NIS2 in Österreich

1. Schnellüberblick zur KMU-Anwendbarkeit in Österreich

Gilt NIS2 für KMU in Österreich?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Österreich ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den österreichischen Markt bedienen.

KMU in regulierten Sektoren sollten ihre Einstufung frühzeitig unter dem nationalen Cybersicherheitsregime Österreichs prüfen.

2. Überblick über die NIS2-Umsetzung in Österreich

Österreich hat NIS2 durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) umgesetzt, das den bisherigen Cybersicherheitsrahmen nach dem ursprünglichen NIS-Gesetz ersetzt und erweitert.

Das NISG 2026 wurde am 12. Dezember 2025 vom österreichischen Nationalrat beschlossen und am 23. Dezember 2025 kundgemacht (BGBl. I Nr. 135/2025). Ein früherer Entwurf, das NISG 2024, erreichte nicht die erforderliche Zweidrittelmehrheit und wurde im Juli 2024 vom Nationalrat abgelehnt. Das NISG 2026 tritt am 1. Oktober 2026 in Kraft und bringt Österreich in Einklang mit der Richtlinie (EU) 2022/2555.

Die NIS2-Umsetzung Österreichs spiegelt weitgehend die Basisanforderungen der Richtlinie wider. Wo sektorspezifische Klarstellungen eingeführt werden, sind sie mit der bestehenden österreichischen Regulierungsstruktur und den Aufsichtsbehörden abgestimmt.

3. Anwendungsbereich in Österreich

Österreich erweitert den sektoralen Umfang derzeit nicht materiell über die Mindestvorgaben der Richtlinie hinaus.

4. Größenkriterien und KMU-Anwendbarkeit in Österreich

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich, sofern keine Ausnahmen gelten.

Kleine und Kleinstunternehmen können dennoch unter die NIS2-Anforderungen in Österreich fallen, wenn sie von Behörden aufgrund kritischer Bedeutung oder systemischer Relevanz benannt werden.

Österreich behält die Befugnis, Einrichtungen zu benennen, sofern dies durch Risikolage, nationale Sicherheitsaspekte oder grenzüberschreitende Relevanz gerechtfertigt ist.

5. Einstufungsrahmen für Einrichtungen in Österreich

Österreich stuft erfasste Einrichtungen ein als:

• Wesentliche Einrichtungen — Unterliegen einer strengeren Aufsicht einschließlich proaktiver Prüfungen.
• Wichtige Einrichtungen — Unterliegen primär einer reaktiven Aufsicht, sofern Risikokennzeichen ein Eingreifen rechtfertigen.

Die Einstufung erfolgt automatisch nach Sektor und Größe, kann jedoch durch zuständige Behörden angepasst werden. Österreichische Regulierer können Einrichtungen neu einstufen, wenn die operative Bedeutung eine verstärkte Aufsicht rechtfertigt.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Österreich

Das nationale Regime Österreichs orientiert sich eng an der Richtlinien-Basis. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikobewertung und Systemsicherheit
• Verfahren zum Umgang mit Vorfällen
• Geschäftskontinuität und Krisenmanagement
• Risikokontrollen in der Lieferkette
• Sichere Systembeschaffung und -entwicklung
• Mechanismen der Zugriffskontrolle
• Verschlüsselungs- und Kryptografierichtlinien
• Schwachstellenmanagement und -offenlegung
• Schulungen zur Cybersicherheit für Mitarbeitende

Maßnahmen müssen dem Stand der Technik und der Risikolage entsprechen. Eine Ausrichtung an ISO/IEC 27001 und anerkannten österreichischen Cybersicherheitsrahmen wird empfohlen.

7. Managementhaftung und Governance in Österreich

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen und deren Umsetzung überwachen.

• Aufsichtsgremien sind für die Überwachung der Compliance verantwortlich.
• Das obere Management muss für angemessene Cybersicherheitskompetenz sorgen.
• Verwaltungssanktionen können Versäumnisse in der Governance ahnden.
• Eine befristete Suspendierung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Mechanismen vorgesehen sein.

Die NIS2-Standards zur Managementhaftung in Österreich betonen die Verantwortung auf Vorstandsebene statt einer rein technischen Verantwortlichkeit.

8. Meldepflichten für Vorfälle in Österreich

9. Aufsichtsbehörden und Durchsetzungsmodell in Österreich

Zuständige Hauptbehörde: Bundesamt für Cybersicherheit, eingerichtet durch das NISG 2026 als eigenständige Aufsichtsbehörde unter dem Bundesministerium für Inneres (BMI). Operativ ab 1. Oktober 2026.

