Die NIS2-Richtlinie hätte eigentlich bis zum 17. Oktober 2024 in nationales Recht überführt sein sollen. Fast alle EU-Mitgliedstaaten verpassten diese Frist — darunter auch Österreich und Deutschland. Die EU-Kommission leitete daraufhin im Mai 2025 Vertragsverletzungsverfahren gegen 19 Mitgliedstaaten ein.
Inzwischen hat die Gesetzgebung aufgeholt: In Deutschland wurde das NIS2-Umsetzungsgesetz am 13. November 2025 im Bundestag beschlossen und ist seit 6. Dezember 2025 in Kraft. In Österreich beschloss der Nationalrat am 12. Dezember 2025 das NISG 2026 — es tritt am 1. Oktober 2026 in Kraft, die Registrierungsfrist läuft bis 31. Dezember 2026. (Ein erster österreichischer Umsetzungsversuch, das NISG 2024, scheiterte mangels Zweidrittelmehrheit.)
Für Behörden, öffentliche Institutionen und Betreiber kritischer Infrastrukturen gilt damit: konkrete Pflichten, klare Fristen, spürbare Konsequenzen bei Nichterfüllung. Wer heute noch mit Legacy-Systemen arbeitet, die weder Audit Trails noch granulare Zugriffskontrollen bieten, sitzt auf einem echten Risiko.
Dieser Beitrag zeigt, wie die Gentics Content Management Platform (CMP) und das Acta Nova Dialog Portal technische und organisatorische NIS2-Anforderungen abdecken — ohne Blackboxen, ohne Vendor Lock-in.
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie löst die alte NIS-Richtlinie ab und erweitert den Anwendungsbereich erheblich.
Betroffen sind:
Für Behörden und öffentliche Einrichtungen in der DACH-Region ist NIS2 kein abstraktes Thema mehr. Die Umsetzungspflicht ist real — und sie trifft direkt die IT-Systeme, über die Inhalte verwaltet, Dokumente bearbeitet und Bürger-Dialoge abgewickelt werden.
NIS2 definiert Mindestanforderungen in mehreren Bereichen. Zur Orientierung: Was Gentics CMP und Acta Nova direkt adressieren, ist unten markiert — was ein übergreifendes ISMS erfordert, ebenfalls.
Die Konsequenzen bei Nichterfüllung sind konkret: Die Bußgeldobergrenzen sind zweistufig — bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, bis zu 7 Mio. € oder 1,4 % für wichtige Einrichtungen (jeweils der höhere Wert). Deutschland geht mit bis zu 20 Mio. € für wesentliche Einrichtungen noch darüber hinaus. Und: NIS2 schreibt Managementhaftung ausdrücklich vor. In Deutschland können Führungskräfte persönlich mit bis zu 500.000 € haften, wenn Compliance-Pflichten verletzt wurden.
Kurz gesagt: NIS2 fordert, was gute IT-Architektur schon immer hätte liefern sollen — nur jetzt verbindlich, mit Haftung und Bußgeldern.
Ein wichtiger Hinweis vorab: NIS2-Compliance erfordert weit mehr als ein gut konfiguriertes CMS. Zu einem vollständigen Informationssicherheits-Managementsystem (ISMS, z. B. nach ISO 27001) gehören Managementhaftung und Schulungen der Geschäftsleitung — NIS2 schreibt ausdrücklich vor, dass die Unternehmensleitung persönlich für die Umsetzung haftet —, dazu Lieferantenmanagement, Incident-Response-Pläne und regelmäßige Überprüfungen.
Gentics CMP und das Acta Nova Dialog Portal adressieren spezifische NIS2-Anforderungen in den Bereichen Zugriffskontrolle, Auditierbarkeit und Datensouveränität. Sie ersetzen kein ISMS — sie ergänzen es an kritischen Stellen. Gerade weil wir das klar sagen, ist unsere Positionierung glaubwürdig.
Die Gentics Content Management Platform wurde für Enterprise-Umgebungen entwickelt, in denen Sicherheit, Kontrolle und Nachvollziehbarkeit keine Optionen sind, sondern Voraussetzungen.
Die relevanten Fragen für Compliance-Verantwortliche sind nicht, welche Protokolle im Hintergrund laufen. Sie sind: Wer hat Zugriff auf welche Inhalte? Was passiert bei einem Mitarbeiterwechsel? Wie weisen wir im Ernstfall nach, wer wann was gesehen oder geändert hat?
Gentics CMP gibt auf alle diese Fragen konkrete Antworten. Zugriffsrechte lassen sich zentral steuern — auf Benutzer-, Rollen- und Inhaltsebene. Bei Personalwechsel werden Berechtigungen sofort und nachweislich entzogen. Jeder Zugriff und jede Änderung wird protokolliert und ist für interne Prüfungen und externe Audits abrufbar. Bestehende Identity-Systeme und Verzeichnisdienste — etwa zentrale SSO-Infrastrukturen der öffentlichen Verwaltung — lassen sich direkt integrieren, ohne Parallelsysteme aufbauen zu müssen. (Technisch: JWT, OAuth2/OIDC-SSO, IAM-Integration via Keycloak, bcrypt-Hashing, Token Revocation, strikte Backend/Frontend-Trennung.)
