Ab wann gilt NIS2 in Österreich?

Die NIS2-Richtlinie wird in Österreich durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026, BGBl I 94/2025) umgesetzt. Es wurde am 12. Dezember 2025 im Nationalrat beschlossen, am 23. Dezember 2025 kundgemacht und tritt – neun Monate nach Kundmachung mit dem nächstfolgenden Monatsersten – am 1. Oktober 2026 in Kraft. Es gibt keine generelle Übergangsfrist für die Sicherheitspflichten.

Ist mein Unternehmen von NIS2 betroffen?

Direkt betroffen sind Einrichtungen in einem der 18 Sektoren der Anlagen 1 und 2 zum NISG 2026, die in der Regel mindestens 50 Beschäftigte oder mehr als 10 Mio. € Jahresumsatz haben (mittlere und große Unternehmen nach EU-Empfehlung 2003/361/EG). Kleinere Betriebe sind oft indirekt betroffen, weil ihre NIS2-pflichtigen Auftraggeber die Sicherheit der Lieferkette nachweisen müssen.

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?

Das NISG 2026 unterscheidet in § 24 zwischen wesentlichen Einrichtungen (Abs. 1) und wichtigen Einrichtungen (Abs. 2). Beide erfüllen dieselben Risikomanagement- und Meldepflichten. Der Unterschied liegt in der Aufsicht (wesentliche Einrichtungen werden proaktiv beaufsichtigt, wichtige nur anlassbezogen) und in der Höhe der Strafen.

Welche Meldefristen gelten bei einem Sicherheitsvorfall?

Bei einem erheblichen Cybersicherheitsvorfall sieht § 34 NISG 2026 einen gestaffelten Prozess vor: eine Frühwarnung innerhalb von 24 Stunden, eine ausführlichere Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die Meldung läuft über das CSIRT an die Cybersicherheitsbehörde.

Welche Strafen drohen bei Verstößen gegen das NISG 2026?

Nach § 45 NISG 2026 drohen wesentlichen Einrichtungen Geldstrafen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 %. Zusätzlich haften die Leitungsorgane persönlich, wenn sie ihre Aufsichtspflicht über das Risikomanagement verletzen.

Was sollten KMU jetzt konkret tun?

Zuerst die Betroffenheit klären (NISG-Sektoren und Größe prüfen), dann mit einem Cybersecurity Risk Assessment den Status erheben, die Mindestmaßnahmen nach § 32 umsetzen (Risikomanagement, MFA, Backups, Schulungen, Notfallplan) und die Registrierung bei der Cybersicherheitsbehörde vorbereiten. Der Aufbau eines ISMS bündelt diese Anforderungen strukturiert.

RatgeberGRC6 Min Lesedauer

NIS2 umsetzen in Österreich: Leitfaden für KMU

Zuletzt aktualisiert: 3. Juni 2026 GRC

NISG-2026-Countdown: noch 114 Tage bis zum Inkrafttreten (01.10.2026) — Registrierungsfrist 31.12.2026, Wirksamkeitsnachweis bis 30.09.2027.

NIS2 nach NISG 2026 in mittelständischen Unternehmen umsetzen

Kurz erklärt: Die NIS2-Richtlinie wird in Österreich durch das NISG 2026 (BGBl I 94/2025) umgesetzt, das am 1. Oktober 2026 in Kraft tritt. Betroffen sind wesentliche und wichtige Einrichtungen ab 50 Beschäftigten bzw. 10 Mio. € Umsatz in 18 Sektoren – plus deren Lieferanten. Pflicht sind Risikomanagement (§ 32), Governance- und Schulungspflicht der Leitungsorgane (§ 31), Vorfallsmeldung in 24/72 Stunden (§ 34) und Registrierung binnen drei Monaten (§ 29). Strafen reichen bis 10 Mio. € oder 2 % des Weltjahresumsatzes (§ 45). KMU starten mit Risk Assessment, ISMS-Grundlagen und Notfallplan.

Die NIS2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) hebt das Cybersicherheitsniveau in der EU an und löst die NIS-Richtlinie von 2016 ab. In Österreich wird sie durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) umgesetzt, das am 1. Oktober 2026 in Kraft tritt. Aus „kommt bald” ist damit ein konkretes Gesetz mit konkreten Fristen und Strafen geworden.

