Was ist NIS2 und wer ist in Österreich betroffen?

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Security Directive). In Österreich betrifft sie kritische Infrastrukturen wie Energie, Verkehr, Gesundheitswesen, sowie wichtige Wirtschaftssektoren. Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in betroffenen Sektoren müssen die Anforderungen erfüllen. vetosec unterstützt bei der NIS2-Compliance mit Gap-Analysen und Beratung.

Was sind Managed Security Services?

Managed Security Services bedeuten, dass ein spezialisierter Anbieter Ihre Cybersicherheit kontinuierlich überwacht und verwaltet. Dies umfasst 24/7 Bedrohungsüberwachung, Endpoint Detection and Response (EDR), Incident Response, und Security Operations Center (SOC) Funktionen. Ideal für Unternehmen ohne eigenes Security-Team.

Wie lange dauert eine ISO27001-Zertifizierung?

Eine ISO27001-Zertifizierung dauert in Österreich typischerweise 6-12 Monate, abhängig von der Unternehmensgröße und bestehenden Sicherheitsmaßnahmen. Der Prozess umfasst Gap-Analyse, Implementierung eines Information Security Management Systems (ISMS), interne Audits und das externe Zertifizierungsaudit.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 gilt für kritische Infrastrukturen und wichtige Wirtschaftssektoren in der gesamten EU. DORA (Digital Operational Resilience Act) ist spezifisch für Finanzinstitute und konzentriert sich auf digitale operationale Resilienz. Beide erfordern Cybersicherheitsmaßnahmen, aber DORA hat zusätzliche Anforderungen für Finanzdienstleister in Österreich.

Warum brauchen österreichische KMU Cybersicherheit?

Österreichische KMU sind zunehmend Ziel von Cyberangriffen, insbesondere Ransomware. Zusätzlich erfordern neue EU-Richtlinien wie NIS2 und DSGVO angemessene Sicherheitsmaßnahmen. Ein Sicherheitsvorfall kann zu Datenverlust, Betriebsunterbrechungen, hohen Strafen und Reputationsschäden führen. Professionelle Cybersicherheit schützt Ihr Geschäft und Ihre Kunden.

NIS2 in Österreich: Der vollständige Überblick für Unternehmen

Veröffentlicht: 27. Mai 2026 • Aktualisiert: 27. Mai 2026

Dieser Artikel fasst öffentlich zugängliche Informationen zusammen und dient ausschließlich der allgemeinen Orientierung. Er stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen zu Ihrer konkreten Situation wenden Sie sich bitte an einen auf IT-Recht oder Cybersicherheitsrecht spezialisierten Rechtsanwalt.

Die NIS2-Richtlinie der Europäischen Union (EU 2022/2555) ist die bedeutendste Neuregelung der Cybersicherheit in Europa seit Jahren. In Österreich wurde sie mit dem NISG 2026 umgesetzt, das am 23. Dezember 2025 kundgemacht wurde und am 1. Oktober 2026 in Kraft tritt. Ab diesem Datum gelten für rund 4.000 österreichische Unternehmen verbindliche Cybersicherheitspflichten mit empfindlichen Sanktionen bei Verstößen.[Quelle: WKO]

Was ist NIS2?

NIS steht für Netz- und Informationssicherheit. Die NIS2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und weitet den Kreis der betroffenen Unternehmen erheblich aus. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU. Dazu legt die Richtlinie für betroffene Einrichtungen verbindliche Anforderungen an das Risikomanagement, die Meldung von Sicherheitsvorfällen und die Sicherheit der Lieferkette fest.

Wer ist in Österreich direkt betroffen?

Das NISG 2026 richtet sich an mittlere und große Unternehmen aus 18 festgelegten Sektoren. Die Größenschwelle liegt grundsätzlich bei 50 oder mehr Mitarbeitenden und einem Jahresumsatz oder einer Jahresbilanz von mehr als 10 Millionen Euro. Unternehmen unter dieser Schwelle sind mit wenigen Ausnahmen nicht direkt betroffen, können aber über Lieferkettenanforderungen indirekt in die Pflicht genommen werden.[Quelle: WKO] Ob Ihr Unternehmen tatsächlich betroffen ist, hängt von mehreren Faktoren ab, die im Einzelfall zu prüfen sind. Dafür empfiehlt sich die Konsultation eines auf Cybersicherheitsrecht spezialisierten Rechtsanwalts.

