NIS2 en Austria

1. Instantánea rápida de aplicabilidad para PYMES en Austria

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Austria?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Austria y, en determinados casos, a proveedores digitales extranjeros que prestan servicios en el mercado austríaco.

Las PYMES en sectores regulados deben evaluar su calificación tempranamente en el régimen nacional de ciberseguridad de Austria.

2. Panorama de la implementación de NIS2 en Austria

Austria ha transpuesto la NIS2 a través de la Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), que sustituye y amplía el marco previo de ciberseguridad bajo la Ley NIS original.

La NISG 2026 fue adoptada por el Consejo Nacional austriaco el 12 de diciembre de 2025 y promulgada el 23 de diciembre de 2025 (Boletín Oficial Federal I n.º 135/2025). Un proyecto anterior, la NISG 2024, no logró la mayoría de dos tercios requerida y fue rechazado por el Consejo Nacional en julio de 2024. La NISG 2026 entra en vigor el 1 de octubre de 2026, alineando a Austria con la Directiva (UE) 2022/2555.

La implementación de NIS2 en Austria refleja en gran medida la línea de base de la Directiva. Cuando se introducen aclaraciones sectoriales, estas se alinean con la estructura regulatoria existente de Austria y sus autoridades supervisoras.

3. Ámbito de aplicación en Austria

Austria no amplía de forma material el alcance sectorial más allá del mínimo de la Directiva en esta fase.

4. Umbrales de tamaño y aplicabilidad a PYMES en Austria

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios en los sectores cubiertos entran automáticamente en el ámbito de aplicación, salvo exención.

Las empresas pequeñas y micro también pueden quedar sujetas a los requisitos de NIS2 en Austria si son designadas por las autoridades debido a su importancia crítica o relevancia sistémica.

Austria mantiene la facultad de designar entidades cuando esté justificado por la exposición al riesgo, consideraciones de seguridad nacional o relevancia transfronteriza.

5. Marco de clasificación de entidades en Austria

Austria clasifica las entidades dentro del ámbito en:

• Entidades Esenciales — Sujetos a una supervisión más estricta, incluidas inspecciones proactivas.
• Entidades Importantes — Sujetos principalmente a supervisión reactiva, salvo que los indicadores de riesgo justifiquen la intervención.

La clasificación es automática en función del sector y el tamaño, pero puede ser ajustada por las autoridades competentes. Los reguladores austríacos pueden reclasificar entidades cuando el impacto operativo justifique una supervisión reforzada.

6. Requisitos de gestión de riesgos de ciberseguridad en Austria

El régimen nacional de Austria se alinea estrechamente con la línea de base de la Directiva. Las entidades dentro del ámbito deben implantar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y seguridad de los sistemas
• Procedimientos de gestión de incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgos de la cadena de suministro
• Adquisición y desarrollo seguros de sistemas
• Mecanismos de control de acceso
• Políticas de cifrado y criptografía
• Gestión y divulgación de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado de la técnica y la exposición al riesgo. Se fomenta la alineación con ISO/IEC 27001 y marcos de ciberseguridad reconocidos en Austria.

7. Responsabilidad de la dirección y gobernanza en Austria

Los órganos de administración deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar conocimientos adecuados en ciberseguridad.
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible con arreglo a mecanismos alineados con la Directiva.

Las normas de responsabilidad de la dirección bajo NIS2 en Austria enfatizan la responsabilidad a nivel de consejo más que la responsabilidad puramente técnica.

8. Obligaciones de notificación de incidentes en Austria

9. Autoridades supervisoras y modelo de ejecución en Austria

Autoridad principal: Bundesamt für Cybersicherheit (Oficina Federal de Ciberseguridad), establecida por la NISG 2026 como organismo de supervisión especializado bajo el Ministerio Federal del Interior (BMI). Operativa desde el 1 de octubre de 2026.

Austria opera un modelo de supervisión centralizada a través del recién establecido Bundesamt für Cybersicherheit, con apoyo de reguladores sectoriales cuando corresponda.

