NIS2 · NISG 2026 · Österreich
NIS2 in Österreich, ohne Alarm erklärt.
NIS2 ist keine Schlagzeile, sondern ein Gesetz mit Datum. Hier steht, was in Österreich über das NISG 2026 gilt, wen es betrifft und was ein sinnvoller erster Schritt ist — nüchtern, ohne Drohkulisse.
Was ist das NISG 2026?
Das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) ist die österreichische Umsetzung der EU-weiten NIS-2-Richtlinie.
Die NIS-2-Richtlinie ist seit Anfang 2023 in Kraft und hätte bis Oktober 2024 in nationales Recht gegossen werden müssen. Österreich war spät dran; der Nationalrat hat das NISG 2026 erst Ende 2025 beschlossen. Es löst das bisherige NIS-Gesetz ab und weitet die Pflichten zur Cybersicherheit auf deutlich mehr Organisationen aus.
Ab wann gilt NIS2 in Österreich?
Das NISG 2026 tritt am 1. Oktober 2026 in Kraft.
Ab diesem Tag gelten die Pflichten. Das klingt nach viel Zeit und ist es nicht: Risikomanagement, Meldeprozesse und die Einbindung der Geschäftsleitung entstehen nicht über Nacht. Wer im Herbst 2026 anfängt, fängt zu spät an.
Wer ist von NIS2 betroffen?
Rund 4.000 mittlere und große Organisationen in 18 Sektoren hoher Kritikalität. Faustregel: ab 50 Mitarbeitenden oder mehr als 10 Mio. € Umsatz bzw. Bilanzsumme — in manchen Sektoren unabhängig von der Größe.
Betroffen sind nicht nur die offensichtlichen Branchen wie Energie, Gesundheit und Banken, sondern auch Bereiche wie Post, Chemie, Lebensmittel und Teile der Produktion. Auch wer formal unter der Schwelle liegt, gerät über die Lieferkette oft mittelbar in die Pflicht. Im Zweifel lohnt eine saubere Betroffenheitsprüfung, bevor man Aufwand investiert.
Welche Sektoren fallen unter NIS2?
Das NISG 2026 nennt 18 Sektoren, in zwei Gruppen. Maßgeblich ist immer beides: der Sektor und die Größe der Organisation.
Sektoren mit hoher Kritikalität (Anlage 1)
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren (Anlage 2)
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe und Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Wesentliche oder wichtige Einrichtung — was ist der Unterschied?
Große Organisationen in den hochkritischen Sektoren sind „wesentliche", mittlere „wichtige" Einrichtungen; in den sonstigen kritischen Sektoren gelten mittlere und große durchwegs als „wichtig".
Die Größe richtet sich nach der KMU-Definition. Als groß gilt, wer mindestens 250 Mitarbeitende beschäftigt oder über 50 Mio. € Umsatz und über 43 Mio. € Bilanzsumme erreicht; als mittel, wer mindestens 50 Mitarbeitende oder über 10 Mio. € Umsatz und Bilanzsumme hat. Wer darunter bleibt, fällt im Regelfall heraus — kann aber über die Lieferkette mittelbar in die Pflicht geraten.
Der Unterschied entscheidet über die Intensität der Aufsicht und die Höhe möglicher Strafen, nicht über das Ob der Pflichten: Wesentliche Einrichtungen werden proaktiv beaufsichtigt, wichtige anlassbezogen.
Welche Pflichten bringt NIS2?
Risikomanagement, Lieferkettensicherheit, Zugriffskontrollen und Schulungen — plus Meldepflichten: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Endbericht binnen eines Monats.
Der Kern ist ein angemessenes Risikomanagement — technisch und organisatorisch. Dazu gehören Themen wie Zugriffskontrolle, Verschlüsselung, Business Continuity, der Umgang mit Schwachstellen und die Sicherheit der Lieferkette. Nichts davon ist exotisch; vieles ist in einem gelebten ISMS (etwa nach ISO 27001) bereits angelegt.
Neu ist die Verbindlichkeit: Die Geschäftsleitung ist in der Verantwortung — sie muss die Maßnahmen freigeben und verstehen, nicht delegieren und vergessen. Und es gibt klare Fristen für die Meldung von Vorfällen.
Die Meldefristen: 24 Stunden, 72 Stunden, ein Monat
Für einen erheblichen Sicherheitsvorfall gilt eine gestaffelte Meldekette an das nationale CSIRT: eine Frühwarnung binnen 24 Stunden, eine Meldung binnen 72 Stunden und ein Abschlussbericht spätestens einen Monat nach der Meldung. Diese Uhr läuft mitten in der Krise — weshalb der Meldeweg vorab geübt gehört, nicht im Ernstfall erfunden.
Welche Strafen drohen?
Für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes; für wesentliche Einrichtungen bis zu 10 Mio. € oder 2 %.
Die Zahlen sind Höchstgrenzen, kein Tarif. Wichtiger als die Schlagzeile ist, was dahintersteht: Die Aufsicht kann prüfen, anordnen und im Ernstfall die Verantwortung bis in die Leitungsebene ziehen. Strafe ist das Ende einer Kette — nicht der Grund, etwas zu tun.
Bin ich betroffen — und was ist der erste Schritt?
Der erste Schritt ist selten ein Projekt. Er ist eine ehrliche Standortbestimmung.
Bevor man Budget bewegt, lohnt die nüchterne Frage: Sind wir überhaupt betroffen, und wenn ja — wo stehen wir wirklich? Eine kostenlose NIS2-Selbsteinschätzung gibt dafür eine erste Ampel, online und ohne Anmeldung.
Wenn Sie danach Begleitung wollen — von der Betroffenheit bis zum Audit-Nachweis: So läuft unsere NIS2-Beratung ab. Und wenn Sie lieber zuerst sprechen, schreiben Sie uns — ein Erstgespräch ist ein Gespräch, keine Verkaufspose. Wenn Sie nicht betroffen sind, sagen wir Ihnen auch das.
Quellen: NIS-Anlaufstelle des Bundes (nis.gv.at), Wirtschaftskammer Österreich (wko.at). Dieser Text ist eine Orientierung, keine Rechtsberatung — maßgeblich ist der Gesetzestext. Stand: Juni 2026.