Was ist NIS2 und wer ist in Österreich betroffen?

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Security Directive). In Österreich betrifft sie kritische Infrastrukturen wie Energie, Verkehr, Gesundheitswesen, sowie wichtige Wirtschaftssektoren. Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in betroffenen Sektoren müssen die Anforderungen erfüllen. vetosec unterstützt bei der NIS2-Compliance mit Gap-Analysen und Beratung.

Was sind Managed Security Services?

Managed Security Services bedeuten, dass ein spezialisierter Anbieter Ihre Cybersicherheit kontinuierlich überwacht und verwaltet. Dies umfasst 24/7 Bedrohungsüberwachung, Endpoint Detection and Response (EDR), Incident Response, und Security Operations Center (SOC) Funktionen. Ideal für Unternehmen ohne eigenes Security-Team.

Wie lange dauert eine ISO27001-Zertifizierung?

Eine ISO27001-Zertifizierung dauert in Österreich typischerweise 6-12 Monate, abhängig von der Unternehmensgröße und bestehenden Sicherheitsmaßnahmen. Der Prozess umfasst Gap-Analyse, Implementierung eines Information Security Management Systems (ISMS), interne Audits und das externe Zertifizierungsaudit.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 gilt für kritische Infrastrukturen und wichtige Wirtschaftssektoren in der gesamten EU. DORA (Digital Operational Resilience Act) ist spezifisch für Finanzinstitute und konzentriert sich auf digitale operationale Resilienz. Beide erfordern Cybersicherheitsmaßnahmen, aber DORA hat zusätzliche Anforderungen für Finanzdienstleister in Österreich.

Warum brauchen österreichische KMU Cybersicherheit?

Österreichische KMU sind zunehmend Ziel von Cyberangriffen, insbesondere Ransomware. Zusätzlich erfordern neue EU-Richtlinien wie NIS2 und DSGVO angemessene Sicherheitsmaßnahmen. Ein Sicherheitsvorfall kann zu Datenverlust, Betriebsunterbrechungen, hohen Strafen und Reputationsschäden führen. Professionelle Cybersicherheit schützt Ihr Geschäft und Ihre Kunden.

NIS2 und die Lieferkette: Was Lieferanten in Österreich jetzt tun müssen

Veröffentlicht: 27. Mai 2026 • Aktualisiert: 27. Mai 2026

Kein Rechtsrat. Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Wir sind ein IT-Unternehmen, keine Rechtsanwältinnen oder Rechtsanwälte. Bitte holen Sie sich fachkundigen rechtlichen Rat, bevor Sie auf Basis dieses Artikels Entscheidungen treffen.

Mit dem österreichischen NISG 2026, das am 1. Oktober 2026 in Kraft tritt und die EU-Richtlinie NIS2 in nationales Recht umsetzt, gelten für rund 4.000 österreichische Unternehmen verpflichtende Cybersicherheitsmaßnahmen.[Quelle: WKO] Was viele Lieferanten noch nicht wissen: Die Pflichten enden nicht bei den direkt betroffenen Einrichtungen. Sie werden vertraglich an die gesamte Lieferkette weitergegeben.

Warum Lieferanten betroffen sind, auch wenn sie es offiziell nicht sind

Das NISG 2026 verpflichtet wesentliche und wichtige Einrichtungen ausdrücklich dazu, die Sicherheit ihrer Lieferkette zu gewährleisten. Dazu gehören laut WKO sicherheitsbezogene Aspekte der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern, deren spezifische Schwachstellen sowie die Gesamtqualität ihrer Cybersicherheitspraxis einschließlich der Sicherheit ihrer Entwicklungsprozesse.[Quelle: WKO] In der Praxis bedeutet das: NIS2-pflichtige Unternehmen werden ihre Lieferanten und IT-Dienstleister vertraglich zu Risikomanagementmaßnahmen verpflichten. Wer diese Anforderungen nicht erfüllen kann, riskiert den Auftrag.