Die 18 betroffenen Sektoren

Das Gesetz unterscheidet zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren. Zu den Sektoren mit hoher Kritikalität zählen Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstverwaltung, öffentliche Verwaltung sowie Weltraum. Die sonstigen kritischen Sektoren umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.

Wesentliche und wichtige Einrichtungen

Das NISG 2026 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Beide Kategorien unterliegen denselben inhaltlichen Sicherheitspflichten. Der Unterschied liegt in der Aufsicht und den möglichen Sanktionshöhen. Wesentliche Einrichtungen können von der Behörde proaktiv und anlassunabhängig geprüft werden. Bei wichtigen Einrichtungen erfolgt die Aufsicht reaktiv, also typischerweise nach einem Vorfall.[Quelle: WKO] In welche Kategorie Ihr Unternehmen fällt, ist für die konkrete Compliance-Strategie relevant; auch diese Frage sollte rechtlich abgeklärt werden.

Welche Sicherheitsmaßnahmen sind verpflichtend?

Das NISG 2026 schreibt zehn Bereiche vor, in denen geeignete und verhältnismäßige technische und organisatorische Maßnahmen umgesetzt werden müssen. Dazu zählen Konzepte zur Risikoanalyse und Informationssystemsicherheit, Bewältigung von Sicherheitsvorfällen sowie Business Continuity einschließlich Backup und Notfallmanagement. Hinzu kommen die Sicherheit der Lieferkette, Sicherheit bei Erwerb und Entwicklung von Systemen, Cyberhygiene und Schulungen, Kryptographie und Verschlüsselung, Personalsicherheit und Zugriffskontrolle sowie Multi-Faktor-Authentifizierung.[Quelle: WKO]

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen in einem gestuften Verfahren gemeldet werden. Binnen 24 Stunden nach Bekanntwerden ist eine Frühwarnung abzugeben, binnen 72 Stunden eine vollständige Meldung mit erster Lageeinschätzung und binnen einem Monat ein abschließender Bericht. In Österreich ist das CSIRT die zentrale Anlaufstelle.[Quelle: WKO] Was im Einzelfall als meldepflichtiger Vorfall gilt und wie die Fristen korrekt eingehalten werden, ist eine rechtlich relevante Frage, die im Ernstfall schnell entschieden werden muss. Auch hier lohnt es sich, vorab einen spezialisierten Anwalt zu Rate zu ziehen.

Registrierungspflicht

Betroffene Einrichtungen müssen sich bei der zuständigen Behörde registrieren. Für wesentliche Einrichtungen gelten dabei strengere Anforderungen als für wichtige Einrichtungen. Unternehmen sollten ihre Betroffenheit und die damit verbundene Registrierungspflicht frühzeitig rechtlich klären lassen und die Registrierung nicht auf den letzten Moment verschieben.

Sicherheit der Lieferkette

Eine der wichtigsten Neuerungen des NISG 2026 ist die explizite Verankerung der Lieferkettensicherheit. Betroffene Einrichtungen müssen die spezifischen Schwachstellen ihrer direkten Anbieter und Dienstleister bewerten und geeignete Sicherheitsmaßnahmen treffen. In der Praxis bedeutet das: NIS2-pflichtige Unternehmen werden ihre IT-Dienstleister, Cloud-Anbieter und sonstigen Lieferanten vertraglich zu Risikomanagementmaßnahmen verpflichten.[Quelle: WKO] Wie diese Anforderungen vertraglich korrekt umgesetzt werden, ist eine rechtliche Frage, die von einem auf IT-Vertragsrecht spezialisierten Anwalt begleitet werden sollte.

Sanktionen

Bei Verstößen können für wesentliche Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist. Bei wichtigen Einrichtungen liegt der Rahmen bei bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Die Behörde kann darüber hinaus konkrete Maßnahmenanordnungen erlassen und im Extremfall Zertifizierungen oder Genehmigungen aussetzen.[Quelle: WKO] Die hier genannten Zahlen stammen aus öffentlich zugänglichen Quellen und dienen der allgemeinen Orientierung. Wie Sanktionen im konkreten Einzelfall berechnet und angewendet werden, ist eine rechtliche Frage, die ausschließlich ein qualifizierter Rechtsanwalt verbindlich beurteilen kann.

