der Ihnen zeigt, wo Sie wirklich stehen.

Der IT Check ist kein Penetrationstest und kein vollständiges Sicherheitsaudit nach ISO 27001. Er ist der sinnvolle erste Schritt für Betriebe, die noch keine formale Sicherheitsstrategie haben oder wissen wollen, ob ihre bestehende IT-Infrastruktur einer realen Überprüfung standhält.

So läuft ein IT Check ab

Wir kommen persönlich zu Ihnen in den Betrieb. Je nach Größe und Komplexität Ihrer IT-Infrastruktur dauert ein Check vor Ort zwischen einer und fünf Stunden pro Standort. In dieser Zeit gehen wir systematisch durch das, was den Kern Ihrer IT-Sicherheitslage ausmacht.

Server und Infrastruktur

Wir sehen uns Ihre Server an: wie sie konfiguriert sind, ob sie aktuell gepatcht sind, welche Dienste nach außen offen sind und ob die Grundhärtung stimmt. Soweit es möglich und sinnvoll ist, bewerten wir auch den Hardware-Zustand. Veraltete Hardware ist nicht nur ein Ausfallrisiko, sie ist oft auch ein Sicherheitsrisiko, weil Hersteller für ältere Geräte keine Sicherheitsupdates mehr liefern.

Zugänge und Berechtigungen

Wer hat Zugriff auf was? Gibt es Konten, die mehr Rechte haben als nötig? Sind administrative Zugänge durch Multi-Faktor-Authentifizierung gesichert? Diese Fragen klingen einfach, aber die Antworten überraschen fast immer.

E-Mail-Konfiguration

Ein falsch konfigurierter E-Mail-Server ist eine offene Einladung für Phishing und Spoofing. Wir prüfen, ob SPF, DKIM und DMARC korrekt eingerichtet sind. Diese drei Einträge kosten nichts und verhindern, dass Angreifer im Namen Ihrer Domain E-Mails versenden, eine der häufigsten Methoden, um Kunden und Mitarbeitende zu täuschen.

Netzwerk und externe Angriffsfläche

Wie ist Ihr Netzwerk aufgebaut? Sind interne Systeme von extern erreichbar, die es nicht sein sollten? Wie sind Fernzugänge gesichert? Wir prüfen, was ein Angreifer von außen über Ihre Infrastruktur sehen kann und wie leicht er einen ersten Fuß in die Tür bekommt.

Datensicherung und Wiederherstellung

Haben Sie Backups? Sind diese von den Produktivsystemen getrennt? Wann wurde zuletzt getestet, ob eine Wiederherstellung tatsächlich funktioniert? Fehlende oder ungetestete Backups zählen laut der KPMG/KSÖ Cybersecurity-Studie 2025 zu den häufigsten Schwachstellen österreichischer Unternehmen.[Quelle: KSÖ / KPMG]

Allgemeiner Sicherheitszustand

Gibt es Virenschutz, der tatsächlich aktuell ist? Sind Endgeräte in den Sicherheitsprozess eingebunden oder laufen sie unkontrolliert? Weiß jemand im Betrieb, was im Ernstfall zu tun ist? Diese organisatorischen Fragen sind oft genauso aufschlussreich wie die technischen.

Was Sie am Ende bekommen

Nach dem IT Check erhalten Sie einen klaren, verständlichen Befundbericht. Keine seitenlangen Fachberichte, die in der Schublade verschwinden. Sondern eine priorisierte Übersicht darüber, wo Ihre größten Risiken liegen und was als nächstes zu tun ist. So können Sie als Geschäftsführerin oder Geschäftsführer fundierte Entscheidungen treffen, ohne selbst IT-Experte sein zu müssen.

NIS2 Lieferanten-Gap-Analyse

Neben dem IT Check bieten wir auch eine strukturierte NIS2 Lieferanten-Gap-Analyse an. Mit dem NISG 2026, das am 1. Oktober 2026 in Kraft tritt, werden NIS2-pflichtige Unternehmen ihre Lieferanten und IT-Dienstleister vertraglich zu Sicherheitsmaßnahmen verpflichten. Wer als Lieferant keine glaubwürdige Antwort auf Sicherheitsfragebögen und Auditanforderungen hat, riskiert Aufträge zu verlieren.

Die Gap-Analyse zeigt Ihnen systematisch, welche NIS2-Anforderungen für Sie als Lieferant relevant sind, was Sie bereits erfüllen und wo konkrete Lücken bestehen. Das Ergebnis ist eine klare Roadmap, mit der Sie gegenüber Auftraggebern, Behörden oder Versicherungen nachweisen können, dass Ihre IT-Sicherheit ernst genommen wird.