Wer konkret betroffen ist

Direkt betroffen sind mittlere und große Unternehmen aus 18 festgelegten Sektoren, darunter Energie, Transport, Gesundheit, digitale Infrastruktur, Lebensmittelwirtschaft und produzierende Industrie. Indirekt betroffen ist jeder, der als Lieferant oder IT-Dienstleister für solche Einrichtungen tätig ist, unabhängig von der eigenen Unternehmensgröße. Das gilt ausdrücklich auch für Kleinunternehmen, die über vertragliche Konstruktionen in die Pflicht genommen werden.[Quelle: WKO]

Was Lieferanten konkret nachweisen müssen

Es gibt keinen einzigen vorgeschriebenen Nachweis, aber die WKO nennt mehrere anerkannte Wege: Zertifizierungen wie ISO 27001, das KSÖ Cyber Risk Rating, externe Audits oder individuelle Nachweise der Compliance und Sicherheitsanforderungen.[Quelle: WKO] In der Praxis werden Auftraggeber zunehmend Fragebögen, Selbstdeklarationen und vertragliche Sicherheitsklauseln einfordern. Wer keine strukturierte Antwort darauf hat, wird aus Ausschreibungen herausfallen.

Die fünf wichtigsten Maßnahmen für Lieferanten

Risikoanalyse dokumentieren

Der erste Schritt ist eine dokumentierte Bewertung der eigenen IT-Sicherheitsrisiken. Welche Systeme sind kritisch? Welche Daten werden verarbeitet? Welche externen Zugänge bestehen? Ohne diese Grundlage ist kein glaubwürdiger Sicherheitsnachweis möglich.

Technische Grundmaßnahmen umsetzen

Multi-Faktor-Authentifizierung für alle externen Zugänge, aktuelles Patch- und Schwachstellenmanagement, verschlüsselte Datenspeicherung und ein getestetes Backup-Konzept sind keine Kür, sondern die Basis dessen, was Auftraggeber erwarten werden. Diese Maßnahmen decken den Kern der NIS2-Anforderungen ab und sind gleichzeitig die wirksamsten Schutzmaßnahmen gegen reale Angriffe.

Incident-Response-Prozess etablieren

Lieferanten müssen nachweisen können, dass sie Sicherheitsvorfälle erkennen, intern bewerten und ihren Auftraggebern zeitnah melden können. Ein schriftlich dokumentierter Prozess ist hier das Minimum. NIS2-pflichtige Auftraggeber ihrerseits haben eine Frühwarnpflicht binnen 24 Stunden und eine vollständige Meldung binnen 72 Stunden an die zuständige Behörde.[Quelle: WKO] Ohne Zulieferer, die im selben Rhythmus kommunizieren, können sie diese Fristen nicht einhalten.

Vertragliche Anforderungen prüfen und erfüllen

NIS2-pflichtige Auftraggeber werden Sicherheitsklauseln in neue und bestehende Verträge aufnehmen. Lieferanten sollten eingehende Vertragsanpassungen nicht als Formalität behandeln, sondern prüfen, ob sie die darin geforderten Maßnahmen tatsächlich erfüllen können, und wenn nicht, sofort handeln.

Nachweise aufbereiten und aktuell halten

Ob Zertifikat, Audit-Bericht oder ausgefüllter Sicherheitsfragebogen: Lieferanten brauchen belastbare, aktuelle Nachweise ihrer Sicherheitslage. Das KSÖ Cyber Risk Rating ist ein in Österreich anerkanntes Instrument, das genau dafür entwickelt wurde.[Quelle: WKO]

Was passiert bei Nichterfüllung?

Für direkt betroffene Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, zusätzlich ist eine persönliche Haftung der Geschäftsführung möglich.[Quelle: WKO] Für Lieferanten ohne direkte Pflicht ist die unmittelbarste Konsequenz eine andere: Sie verlieren Aufträge an Wettbewerber, die ihre Compliance nachweisen können.

Wie wir gemeinsam die Compliance aufrechterhalten

Als IT-Sicherheitsunternehmen, das auf kleine und mittlere Betriebe mit sensiblen Daten spezialisiert ist, unterstützen wir Lieferanten dabei, NIS2-konform zu werden und es auch zu bleiben. Das beginnt mit dem VetoSec IT-Check, der den aktuellen Sicherheitsstatus des Unternehmens bewertet und konkrete Lücken aufzeigt. Darauf aufbauend begleiten wir die Umsetzung der notwendigen technischen und organisatorischen Maßnahmen, helfen bei der Aufbereitung von Sicherheitsnachweisen für Auftraggeber und stehen als dauerhafter IT-Sicherheitspartner zur Verfügung, damit Compliance kein einmaliges Projekt bleibt, sondern ein laufender Zustand. Sprechen Sie uns an.