Dieser Leitfaden zeigt KMU praxisnah, ob sie betroffen sind, welche Pflichten gelten und wie der Einstieg gelingt – mit Verweis auf die einschlägigen Paragrafen des NISG 2026. Die rein rechtliche Tiefe (Gesetzesaufbau, Behördenstruktur, Timeline) behandelt der ergänzende Beitrag NISG 2026: Fahrplan, Fristen & Pflichten für Österreich; was NIS2 grundsätzlich ist, erklärt der Glossareintrag Was ist die NIS2-Richtlinie?.

Das Ziel der NIS2 ist vernünftig und notwendig. Behandle sie nicht als reine Compliance-Übung, sondern als Anlass, die Cyber-Resilienz deines Unternehmens echt zu erhöhen.

Status & Fristen: Wo steht NIS2 2026?

Meilenstein	Datum
NIS2-Richtlinie (EU 2022/2555) in Kraft	16. Januar 2023
EU-weite Umsetzungsfrist für die Mitgliedstaaten	17. Oktober 2024
Deutschland: NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft	6. Dezember 2025
Österreich: NISG 2026 im Nationalrat beschlossen	12. Dezember 2025
Österreich: NISG 2026 kundgemacht (BGBl I 94/2025)	23. Dezember 2025
Österreich: NISG 2026 tritt in Kraft	1. Oktober 2026
Registrierung bei der Cybersicherheitsbehörde (§ 29)	binnen 3 Monaten (bis ~Januar 2027)
Nachweis der Wirksamkeit der Maßnahmen (§ 33)	binnen 12 Monaten nach Registrierungspflicht

Österreich war mit der Umsetzung – wie die meisten EU-Staaten – später dran als die Frist vom 17. Oktober 2024 vorsah. Mit dem NISG 2026 gilt nun ein verbindlicher Stichtag: ab 1. Oktober 2026 sind die Pflichten anwendbar, das alte NISG 2018 und die NIS-Verordnung (NISV) treten gleichzeitig außer Kraft.

Bin ich von NIS2 betroffen?

Das NISG 2026 erfasst wesentliche und wichtige Einrichtungen in 18 Sektoren (§ 2 NISG 2026, konkretisiert in den Anlagen 1 und 2): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Ob du betroffen bist, hängt von Sektor und Unternehmensgröße ab (§§ 24–25 NISG 2026). Maßgeblich ist die EU-Größendefinition (Empfehlung 2003/361/EG):

Wesentliche Einrichtung (§ 24 Abs. 1): in der Regel große Unternehmen in besonders kritischen Sektoren – proaktive Aufsicht.
Wichtige Einrichtung (§ 24 Abs. 2): mittlere und große Unternehmen der übrigen Sektoren – anlassbezogene Aufsicht.
Schwelle: grob ab 50 Beschäftigten oder mehr als 10 Mio. € Jahresumsatz. Kleinst- und Kleinunternehmen fallen meist nicht direkt darunter.

Indirekt betroffen über die Lieferkette

Auch wer nicht direkt unter das NISG fällt, gerät häufig über die Lieferkette in die Pflicht. NIS2-pflichtige Unternehmen müssen die Sicherheit ihrer Zulieferer bewerten und steuern. In der Praxis heißt das: Große Auftraggeber lassen NIS2-Anforderungen in ihre Einkaufs- und Vertragsbedingungen einfließen. Kleine Lieferanten müssen dann ihre Cybersicherheit nachweisen – etwa über eine ISO-27001-Zertifizierung, ein Beratungsergebnis nach DIN SPEC 27076 oder ein Cyber-Risk-Rating.

Unsicher, ob dein Unternehmen erfasst ist? Prüfe deinen Sektor in den Anlagen 1 und 2 und nutze ergänzend den NIS2-Online-Ratgeber der WKO. Im Zweifel hilft ein strukturierter Reifegrad-Check, die eigene Position zu klären.

Die NIS2-Pflichten im Überblick (NISG 2026)

Governance: Cybersicherheit ist Chefsache (§ 31)

Das NISG 2026 macht die Geschäftsleitung direkt verantwortlich. Leitungsorgane (Geschäftsführer bei der GmbH, Vorstand bei der AG) müssen die Risikomanagementmaßnahmen sicherstellen und beaufsichtigen (§ 31 Abs. 1) und selbst an Cybersicherheitsschulungen teilnehmen (§ 31 Abs. 2). Diese Verantwortung ist nicht delegierbar – mehr dazu im Beitrag zur Geschäftsführerhaftung.