Supervisory powers include:

• Solicitudes de información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en la coordinación de ciberseguridad de la UE
• Identificación pública de entidades no conformes (naming and shaming)

La estructura de ejecución se integra con los marcos de coordinación de ciberseguridad de la UE.

10. Multas y sanciones NIS2 en Austria

Austria aplica sanciones administrativas alineadas con la Directiva.

La ejecución de las multas de NIS2 en Austria también puede incluir:

• Órdenes de subsanación vinculantes
• Identificación pública de las entidades incumplidoras
• Suspensión de la certificación o la autorización
• Facultades de suspensión de funciones directivas

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Austria

Las entidades deben gestionar el riesgo cibernético de terceros mediante:

• Diligencia debida de proveedores
• Obligaciones contractuales de seguridad
• Supervisión continua de proveedores
• Examen de proveedores de servicios TIC
• Evaluación del riesgo de concentración
• Análisis de propagación de incidentes

El marco nacional de Austria se alinea con la línea de base de la Directiva en este ámbito, con énfasis en una supervisión proporcionada de la cadena de suministro.

12. Deberes de registro y autoidentificación en Austria

Entities within scope must:

• Registrarse en el Bundesamt für Cybersicherheit antes del 1 de enero de 2027
• Proporcionar datos de identificación corporativa
• Declarar la clasificación sectorial
• Mantener actualizada la información de contacto

Las entidades deben presentar una autodeclaración ante el Bundesamt für Cybersicherheit dentro de los 12 meses siguientes a la entrada en vigor de la NISG 2026, con fecha límite el 30 de septiembre de 2027.

La autoidentificación es obligatoria — las entidades deben determinar su propio estatus bajo la NISG 2026. Las autoridades no notificarán proactivamente a las entidades sobre sus obligaciones.

13. Interacción con el GDPR y otras leyes en Austria

El Reglamento General de Protección de Datos sigue aplicándose de forma concurrente.

Las consideraciones de solapamiento incluyen:

• Notificación de violaciones de datos personales en 72 horas
• Coordinación de las autoridades de supervisión
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación austriaca específica del sector en materia de ciberseguridad

Un ciberincidente puede activar obligaciones de notificación en ambos marcos normativos.

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Austria son supervisadas por autoridades austríacas para servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Austria pueden estar sujetos a obligaciones locales según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que atienden al mercado austríaco.

15. Calendario de implementación en Austria

• Adopción de la Directiva: 2022
• Adopción de legislación nacional: 12 de diciembre de 2025 — NISG 2026 adoptada por el Consejo Nacional (un proyecto anterior, la NISG 2024, fue rechazado en julio de 2024)
• Promulgación de la NISG 2026: 23 de diciembre de 2025 (Boletín Oficial Federal I n.º 135/2025)
• Entrada en vigor: 1 de octubre de 2026
• Notificación a la Comisión: La Comisión Europea emitió un dictamen motivado en mayo de 2025 respecto al retraso en la transposición de Austria; la notificación está en revisión tras la adopción de la NISG 2026
• Plazo de registro: 1 de enero de 2027 — las entidades deben registrarse en el Bundesamt für Cybersicherheit
• Plazo de autodeclaración: 30 de septiembre de 2027 — las entidades deben presentar su autodeclaración

La implementación de NIS2 en Austria entró en vigor el 1 de octubre de 2026 tras la promulgación en diciembre de 2025.

16. Aspectos clave para PYMES en Austria

• Las entidades medianas de los sectores cubiertos están automáticamente dentro del ámbito de aplicación.
• Las entidades pequeñas pueden ser designadas si son operativamente críticas.
• La supervisión de la gobernanza a nivel de consejo es obligatoria.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
• Las sanciones económicas pueden alcanzar €10 million o 2% del volumen de negocios mundial.
• La gestión de riesgos de proveedores es una obligación clave.
• La planificación temprana del cumplimiento reduce la exposición a actuaciones de ejecución y sanción.

FAQ: Guía NIS2 para PYMES en Austria