Fazit

Das NISG 2026 tritt am 1. Oktober 2026 in Kraft, aber die Anforderungen wirken bereits heute. Auftraggeber bereiten ihre Lieferantenprozesse vor, Verträge werden angepasst und erste Fragebögen werden bereits versendet. Wer jetzt handelt, schützt nicht nur seine Systeme, sondern auch seine Geschäftsbeziehungen.

Not legal advice. This article is for general informational purposes only and does not constitute legal advice. We are an IT company, not lawyers. Please seek qualified legal counsel before making decisions based on this content.

With the Austrian NISG 2026, which enters into force on 1 October 2026 and transposes the EU NIS2 Directive into national law, around 4,000 Austrian companies will face binding cybersecurity obligations.[Source: WKO] What many suppliers do not yet realise is that these obligations do not stop at the directly affected entities. They are passed down contractually through the entire supply chain.

Why suppliers are affected even when they officially are not

The NISG 2026 explicitly requires essential and important entities to ensure the security of their supply chain. According to the WKO, this includes security-related aspects of relationships with direct suppliers and service providers, their specific vulnerabilities, and the overall quality of their cybersecurity practices including the security of their development processes.[Source: WKO] In practice this means: NIS2-obligated companies will contractually require their suppliers and IT service providers to implement risk management measures. Suppliers who cannot meet these requirements risk losing the contract.

Who is concretely affected

Directly affected are medium and large companies from 18 designated sectors, including energy, transport, healthcare, digital infrastructure, food production, and manufacturing industry. Indirectly affected is anyone who acts as a supplier or IT service provider to such entities, regardless of their own company size. This explicitly includes small businesses that are brought into scope through contractual arrangements.[Source: WKO]

What suppliers will need to demonstrate

There is no single prescribed proof of compliance, but the WKO identifies several recognised routes: certifications such as ISO 27001, the KSÖ Cyber Risk Rating, external audits, or individual evidence of compliance and security requirements.[Source: WKO] In practice, clients will increasingly request questionnaires, self-declarations, and contractual security clauses. Suppliers without a structured answer to these will be excluded from tenders.

The five most important measures for suppliers

Document a risk analysis

The first step is a documented assessment of the company's own IT security risks. Which systems are critical? What data is processed? What external access points exist? Without this foundation, no credible security evidence is possible.

Implement foundational technical measures

Multi-factor authentication for all external access, current patch and vulnerability management, encrypted data storage, and a tested backup concept are not optional extras. They are the baseline that clients will expect. These measures cover the core of NIS2 requirements and are at the same time the most effective protections against real attacks.

Establish an incident response process

Suppliers need to be able to demonstrate that they can detect, internally assess, and promptly notify their clients of security incidents. A written, documented process is the minimum. NIS2-obligated clients themselves face an early warning obligation within 24 hours and a full report within 72 hours to the relevant authority.[Source: WKO] Without suppliers who communicate on the same timeline, those deadlines cannot be met.

Review and fulfil contractual requirements

NIS2-obligated clients will incorporate security clauses into new and existing contracts. Suppliers should not treat incoming contract amendments as formalities. They need to check whether they can actually meet the measures required and, if not, act immediately.

Prepare and maintain compliance evidence

Whether a certificate, audit report, or completed security questionnaire, suppliers need credible and current evidence of their security posture. The KSÖ Cyber Risk Rating is a recognised Austrian instrument developed specifically for this purpose.[Source: WKO]

What happens if requirements are not met?

For directly affected entities, fines of up to 10 million euros or 2 percent of global annual turnover are possible, and personal liability of management is explicitly provided for.[Source: WKO] For suppliers without direct obligations, the most immediate consequence is different: they lose contracts to competitors who can demonstrate their compliance.

How we work together to maintain compliance

As an IT security company specialised in small and medium-sized businesses with sensitive data, we help suppliers become NIS2-compliant and stay that way. It starts with the VetoSec IT Check, which assesses the current security status of the business and identifies specific gaps. From there we support the implementation of the necessary technical and organisational measures, help prepare security evidence for clients, and are available as an ongoing IT security partner so that compliance does not remain a one-off project but becomes a continuous state. Get in touch.

Summary

The NISG 2026 enters into force on 1 October 2026, but its requirements are already making themselves felt today. Clients are preparing their supplier processes, contracts are being updated, and the first questionnaires are already being sent out. Acting now protects not only your systems but your business relationships.