NIS2-CMS-Lösungen müssen dort laufen, wo die Daten kontrolliert werden können. Gentics CMP unterstützt alle relevanten Deployment-Szenarien:
Datensouveränität NIS2-konform zu realisieren bedeutet: Die Organisation entscheidet, wo Daten liegen und wer darauf zugreift. Gentics CMP zwingt niemanden in ein Cloud-Modell, das diesen Anforderungen widerspricht.
NIS2 adressiert auch systemische Risiken. Proprietäre Systeme mit undurchsichtiger Architektur schaffen Abhängigkeiten, die im Ernstfall nicht kontrollierbar sind.
Gentics CMP basiert auf offenen Standards: vollständige Datenportabilität, keine Lock-in-Mechanismen, klare API-Dokumentation. Was im System passiert, ist nachvollziehbar — für interne Teams, externe Prüfer und Aufsichtsbehörden.
Eine kurze Einordnung: Gentics CMP ist ein Produkt von Gentics Software; das Acta Nova Dialog Portal kommt aus der RUBICON-Gruppe — der Unternehmensgruppe, zu der Gentics Software seit Juli 2025 gehört. Wenn wir hier von „wir" sprechen, meinen wir die RUBICON-Gruppe als Ganzes.
Das Acta Nova Dialog Portal ist die eGovernment-Lösung für digitales Dokumentenmanagement und Prozessautomatisierung in der öffentlichen Verwaltung. Für NIS2 öffentliche Verwaltung ist es eine direkte Antwort auf mehrere Kernpflichten.
Digitale Workflows mit vollständiger Nachvollziehbarkeit: Jeder Prozessschritt — vom Eingang eines Dokuments über Bearbeitungsschritte bis zur abschließenden Entscheidung — wird protokolliert. Lückenlose Audit Trails sind kein Add-on, sondern Kernfunktion.
Dokumentationspflichten erfüllen: NIS2-Compliance verlangt, dass Organisationen ihre Sicherheitsmaßnahmen und Prozesse nachweisen können — auch gegenüber Aufsichtsbehörden. Acta Nova unterstützt genau das: strukturierte Ablage, versionierte Dokumente, klare Zuständigkeiten.
Digitaler Bürger-Dialog mit kontrollierten Schnittstellen: Das Portal digitalisiert administrative Prozesse und ermöglicht strukturierten Austausch mit Bürgern und externen Stellen — auf definierten, sicheren Kanälen.
Integration in bestehende Compliance-Strukturen: Acta Nova lässt sich in vorhandene Enterprise-Systeme integrieren und ergänzt bestehende Sicherheitsmaßnahmen, anstatt sie zu duplizieren.
Für eGovernment-NIS2-Anforderungen ist das Acta Nova Dialog Portal ein zentrales Werkzeug — nicht nur für die technische Compliance, sondern für die organisatorische Nachweisbarkeit, die Aufsichtsbehörden verlangen.
NIS2-Compliance in gewachsenen Systemen umzusetzen ist kein Greenfield-Projekt. Die meisten betroffenen Organisationen arbeiten mit komplexen Abhängigkeiten und eingeschränkten Ressourcen.
Wir kennen das aus eigener Erfahrung. Seit 2000 hat die RUBICON-Gruppe — mit Gentics CMP, Acta Nova und weiteren Produkten — über 1.000 Projekte in Behörden, Ministerien, Parlamenten und großen Unternehmen umgesetzt. Zu unseren Referenzkunden zählen:
Diese Referenzen sind kein Marketing-Signal. Sie zeigen, dass wir NIS2 öffentliche Verwaltung nicht als neue Herausforderung behandeln, sondern als Fortsetzung einer Arbeit, die wir seit Jahrzehnten leisten.
Wir kennen die Realität komplexer Legacy-Systeme. Wir wissen, wie Migrationsprojekte scheitern — und wie sie gelingen. Und wir begleiten unsere Kunden durch den gesamten Prozess: von der Architekturentscheidung bis zum laufenden Betrieb.
NIS2-Compliance ist keine Checkliste, die man einmal abhakt. Es ist eine kontinuierliche Anforderung an Systeme, Prozesse und die Organisationen dahinter.
Gentics CMP und das Acta Nova Dialog Portal sind ein wichtiger Baustein in diesem Gefüge: starke Zugriffskontrolle mit lückenloser Protokollierung, flexible Deployment-Modelle für volle Datensouveränität NIS2-konform, offene Architektur ohne versteckte Abhängigkeiten. Eingebettet in ein umfassendes Sicherheitskonzept, das die Gesamtorganisation trägt.
Wenn Sie wissen möchten, wie Ihre aktuelle CMS-Infrastruktur im Hinblick auf NIS2 aufgestellt ist — oder wie ein Migrationsprojekt realistisch aussehen würde — sprechen Sie mit uns.
Wir analysieren Ihre Situation und zeigen Ihnen konkrete nächste Schritte.
Jetzt Beratungsgespräch anfragen | Demo anfordern