NIS2 in Austria

1. Rapida panoramica di applicabilità per le PMI in Austria

NIS2 si applica alle PMI in Austria?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Austria e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato austriaco.

Le PMI nei settori regolamentati dovrebbero valutare precocemente la qualificazione nell'ambito del regime nazionale di cybersicurezza dell'Austria.

2. Panoramica dell'attuazione della NIS2 in Austria

L'Austria ha trasposto la NIS2 attraverso la Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), che sostituisce ed espande il precedente quadro di cybersicurezza previsto dalla legge NIS originale.

La NISG 2026 è stata adottata dal Consiglio nazionale austriaco il 12 dicembre 2025 e promulgata il 23 dicembre 2025 (Gazzetta ufficiale federale I n. 135/2025). Un precedente progetto, la NISG 2024, non ha ottenuto la maggioranza dei due terzi richiesta ed è stato respinto dal Consiglio nazionale nel luglio 2024. La NISG 2026 entra in vigore il 1° ottobre 2026, allineando l'Austria alla Direttiva (UE) 2022/2555.

L'attuazione della NIS2 da parte dell'Austria riflette in larga misura la base della Direttiva. Ove siano introdotte chiarificazioni settoriali, esse si allineano alla struttura regolamentare esistente in Austria e alle autorità di vigilanza competenti.

3. Campo di applicazione in Austria

L'Austria non amplia in modo sostanziale l'ambito settoriale oltre il minimo previsto dalla Direttiva in questa fase.

4. Soglie dimensionali e applicabilità alle PMI in Austria

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione, salvo esenzioni.

Le imprese piccole e micro possono comunque rientrare nei requisiti NIS2 in Austria se designate dalle autorità per importanza critica o rilevanza sistemica.

L'Austria mantiene l'autorità di designare entità quando giustificato dall'esposizione al rischio, da considerazioni di sicurezza nazionale o da rilevanza transfrontaliera.

5. Quadro di classificazione delle entità in Austria

L'Austria classifica le entità nell'ambito come:

• Entità essenziali — Soggette a una vigilanza più rigorosa, incluse ispezioni proattive.
• Entità importanti — Principalmente soggette a una supervisione reattiva, salvo intervento in presenza di indicatori di rischio.

La classificazione è automatica in base al settore e alle dimensioni, ma può essere adeguata dalle autorità competenti. I regolatori austriaci possono riclassificare le entità quando l'impatto operativo giustifica una vigilanza rafforzata.

6. Requisiti di gestione del rischio di cybersicurezza in Austria

Il regime nazionale dell'Austria è strettamente allineato alla base della Direttiva. Le entità nell'ambito devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e sicurezza dei sistemi
• Procedure di gestione degli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura
• Acquisizione e sviluppo sicuri dei sistemi
• Meccanismi di controllo degli accessi
• Cifratura e politiche di crittografia
• Gestione e divulgazione delle vulnerabilità
• Formazione del personale in materia di cibersicurezza

Le misure devono riflettere lo stato dell'arte e l'esposizione al rischio. È incoraggiato l'allineamento con ISO/IEC 27001 e i quadri di cybersicurezza riconosciuti in Austria.

7. Responsabilità del management e governance in Austria

Gli organi di amministrazione devono approvare le misure di gestione del rischio di cibersicurezza e supervisionarne l'attuazione.

• I consigli di amministrazione sono responsabili della supervisione della conformità.
• Il top management deve garantire un'adeguata competenza in materia di cibersicurezza.
• Le sanzioni amministrative possono riguardare carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi allineati alla Direttiva.

Gli standard di responsabilità del management NIS2 in Austria enfatizzano la responsabilità a livello di consiglio di amministrazione piuttosto che una responsabilità puramente tecnica.

8. Obblighi di segnalazione degli incidenti in Austria

9. Autorità di vigilanza e modello di applicazione in Austria

Autorità principale: Bundesamt für Cybersicherheit (Ufficio federale per la cybersicurezza), istituito dalla NISG 2026 come organismo di vigilanza dedicato sotto il Ministero federale dell'Interno (BMI). Operativo dal 1° ottobre 2026.