Österreich betreibt ein zentrales Aufsichtsmodell über das neu geschaffene Bundesamt für Cybersicherheit, unterstützt durch sektorspezifische Regulierer, wo relevant.

Supervisory powers include:

• Informationsanfragen
• Sicherheitsprüfungen
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anweisungen
• Teilnahme an der EU-weiten Cybersicherheitskoordination
• Öffentliche Benennung nicht konformer Einrichtungen (Naming and Shaming)

Die Durchsetzungsstruktur ist in EU-weite Koordinierungsrahmen der Cybersicherheit eingebunden.

10. NIS2-Bußgelder und Sanktionen in Österreich

Österreich wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Österreich kann zudem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nichtkonformer Einrichtungen
• Aussetzung von Zertifizierungen oder Genehmigungen
• Befugnisse zur Suspendierung von Leitungsfunktionen

11. NIS2-Lieferkette und Lieferantensicherheit in Österreich

Einrichtungen müssen Drittparteien-Cyberrisiken steuern durch:

• Lieferanten-Due-Diligence
• Vertragliche Sicherheitsverpflichtungen
• Laufende Überwachung von Lieferanten
• Prüfung von IKT-Dienstleistern
• Bewertung von Klumpenrisiken
• Analyse der Vorfallausbreitung

Der nationale Rahmen Österreichs entspricht in diesem Bereich der Richtlinien-Basis und betont eine verhältnismäßige Aufsicht der Lieferkette.

12. Registrierungs- und Selbstidentifikationspflichten in Österreich

Entities within scope must:

• Registrierung beim Bundesamt für Cybersicherheit bis 1. Januar 2027
• Angabe der Unternehmensidentifikationsdaten
• Offenlegung der Sektorklassifikation
• Pflege aktueller Kontaktdaten

Einrichtungen müssen innerhalb von 12 Monaten nach Inkrafttreten des NISG 2026 eine Selbsterklärung beim Bundesamt für Cybersicherheit abgeben; die Frist endet am 30. September 2027.

Die Selbstidentifikation ist verpflichtend — Einrichtungen müssen ihren eigenen Status nach dem NISG 2026 selbst bestimmen. Behörden werden Einrichtungen nicht proaktiv über ihre Pflichten informieren.

13. Wechselwirkung mit GDPR und anderen Gesetzen in Österreich

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen betreffen unter anderem:

• 72-Stunden-Meldepflicht bei Verletzungen personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische österreichische Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Österreich unterliegen bei grenzüberschreitenden Diensten der Aufsicht österreichischer Behörden.

Ausländische digitale Anbieter, die Dienste in Österreich erbringen, können je nach Niederlassungsstruktur lokalen Pflichten unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die den österreichischen Markt bedienen.

15. Umsetzungszeitplan in Österreich

• Annahme der Richtlinie: 2022
• Verabschiedung nationaler Rechtsvorschriften: 12. Dezember 2025 — NISG 2026 vom Nationalrat beschlossen (ein früherer Entwurf, das NISG 2024, wurde im Juli 2024 abgelehnt)
• Kundmachung des NISG 2026: 23. Dezember 2025 (BGBl. I Nr. 135/2025)
• Inkrafttreten: 1. Oktober 2026
• Notifizierung an die Kommission: Die Europäische Kommission erließ im Mai 2025 ein mit Gründen versehenes Gutachten wegen der verzögerten Umsetzung; die Notifizierung wird nach Verabschiedung des NISG 2026 geprüft
• Registrierungsfrist: 1. Januar 2027 — Einrichtungen müssen sich beim Bundesamt für Cybersicherheit registrieren
• Frist für Selbsterklärung: 30. September 2027 — Einrichtungen müssen ihre Selbsterklärung abgeben

Die NIS2-Umsetzung Österreichs trat am 1. Oktober 2026 nach Kundmachung im Dezember 2025 in Kraft.

16. Zentrale Erkenntnisse für KMU in Österreich

• Mittelgroße Einrichtungen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Einrichtungen können benannt werden, wenn sie betrieblich kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend.
• Vorfallmeldungen folgen den Fristen 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können €10 Millionen oder 2% des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist eine Kernpflicht.
• Frühzeitige Compliance-Planung verringert das Durchsetzungsrisiko.

FAQ: NIS2 Österreich KMU-Leitfaden