Verantwortung der Unternehmensführung

Das NISG 2026 verankert die Cybersicherheitsverantwortung ausdrücklich auf Ebene der Leitungsorgane. Geschäftsführung und Vorstand müssen die Risikomanagementmaßnahmen genehmigen, deren Umsetzung aktiv überwachen und an eigens für sie gestalteten Cybersicherheitsschulungen teilnehmen.[Quelle: WKO]

Im Unterschied zu Deutschland, wo das NIS2UmsuCG eine explizite persönliche finanzielle Haftung einzelner Manager vorsieht, regelt das österreichische NISG 2026 die Haftung der Leitungsorgane nicht selbst. Die Verwaltungsstrafen richten sich an die Einrichtung, nicht an einzelne Personen. Allfällige zivilrechtliche Konsequenzen für Geschäftsführerinnen und Geschäftsführer richten sich nach den allgemeinen gesellschaftsrechtlichen Grundsätzen des GmbHG und AktG, nicht nach dem NISG 2026.[Quelle: Hochleitner Rechtsanwälte / iura.at] Da sich die Rechtslage hier von anderen EU-Ländern unterscheidet und im Detail komplex ist, empfehlen wir ausdrücklich, diese Frage mit einem auf Cybersicherheitsrecht oder Gesellschaftsrecht spezialisierten Rechtsanwalt zu besprechen.

Zeitplan

Das NISG 2026 tritt am 1. Oktober 2026 in Kraft. Eine behördliche Prüfung wesentlicher Einrichtungen ist frühestens ab dem 1. Oktober 2028 vorgesehen. Das bedeutet aber nicht, dass bis dahin gewartet werden kann: Ein funktionierendes Informationssicherheits-Management braucht Zeit, und Auftraggeber, Kunden und Versicherungen fragen bereits heute nach dem Sicherheitsniveau ihrer Lieferanten.

Was Sie jetzt tun sollten

Der erste Schritt ist die Prüfung der Betroffenheit: Fällt Ihr Unternehmen direkt unter das NISG 2026, oder sind Sie als Lieferant indirekt betroffen? Für eine verbindliche Einschätzung zur Betroffenheit und zu den konkreten Pflichten empfehlen wir, einen auf IT-Recht spezialisierten Rechtsanwalt hinzuzuziehen. Die technische und organisatorische Umsetzung der Sicherheitsmaßnahmen ist dann der nächste Schritt.

Wie VetoSec unterstützt

Wir sind auf IT-Sicherheit für kleine und mittlere Unternehmen in Österreich spezialisiert und unterstützen Sie auf der technischen und organisatorischen Seite der NIS2-Compliance. Mit dem VetoSec IT-Check analysieren wir Ihre aktuelle Sicherheitslage vor Ort und liefern einen klaren Befund mit priorisierten nächsten Schritten. Für Unternehmen, die als Lieferant NIS2-konform werden müssen, bieten wir zusätzlich eine strukturierte NIS2 Lieferanten-Gap-Analyse an. Für die rechtliche Seite empfehlen wir, parallel einen auf Cybersicherheitsrecht spezialisierten Anwalt einzubinden. Sprechen Sie uns an unter vetosec.at.

This article summarises publicly available information for general orientation only. It does not constitute legal advice. For binding assessments specific to your situation, please consult a lawyer specialised in IT law or cybersecurity law.

The EU NIS2 Directive (EU 2022/2555) is the most significant overhaul of cybersecurity regulation in Europe in years. In Austria it has been transposed through the NISG 2026, published on 23 December 2025 and entering into force on 1 October 2026. From that date, binding cybersecurity obligations apply to approximately 4,000 Austrian businesses, with substantial fines for non-compliance.[Source: WKO]

What is NIS2?

NIS stands for Network and Information Security. The NIS2 Directive replaces the original NIS Directive of 2016 and significantly expands the scope of companies it covers. Its goal is a consistently high level of cybersecurity across the EU, achieved through binding requirements for risk management, incident reporting, and supply chain security for all entities within its scope.

Who is directly affected in Austria?

The NISG 2026 applies to medium and large companies from 18 designated sectors of societal relevance. The general threshold is 50 or more employees and annual turnover or balance sheet total exceeding 10 million euros. Companies below this threshold are generally not directly covered, with a few exceptions, but can be brought into scope indirectly through supply chain requirements passed down by larger clients.[Source: WKO] Whether your specific business falls within scope depends on several factors that need to be assessed individually. We recommend consulting a lawyer specialised in cybersecurity law for a binding answer.

The 18 sectors in scope

The law distinguishes between highly critical sectors and other critical sectors. Highly critical sectors include energy, transport, banking, financial market infrastructure, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, public administration, and space. Other critical sectors cover postal and courier services, waste management, chemicals, food production, manufacturing, digital services, and research.

