NIS2 en Autriche

1. Aperçu rapide de l’applicabilité aux PME en Autriche

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Autriche ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Autriche et, dans certains cas, aux prestataires numériques étrangers desservant le marché autrichien.

Les PME des secteurs réglementés devraient évaluer en amont leur qualification au titre du régime national de cybersécurité de l’Autriche.

2. Aperçu de la mise en œuvre de NIS2 en Autriche

L’Autriche a transposé NIS2 au moyen de la Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), qui remplace et étend le cadre de cybersécurité antérieur au titre de la loi NIS originale.

La NISG 2026 a été adoptée par le Conseil national autrichien le 12 décembre 2025 et promulguée le 23 décembre 2025 (Journal officiel fédéral I n° 135/2025). Un projet antérieur, la NISG 2024, n’a pas obtenu la majorité des deux tiers requise et a été rejeté par le Conseil national en juillet 2024. La NISG 2026 entre en vigueur le 1er octobre 2026, alignant l’Autriche sur la directive (UE) 2022/2555.

La mise en œuvre de NIS2 par l’Autriche reflète largement le socle de la directive. Lorsque des précisions sectorielles sont introduites, elles s’alignent sur la structure réglementaire et les autorités de surveillance déjà en place en Autriche.

3. Champ d’application en Autriche

L’Autriche n’étend pas de manière substantielle le périmètre sectoriel au-delà du minimum prévu par la directive à ce stade.

4. Seuils de taille et applicabilité aux PME en Autriche

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application, sauf exemption.

Les petites et micro-entreprises peuvent néanmoins relever des exigences NIS2 en Autriche si elles sont désignées par les autorités en raison de leur importance critique ou de leur pertinence systémique.

L’Autriche conserve la faculté de désigner des entités lorsque cela est justifié par l’exposition au risque, des considérations de sécurité nationale ou une pertinence transfrontalière.

5. Cadre de classification des entités en Autriche

L’Autriche classe les entités concernées comme suit :

• Entités essentielles — Soumises à une surveillance plus stricte, y compris des inspections proactives.
• Entités importantes — Principalement soumises à une supervision réactive, sauf si des indicateurs de risque justifient une intervention.

La classification est automatique selon le secteur et la taille, mais peut être ajustée par les autorités compétentes. Les régulateurs autrichiens peuvent reclasser des entités lorsque l’impact opérationnel justifie un renforcement de la surveillance.

6. Exigences de gestion des risques de cybersécurité en Autriche

Le régime national autrichien s’aligne étroitement sur le socle de la directive. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et sécurité des systèmes
• Procédures de gestion des incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement
• Acquisition et développement sécurisés des systèmes
• Mécanismes de contrôle d'accès
• Politiques de chiffrement et de cryptographie
• Gestion et divulgation des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l’état de l’art et l’exposition au risque. L’alignement sur ISO/IEC 27001 et les cadres autrichiens reconnus en matière de cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance en Autriche

Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir une expertise adéquate en cybersécurité.
• Des sanctions administratives peuvent viser les défaillances de gouvernance.
• La suspension temporaire des fonctions dirigeantes peut être prévue par des mécanismes alignés sur la Directive.

Les standards de responsabilité de la direction NIS2 en Autriche mettent l’accent sur la responsabilité au niveau du conseil plutôt que sur une responsabilité purement technique.

8. Obligations de notification d’incident en Autriche

9. Autorités de surveillance et modèle d’exécution en Autriche

Autorité principale : Bundesamt für Cybersicherheit (Office fédéral de la cybersécurité), créé par la NISG 2026 en tant qu’organisme de surveillance dédié sous le ministère fédéral de l’Intérieur (BMI). Opérationnel à compter du 1er octobre 2026.

L’Autriche opère un modèle de surveillance centralisé via le Bundesamt für Cybersicherheit nouvellement créé, soutenu par les régulateurs sectoriels le cas échéant.

Supervisory powers include:

• Demandes d’information
• Audits de sécurité
• Inspections sur site
• Instructions contraignantes de mise en conformité
• Participation à la coordination européenne en matière de cybersécurité
• Identification publique des entités non conformes (naming and shaming)

La structure d’exécution s’intègre aux cadres de coordination de cybersécurité de l’UE.

10. Sanctions et amendes NIS2 en Autriche

L’Autriche applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Autriche peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension de la certification ou de l'autorisation
• Pouvoirs de suspension des fonctions dirigeantes

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 en Autriche

Les entités doivent gérer le risque cyber lié aux tiers au moyen de :

• Diligence raisonnable des fournisseurs
• Obligations contractuelles de sécurité
• Surveillance continue des prestataires
• Contrôle renforcé des prestataires de services TIC
• Évaluation du risque de concentration
• Analyse du risque de propagation des incidents

Le cadre national autrichien s’aligne sur le socle de la directive dans ce domaine, en mettant l’accent sur une supervision proportionnée de la chaîne d’approvisionnement.

12. Obligations d’enregistrement et d’auto-identification en Autriche

Entities within scope must:

• S’enregistrer auprès du Bundesamt für Cybersicherheit avant le 1er janvier 2027
• Fournir les données d’identification de l’entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les informations de contact

Les entités doivent soumettre une auto-déclaration au Bundesamt für Cybersicherheit dans les 12 mois suivant l’entrée en vigueur de la NISG 2026, soit avant le 30 septembre 2027.

L’auto-identification est obligatoire — les entités doivent déterminer elles-mêmes leur statut en vertu de la NISG 2026. Les autorités n’informeront pas proactivement les entités de leurs obligations.

13. Interaction avec le GDPR et autres lois en Autriche

Le Règlement général sur la protection des données continue de s'appliquer parallèlement.

Les points de chevauchement comprennent :

• Notification des violations de données personnelles sous 72 heures
• Coordination des autorités de surveillance
• Enquêtes parallèles en cybersécurité et en protection des données
• Législation autrichienne sectorielle en matière de cybersécurité

Un cyberincident peut déclencher des obligations de signalement au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est en Autriche sont supervisées par les autorités autrichiennes pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Autriche peuvent être soumis à des obligations locales selon la structure d’établissement.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens desservant le marché autrichien.

15. Calendrier de mise en œuvre en Autriche

• Adoption de la Directive : 2022
• Adoption de la législation nationale : 12 décembre 2025 — NISG 2026 adoptée par le Conseil national (un projet antérieur, la NISG 2024, a été rejeté en juillet 2024)
• Promulgation de la NISG 2026 : 23 décembre 2025 (Journal officiel fédéral I n° 135/2025)
• Entrée en vigueur : 1er octobre 2026
• Notification à la Commission : La Commission européenne a émis un avis motivé en mai 2025 concernant le retard de transposition de l’Autriche ; la notification est en cours d’examen suite à l’adoption de la NISG 2026
• Date limite d’enregistrement : 1er janvier 2027 — les entités doivent s’enregistrer auprès du Bundesamt für Cybersicherheit
• Date limite d’auto-déclaration : 30 septembre 2027 — les entités doivent soumettre leur auto-déclaration

La mise en œuvre de NIS2 par l’Autriche est entrée en vigueur le 1er octobre 2026 après promulgation en décembre 2025.

16. Points clés pour les PME en Autriche

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont opérationnellement critiques.
• La supervision de la gouvernance au niveau du conseil est obligatoire.
• La notification des incidents suit des délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est une obligation centrale.
• Une planification précoce de la conformité réduit l'exposition aux mesures d'exécution.

FAQ : Guide NIS2 Autriche pour les PME