L'Austria opera con un modello di vigilanza centralizzato attraverso il neoistituito Bundesamt für Cybersicherheit, supportato da regolatori settoriali ove pertinente.

Supervisory powers include:

• Richieste di informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti di conformità
• Partecipazione al coordinamento europeo della cybersicurezza
• Identificazione pubblica delle entità non conformi (naming and shaming)

La struttura di applicazione si integra con i quadri di coordinamento della cybersicurezza dell'UE.

10. Sanzioni e ammende NIS2 in Austria

L'Austria applica sanzioni amministrative allineate alla Direttiva.

L'applicazione delle ammende NIS2 in Austria può includere anche:

• Ordini vincolanti di adozione di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione di certificazioni o autorizzazioni
• Poteri di sospensione dei dirigenti

11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Austria

Le entità devono gestire il rischio cyber dei terzi attraverso:

• Due diligence sui fornitori
• Obblighi contrattuali di sicurezza
• Monitoraggio continuo dei fornitori
• Vigilanza sui fornitori di servizi ICT
• Valutazione del rischio di concentrazione
• Analisi della propagazione degli incidenti

Il quadro nazionale dell'Austria è allineato alla base della Direttiva in quest'area, enfatizzando una vigilanza proporzionata sulla catena di fornitura.

12. Obblighi di registrazione e autoidentificazione in Austria

Entities within scope must:

• Registrarsi presso il Bundesamt für Cybersicherheit entro il 1° gennaio 2027
• Fornire i dati di identificazione aziendale
• Dichiarare la classificazione settoriale
• Mantenere aggiornate le informazioni di contatto

Le entità devono presentare un'autodichiarazione al Bundesamt für Cybersicherheit entro 12 mesi dall'entrata in vigore della NISG 2026, con scadenza il 30 settembre 2027.

L'autoidentificazione è obbligatoria — le entità devono determinare autonomamente il proprio status ai sensi della NISG 2026. Le autorità non informeranno proattivamente le entità dei loro obblighi.

13. Interazione con il GDPR e altre leggi in Austria

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

• Notifica delle violazioni dei dati personali entro 72 ore
• Coordinamento delle autorità di vigilanza
• Indagini parallele in materia di cybersicurezza e protezione dei dati
• Legislazione austriaca settoriale sulla cybersicurezza

Un incidente informatico può attivare obblighi di segnalazione in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la propria stabilimento principale in Austria sono sorvegliate dalle autorità austriache per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Austria possono essere soggetti a obblighi locali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono il mercato austriaco.

15. Cronologia di attuazione in Austria

• Adozione della Direttiva: 2022
• Adozione della legislazione nazionale: 12 dicembre 2025 — NISG 2026 adottata dal Consiglio nazionale (un precedente progetto, la NISG 2024, è stato respinto nel luglio 2024)
• Promulgazione della NISG 2026: 23 dicembre 2025 (Gazzetta ufficiale federale I n. 135/2025)
• Entrata in vigore: 1° ottobre 2026
• Notifica alla Commissione: La Commissione europea ha emesso un parere motivato nel maggio 2025 riguardo al ritardo nella trasposizione dell'Austria; la notifica è in fase di esame dopo l'adozione della NISG 2026
• Scadenza di registrazione: 1° gennaio 2027 — le entità devono registrarsi presso il Bundesamt für Cybersicherheit
• Scadenza di autodichiarazione: 30 settembre 2027 — le entità devono presentare la propria autodichiarazione

L'attuazione della NIS2 da parte dell'Austria è entrata in vigore il 1° ottobre 2026 dopo la promulgazione nel dicembre 2025.

16. Punti chiave per le PMI in Austria

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
• Le entità di piccole dimensioni possono essere designate se considerate operativamente critiche.
• La supervisione della governance a livello di consiglio di amministrazione è obbligatoria.
• La segnalazione degli incidenti segue le scadenze 24h / 72h / 1 mese.
• Le sanzioni pecuniarie possono raggiungere €10 million o il 2% del fatturato globale.
• La gestione dei rischi dei fornitori è un obbligo centrale.
• Una pianificazione anticipata della conformità riduce il rischio di interventi sanzionatori.

FAQ: Guida NIS2 per PMI in Austria