Essential and important entities

The NISG 2026 distinguishes between essential and important entities. Both categories face the same substantive security obligations. The difference lies in supervisory approach and applicable sanction levels. Essential entities can be audited proactively and without a specific trigger. Important entities are supervised reactively, typically following an incident or specific indications of non-compliance.[Source: WKO] Which category applies to your business is relevant for your compliance strategy, and is itself a question worth clarifying with legal counsel.

What security measures are mandatory?

The NISG 2026 prescribes ten areas in which appropriate and proportionate technical and organisational measures must be implemented. These cover risk analysis and information system security policies, incident handling, business continuity including backup and disaster recovery, supply chain security, security in systems acquisition and development, cybersecurity hygiene and training, cryptography and encryption, personnel security and access control, and multi-factor authentication.[Source: WKO]

Incident reporting obligations

Significant security incidents must be reported through a staged process. Within 24 hours of becoming aware of an incident, an early warning must be submitted. Within 72 hours, a full notification follows with an initial assessment. Within one month, a final report with detailed description and remediation steps is required. In Austria, reports go to the CSIRT as the central point of contact.[Source: WKO] What qualifies as a reportable incident and how these deadlines apply in practice is a legally significant question that needs to be decided quickly in an actual emergency. It is worth discussing the process with a specialised lawyer before an incident occurs.

Registration requirement

Affected entities must register with the relevant authority. Essential entities face stricter registration and evidential requirements than important entities. Businesses should seek legal clarity on whether they are required to register and do so well ahead of the October 2026 deadline.

Supply chain security

One of the most important aspects of the NISG 2026 is the explicit anchoring of supply chain security. Affected entities must assess the vulnerabilities of their direct suppliers and service providers and take appropriate measures. In practice, NIS2-obligated businesses will contractually require their IT service providers, cloud suppliers, and other vendors to implement risk management measures.[Source: WKO] How these requirements are correctly reflected in supplier contracts is a legal question best handled with the support of a lawyer specialised in IT contract law.

Sanctions

For essential entities, fines can reach up to 10 million euros or 2 percent of global annual turnover, whichever is higher. For important entities, the ceiling is 7 million euros or 1.4 percent of global annual turnover. Beyond fines, the authority can order the implementation of specific measures and in serious cases suspend certifications or authorisations.[Source: WKO] The figures above are drawn from publicly available sources and are intended for general orientation. How sanctions are calculated and applied in any specific case is a legal matter, and only a qualified lawyer can provide a binding assessment of your exposure.

Management responsibility

The NISG 2026 explicitly places cybersecurity governance responsibility at management level. The board of directors or management board must approve risk management measures, actively oversee their implementation, and attend cybersecurity training specifically designed for leadership.[Source: WKO]

It is worth noting that Austria's approach differs meaningfully from Germany's. The German NIS2 implementation (NIS2UmsuCG, §38) introduced explicit personal financial liability for individual managers of up to 500,000 euros. The Austrian NISG 2026 does not contain an equivalent provision. Administrative fines under Austrian law are directed at the entity, not at individuals. Any civil law consequences for management members are governed by existing corporate law principles under the GmbHG and AktG rather than by the NISG 2026 itself.[Source: Hochleitner Rechtsanwälte / iura.at] Since the legal position here differs from other EU countries and involves some complexity, we strongly recommend discussing this specific question with a lawyer specialised in cybersecurity or corporate law before drawing any conclusions for your own situation.

Timeline

The NISG 2026 enters into force on 1 October 2026. The authority may begin auditing essential entities from 1 October 2028 at the earliest. This does not mean there is time to wait: building a functioning information security management system takes time, and clients, insurers, and regulators are already asking about security levels today.

What you should do now

The first step is establishing whether your business falls directly under the NISG 2026 or is affected indirectly as a supplier. For a binding answer on your specific obligations and exposure, we recommend involving a lawyer specialised in IT law early in the process. On the technical and organisational side, a structured risk analysis and gap assessment give you the foundation to build a realistic implementation plan.

How VetoSec supports you

We specialise in IT security for small and medium-sized businesses in Austria that handle sensitive data or operate in regulated industries, and we support you on the technical and organisational side of NIS2 compliance. With the VetoSec IT Check we assess your current security posture on site and deliver a clear report with prioritised recommendations. For businesses that need to become NIS2-compliant as a supplier, we also offer a structured NIS2 supplier gap analysis. For the legal side, we recommend working in parallel with a cybersecurity law specialist. Get in touch at vetosec.at.