NIS 2 in Österreich: Was Unternehmen jetzt tun müssen
Ales
IT-Architekt
> Kurzfassung: Das österreichische NISG 2026 (BGBl. I Nr. 94/2025) setzt die EU-Richtlinie NIS 2 um und tritt am 1. Oktober 2026 in Kraft. Rund 4.000 österreichische Organisationen sind betroffen. Geschäftsführer haften persönlich bei grober Fahrlässigkeit. Die Strafen reichen bis 10 Mio. Euro bzw. 2% des weltweiten Jahresumsatzes. Unternehmen sollten jetzt mit der Vorbereitung beginnen.
Was ist NIS 2?
Die NIS 2 Richtlinie (EU 2022/2555) ist das umfassendste Cybersecurity-Gesetz der EU. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich massiv:
- Von 7 auf 18 betroffene Sektoren
- Von ~10.000 auf ~160.000 Unternehmen EU-weit
- Persönliche Haftung der Geschäftsführung - neu und beispiellos
- Harmonisierte Strafen statt nationalem Ermessen
Wer ist in Österreich betroffen?
Das NISG 2026 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen:
Wesentliche Einrichtungen (strengere Aufsicht): Energie, Transport, Bankwesen, Gesundheit, Digitale Infrastruktur, ICT Service Management (B2B), Öffentliche Verwaltung, Weltraum.
Wichtige Einrichtungen (reaktive Aufsicht): Post und Kurier, Abfallwirtschaft, Lebensmittel, Chemie, Forschung, Verarbeitendes Gewerbe, Digitale Dienste.
Größenschwellen
| Kriterium | Wesentlich | Wichtig | |
|---|---|---|---|
| Mitarbeiter | ≥ 250 | ≥ 50 | |
| Jahresumsatz | > 50 Mio. € | > 10 Mio. € | |
| Bilanzsumme | > 43 Mio. € | > 10 Mio. € |
Wichtig: Auch kleinere Unternehmen können betroffen sein, wenn sie als kritisch eingestuft werden.
Die 10 Mindestmaßnahmen nach Artikel 21
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Bewältigung von Sicherheitsvorfällen (Incident Response)
- Business Continuity - Backup, Disaster Recovery, Krisenmanagement
- Sicherheit der Lieferkette - Bewertung aller Zulieferer und Dienstleister
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
- Cyberhygiene und Schulungen für alle Mitarbeiter
- Kryptografie und Verschlüsselung
- Personalsicherheit und Zugriffskontrolle
- Multi-Faktor-Authentifizierung und sichere Kommunikation
Meldepflichten bei Sicherheitsvorfällen
| Frist | Pflicht | |
|---|---|---|
| 24 Stunden | Frühwarnung an die zuständige Behörde | |
| 72 Stunden | Detaillierte Meldung mit Bewertung | |
| 1 Monat | Abschlussbericht mit Ursachenanalyse |
Strafen und persönliche Haftung
| Kategorie | Maximale Strafe | |
|---|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2% des weltweiten Jahresumsatzes | |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes |
Verantwortung der Geschäftsführung: Die Verantwortung für Cybersicherheit liegt ausdrücklich bei den Leitungsorganen. Geschäftsführer müssen die Risikomanagementmaßnahmen genehmigen und ihre Umsetzung überwachen. Verletzen sie diese Pflichten, drohen gesellschaftsrechtliche Regressansprüche (Innenhaftung gegenüber dem Unternehmen); für wesentliche Einrichtungen sieht die NIS-2-Richtlinie zudem als behördliche Maßnahme ein vorübergehendes Verbot von Leitungsfunktionen vor.
Zeitplan für Österreich
| Datum | Meilenstein | |
|---|---|---|
| 23. Dez. 2025 | NISG 2026 veröffentlicht (BGBl. I Nr. 94/2025) | |
| 1. Okt. 2026 | Inkrafttreten des NISG 2026 | |
| 31. Dez. 2026 | Registrierungsfrist | |
| 30. Sep. 2027 | Selbstdeklaration | |
| Ab Okt. 2028 | Audits möglich |
Was sollten Unternehmen jetzt tun?
Sofort (Q2 2026)
- Betroffenheitsanalyse: Fällt Ihr Unternehmen unter NIS 2?
- Gap-Analyse: IST vs. SOLL vergleichen
- Management informieren: Persönliche Haftung kommunizieren
- Budget sichern: Ressourcen für Compliance planen
Kurzfristig (Q3-Q4 2026)
- Risikomanagement aufsetzen oder aktualisieren
- Incident-Response-Plan erstellen
- Lieferketten-Sicherheit bewerten
- Mitarbeiterschulungen starten
- Registrierung bei der Behörde
Wie Anexum Ihnen hilft
Als IT-Infrastruktur-Dienstleister mit über 20 Jahren Erfahrung unterstützen wir Sie:
- Readiness Assessment: Strukturierte Gap-Analyse
- Compliance-Implementierung: Risikomanagement, Incident Response, Dokumentation
- Managed Security: Laufende Überwachung und Schwachstellenscans
- Incident Response: 24/7 Reaktionsfähigkeit
- Lieferketten-Sicherheit: Provider- und Zulieferer-Bewertung
- Management-Schulungen: Pflichtschulungen für Geschäftsführung
[Kontaktieren Sie uns für ein kostenloses Erstgespräch →](/kontakt)
Häufig gestellte Fragen
Gilt NIS 2 auch für kleine Unternehmen?
Grundsätzlich ab 50 Mitarbeitern und 10 Mio. € Umsatz. Kleinere Unternehmen können aber betroffen sein, wenn sie in einem kritischen Sektor tätig sind.
Reicht ISO 27001 für NIS 2?
ISO 27001 deckt viele Anforderungen ab, ist aber allein nicht ausreichend. Zusätzlich nötig: Lieferketten-Sicherheit, spezifische Meldepflichten, Management-Schulungen.
Was passiert bei Nicht-Compliance?
Ab Oktober 2026 können Aufsichtsmaßnahmen ergriffen werden. Die Registrierungsfrist läuft bis 31. Dezember 2026. Bei Verstößen drohen die genannten Geldbußen.