Für wen ist der IT Check gemacht?

Der IT Check richtet sich an kleine und mittlere Unternehmen in Österreich, die sensible Daten verarbeiten oder in regulierten Branchen tätig sind. Dazu zählen Arztpraxen, Rechtsanwaltskanzleien, Steuerberatungsbüros, Architekturbüros, Produktionsbetriebe, Hotels und alle KMU, bei denen ein Datenverlust oder ein Betriebsausfall echten Schaden anrichten würde. Er eignet sich auch als unabhängige Zweitmeinung, wenn Sie wissen möchten, ob Ihr bestehender IT-Dienstleister wirklich einen guten Job macht.

IT Check anfragen

Wenn Sie wissen möchten, wie sicher Ihre IT wirklich ist, nehmen Sie Kontakt mit uns auf. Mehr Informationen zum IT Check finden Sie unter vetosec.at/services/it-check.

Most businesses in Austria do not know precisely how secure their IT is. Systems are running, the IT provider only calls when something breaks, and as long as nothing goes wrong, the assumption is that things must be fine. Until something goes wrong. The VetoSec IT Check creates clarity before that happens.

What the IT Check is and what it is not

The VetoSec IT Check is a structured, independent security and data check for small and medium-sized businesses. We come to your location, personally examine your IT infrastructure, and deliver a clear assessment with concrete next steps. No jargon, no sales pressure, no generic verdicts. Just an honest external perspective that shows you where you actually stand.

The IT Check is not a penetration test and not a full security audit to ISO 27001 standard. It is the sensible first step for businesses that do not yet have a formal security strategy, or that want to know whether their existing IT infrastructure would hold up to real scrutiny.

How an IT Check works

We come to you in person. Depending on the size and complexity of your IT infrastructure, an on-site check takes between one and five hours per location. During that time we work systematically through everything that defines your actual IT security posture.

Servers and infrastructure

We look at your servers: how they are configured, whether they are up to date on patches, which services are exposed externally, and whether the basic hardening is in order. Where it is possible and meaningful, we also assess the hardware condition. Outdated hardware is not just a reliability risk — it is often a security risk too, because manufacturers stop delivering security updates for older devices.

Access and permissions

Who has access to what? Are there accounts with more privileges than necessary? Are administrative accounts protected by multi-factor authentication? These questions sound straightforward, but the answers almost always come as a surprise.

Email configuration

A misconfigured email server is an open invitation for phishing and spoofing. We check whether SPF, DKIM, and DMARC are correctly set up. These three entries cost nothing to implement and prevent attackers from sending emails in the name of your domain, one of the most common methods used to deceive customers and employees.

Network and external attack surface

How is your network structured? Are internal systems reachable from outside when they should not be? How are remote access connections secured? We check what an attacker can see about your infrastructure from the outside and how easily they could get an initial foothold.

Data backup and recovery

Do you have backups? Are they stored separately from production systems? When was the last time a restoration was actually tested and not just assumed to work? Missing or untested backups are among the most common vulnerabilities in Austrian businesses according to the KPMG/KSÖ Cybersecurity Study 2025.[Source: KSÖ / KPMG]

Overall security posture

Is there antivirus protection that is actually current? Are endpoints integrated into the security process or running without oversight? Does anyone in the business know what to do in an emergency? These organisational questions are often just as revealing as the technical ones.

What you receive at the end

After the IT Check you receive a clear, readable assessment report. Not a lengthy technical document that ends up in a drawer, but a prioritised overview of where your greatest risks lie and what needs to happen next. This gives you as a business owner the information to make well-founded decisions without needing to be an IT expert yourself.

NIS2 supplier gap analysis

Alongside the IT Check we also offer a structured NIS2 supplier gap analysis. With the NISG 2026 entering into force on 1 October 2026, NIS2-obligated companies will contractually require their suppliers and IT service providers to implement security measures. Suppliers who cannot provide credible answers to security questionnaires and audit requests risk losing contracts.

The gap analysis systematically shows you which NIS2 requirements are relevant to you as a supplier, what you already fulfil, and where specific gaps exist. The result is a clear roadmap that allows you to demonstrate to clients, authorities, or insurers that your IT security is taken seriously.

Who the IT Check is made for

The IT Check is aimed at small and medium-sized businesses in Austria that handle sensitive data or operate in regulated industries. This includes medical practices, law firms, tax advisory offices, architecture firms, manufacturing businesses, hotels, and any SMB where data loss or operational downtime would cause real damage. It also works well as an independent second opinion if you want to know whether your existing IT provider is actually doing a good job.

Request an IT Check

If you want to know how secure your IT really is, get in touch. You can find more information about the IT Check at vetosec.at/services/it-check.