Risikomanagement: die Mindestmaßnahmen (§ 32)

§ 32 NISG 2026 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem „Stand der Technik” und einem gefahrenübergreifenden Ansatz. Inhaltlich entspricht das dem Mindestkatalog aus Art. 21 NIS2-RL – die zehn Maßnahmengruppen, die jede direkt betroffene Einrichtung erfüllen muss:

Risikoanalyse und Konzepte für die Informationssicherheit
Bewältigung von Sicherheitsvorfällen (Incident Response)
Business Continuity, Backup-Management und Krisenmanagement
Sicherheit der Lieferkette (Bewertung der Lieferanten)
Sicherheit bei Erwerb, Entwicklung und Wartung von IKT
Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
Cyberhygiene und Mitarbeiterschulungen
Kryptografie und ggf. Verschlüsselung
Personalsicherheit, Zugriffskontrolle (Least Privilege) und Asset-Management
Multi-Faktor-Authentifizierung (MFA) und sichere Kommunikation

Die Maßnahmen müssen zu Risiko, Unternehmensgröße und Branche verhältnismäßig sein – ein KMU muss nicht dasselbe stemmen wie ein Energieversorger.

Meldepflichten: 24 / 72 Stunden / 1 Monat (§ 34)

Bei einem erheblichen Cybersicherheitsvorfall (§ 35) gilt ein gestaffelter Meldeprozess an die Cybersicherheitsbehörde, abgewickelt über das zuständige CSIRT/CERT:

innerhalb von 24 Stunden – Frühwarnung (mit Hinweis, ob ein Verdacht auf böswillige Handlung besteht)
innerhalb von 72 Stunden – Meldung mit erster Bewertung der Auswirkungen
spätestens nach einem Monat – Abschlussbericht (bei andauerndem Vorfall zuvor ein Fortschrittsbericht)

Registrierung und Wirksamkeitsnachweis (§§ 29, 33)

Betroffene Einrichtungen müssen sich binnen drei Monaten ab Inkrafttreten bei der Cybersicherheitsbehörde registrieren (§ 29 Abs. 3) – also bis etwa Anfang 2027. Den Nachweis der Wirksamkeit ihrer Risikomanagementmaßnahmen müssen sie binnen zwölf Monaten nach Eintritt der Registrierungspflicht erbringen (§ 33).

Sicherheit der Lieferkette

Die Lieferketten-Anforderung ist für KMU oft der erste Berührungspunkt mit NIS2. Sie folgt unmittelbar aus der NIS2-Richtlinie (Art. 21 Abs. 2 lit. d) und ist in der EU-Durchführungsverordnung (EU) 2024/2690, Anhang 5 detailliert: NIS2-pflichtige Unternehmen müssen eine Lieferketten-Sicherheitspolitik etablieren und in Lieferantenverträgen Sicherheitsanforderungen festlegen.

Für dich als Lieferant heißt das: Dein Auftraggeber legt vertraglich fest, wie du Cybersicherheit nachweist und welche Maßnahmen er verlangt. Übliche Nachweise:

ein Audit durch den Auftraggeber,
eine ISO-27001-Zertifizierung (Umsetzung in der Praxis),
ein Beratungsergebnis nach DIN SPEC 27076 (speziell für kleine und Kleinstunternehmen),
ein Cyber-Risk-Rating (z. B. von KSV1870) oder
eine strukturierte Selbstauskunft.

Sanktionen bei Verstößen (§ 45)

Die Strafen sind erheblich und gestaffelt nach Einrichtungstyp (§ 45 NISG 2026):

Wesentliche Einrichtung: Geldstrafe bis zu 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Wichtige Einrichtung: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Hinzu kommt die persönliche Verantwortung der Leitungsorgane: Wer seine Aufsichtspflicht über das Risikomanagement verletzt, haftet persönlich (siehe Geschäftsführerhaftung).

In 7 Schritten zur NIS2-Umsetzung

Die meisten Angriffe lassen sich mit soliden Grundmaßnahmen abwehren. Ein pragmatischer Fahrplan für KMU:

Betroffenheit klären – Sektor (Anlagen 1/2) und Unternehmensgröße prüfen, Einstufung als wesentlich/wichtig dokumentieren.
Status erheben – mit einem Cybersecurity Risk Assessment Lücken sichtbar machen.
Quick Wins umsetzen – MFA, Backups (geprüft!), Patch-Management, Schwachstellenmanagement und Endpoint-Schutz (EDR).
Notfall- und Meldekette aufsetzen – Notfallplan erstellen und die 24/72-Stunden-Meldewege definieren.
Schulungen – Awareness für alle Mitarbeitenden und Cybersicherheitsschulung der Leitungsorgane (§ 31 Abs. 2).
Struktur schaffen – ein Informationssicherheits-Managementsystem (ISMS) bündelt die § 32-Anforderungen und liefert den Wirksamkeitsnachweis. Das Risikomanagement ist dabei der Kern.
Registrierung vorbereiten – Kontaktstelle benennen und die Registrierung bei der Cybersicherheitsbehörde (§ 29) fristgerecht einplanen.

Weshalb externe Unterstützung?

Wie beim Risk Assessment kauft man sich mit externer Unterstützung Expertise, Objektivität und Zeitersparnis ein – gerade dort, wo intern Kapazität oder Spezialwissen fehlt. Was anfangs als Zusatzaufwand erscheint, ist langfristig oft kosteneffizienter als ein verzettelter Eigenversuch. Wer diese Rolle dauerhaft auslagern möchte, findet sie im vCISO-Mandat von wermescher.com.

Leere Kilometer kosten Geld: Wer am Beginn eines Weges ein Grad abweicht, läuft am Ende viele Meilen am Ziel vorbei.

Relevante Artikel

Häufige Fragen

Ab wann gilt NIS2 in Österreich?: Die NIS2-Richtlinie wird in Österreich durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026, BGBl I 94/2025) umgesetzt. Es wurde am 12. Dezember 2025 im Nationalrat beschlossen, am 23. Dezember 2025 kundgemacht und tritt – neun Monate nach Kundmachung mit dem nächstfolgenden Monatsersten – am 1. Oktober 2026 in Kraft. Es gibt keine generelle Übergangsfrist für die Sicherheitspflichten.
Ist mein Unternehmen von NIS2 betroffen?: Direkt betroffen sind Einrichtungen in einem der 18 Sektoren der Anlagen 1 und 2 zum NISG 2026, die in der Regel mindestens 50 Beschäftigte oder mehr als 10 Mio. € Jahresumsatz haben (mittlere und große Unternehmen nach EU-Empfehlung 2003/361/EG). Kleinere Betriebe sind oft indirekt betroffen, weil ihre NIS2-pflichtigen Auftraggeber die Sicherheit der Lieferkette nachweisen müssen.
Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?: Das NISG 2026 unterscheidet in § 24 zwischen wesentlichen Einrichtungen (Abs. 1) und wichtigen Einrichtungen (Abs. 2). Beide erfüllen dieselben Risikomanagement- und Meldepflichten. Der Unterschied liegt in der Aufsicht (wesentliche Einrichtungen werden proaktiv beaufsichtigt, wichtige nur anlassbezogen) und in der Höhe der Strafen.
Welche Meldefristen gelten bei einem Sicherheitsvorfall?: Bei einem erheblichen Cybersicherheitsvorfall sieht § 34 NISG 2026 einen gestaffelten Prozess vor: eine Frühwarnung innerhalb von 24 Stunden, eine ausführlichere Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die Meldung läuft über das CSIRT an die Cybersicherheitsbehörde.
Welche Strafen drohen bei Verstößen gegen das NISG 2026?: Nach § 45 NISG 2026 drohen wesentlichen Einrichtungen Geldstrafen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 %. Zusätzlich haften die Leitungsorgane persönlich, wenn sie ihre Aufsichtspflicht über das Risikomanagement verletzen.
Was sollten KMU jetzt konkret tun?: Zuerst die Betroffenheit klären (NISG-Sektoren und Größe prüfen), dann mit einem Cybersecurity Risk Assessment den Status erheben, die Mindestmaßnahmen nach § 32 umsetzen (Risikomanagement, MFA, Backups, Schulungen, Notfallplan) und die Registrierung bei der Cybersicherheitsbehörde vorbereiten. Der Aufbau eines ISMS bündelt diese Anforderungen strukturiert.