Was ist NIS2 und wer ist in Österreich betroffen?

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Security Directive). In Österreich betrifft sie kritische Infrastrukturen wie Energie, Verkehr, Gesundheitswesen, sowie wichtige Wirtschaftssektoren. Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in betroffenen Sektoren müssen die Anforderungen erfüllen. vetosec unterstützt bei der NIS2-Compliance mit Gap-Analysen und Beratung.

Was sind Managed Security Services?

Managed Security Services bedeuten, dass ein spezialisierter Anbieter Ihre Cybersicherheit kontinuierlich überwacht und verwaltet. Dies umfasst 24/7 Bedrohungsüberwachung, Endpoint Detection and Response (EDR), Incident Response, und Security Operations Center (SOC) Funktionen. Ideal für Unternehmen ohne eigenes Security-Team.

Wie lange dauert eine ISO27001-Zertifizierung?

Eine ISO27001-Zertifizierung dauert in Österreich typischerweise 6-12 Monate, abhängig von der Unternehmensgröße und bestehenden Sicherheitsmaßnahmen. Der Prozess umfasst Gap-Analyse, Implementierung eines Information Security Management Systems (ISMS), interne Audits und das externe Zertifizierungsaudit.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 gilt für kritische Infrastrukturen und wichtige Wirtschaftssektoren in der gesamten EU. DORA (Digital Operational Resilience Act) ist spezifisch für Finanzinstitute und konzentriert sich auf digitale operationale Resilienz. Beide erfordern Cybersicherheitsmaßnahmen, aber DORA hat zusätzliche Anforderungen für Finanzdienstleister in Österreich.

Warum brauchen österreichische KMU Cybersicherheit?

Österreichische KMU sind zunehmend Ziel von Cyberangriffen, insbesondere Ransomware. Zusätzlich erfordern neue EU-Richtlinien wie NIS2 und DSGVO angemessene Sicherheitsmaßnahmen. Ein Sicherheitsvorfall kann zu Datenverlust, Betriebsunterbrechungen, hohen Strafen und Reputationsschäden führen. Professionelle Cybersicherheit schützt Ihr Geschäft und Ihre Kunden.

NIS2 for Suppliers: What You Need to Know

Published: May 26, 2026 • Updated: May 26, 2026

Kein Rechtsrat. Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Wir sind ein IT-Unternehmen, keine Rechtsanwältinnen oder Rechtsanwälte. Für verbindliche Auskünfte wenden Sie sich bitte an einen qualifizierten Rechtsberater oder die zuständige Behörde. Wir übernehmen keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität der hier enthaltenen Informationen.

Was ist NIS2?

Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. In Österreich wurde sie mit dem NISG 2024 in nationales Recht umgesetzt. Die Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich und schließt ausdrücklich auch Lieferanten und Dienstleister kritischer und wichtiger Einrichtungen ein.

Bin ich als Lieferant betroffen?

Die Betroffenheit kann direkt oder indirekt sein. Direkt betroffen sind Unternehmen, die selbst als wesentliche oder wichtige Einrichtung eingestuft werden. Das hängt von der Branche und der Unternehmensgröße ab, in der Regel ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz in einem relevanten Sektor.

Indirekt betroffen sind Sie, wenn Sie Dienstleistungen oder Produkte an NIS2-pflichtige Unternehmen liefern. Diese sind nämlich verpflichtet, Sicherheitsanforderungen an ihre gesamte Lieferkette weiterzugeben. Besonders im Fokus stehen IT-Dienstleister, Cloud-Anbieter, Managed Service Provider, Softwarehersteller und alle, die Zugang zu Systemen regulierter Unternehmen haben.

Was wird von Lieferanten konkret erwartet?

NIS2-pflichtige Auftraggeber werden von ihren Lieferanten zunehmend konkrete Nachweise einfordern. Dazu gehört zunächst ein strukturiertes Informationssicherheits-Management, zum Beispiel nach ISO 27001 oder einem vergleichbaren Standard, sowie eine dokumentierte Risikoanalyse der eigenen Infrastruktur und Prozesse.

Auch klare Prozesse für den Umgang mit Sicherheitsvorfällen sind gefragt, inklusive der Pflicht, den Auftraggeber zeitnah zu informieren. Auf technischer Seite werden Multi-Faktor-Authentifizierung, das Least-Privilege-Prinzip und gesicherte Fernzugriffe erwartet. Daten müssen sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt sein.

Hinzu kommen regelmäßige Updates und ein strukturiertes Patch- und Schwachstellenmanagement, sowie nachvollziehbare Konzepte für Backups, Notfallpläne und Wiederherstellungsverfahren. Viele Auftraggeber werden diese Anforderungen künftig auch vertraglich festschreiben.

Welche Konsequenzen drohen?

Für direkt betroffene Unternehmen können Verstöße mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden, bei wesentlichen Einrichtungen. Bei wichtigen Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Indirekt betroffene Lieferanten riskieren vor allem eines: den Verlust von Aufträgen, wenn sie die Anforderungen ihrer Kunden nicht erfüllen können.

Was sollten Sie jetzt tun?

Prüfen Sie zunächst, ob Ihr Unternehmen selbst direkt unter NIS2 fällt. Analysieren Sie dann, welche Ihrer Kunden NIS2-pflichtig sind und welche Anforderungen diese künftig an Sie stellen werden. Dokumentieren Sie bestehende Sicherheitsmaßnahmen und identifizieren Sie offen Lücken. Und holen Sie sich Unterstützung, sowohl von technischen IT-Sicherheitsexperten als auch von rechtlich qualifizierten Beratern.

Not legal advice. This article is for general informational purposes only and does not constitute legal advice. We are an IT company, not lawyers. For binding guidance, please consult a qualified legal professional or the relevant authority. We accept no liability for the accuracy, completeness, or timeliness of the information provided here.

What is NIS2?

The NIS2 Directive (EU 2022/2555) is the revised EU directive on network and information security. In Austria it has been transposed into national law through the NISG 2024. It significantly widens the scope of affected organisations and explicitly brings suppliers and service providers of critical and important entities into the picture.

Am I affected as a supplier?

Your exposure can be direct or indirect. Direct exposure applies if your company itself qualifies as an essential or important entity. That depends on your sector and size, generally 50 or more employees or more than 10 million euros in annual turnover within a relevant sector.

Indirect exposure applies if you supply services or products to NIS2-obligated companies, because those companies are required to pass security requirements down through their entire supply chain. IT service providers, cloud providers, managed service providers, software vendors and anyone with access to systems of regulated businesses are especially in scope.

What will suppliers be expected to deliver?

NIS2-obligated clients will increasingly ask their suppliers for concrete evidence of good security practice. That starts with a structured information security management system, for example based on ISO 27001 or a comparable standard, and a documented risk assessment of your own infrastructure and processes.

Clear processes for handling security incidents are equally important, including an obligation to notify the client promptly. On the technical side, multi-factor authentication, least-privilege access controls and secured remote connections will be expected as standard. Data needs to be encrypted both in transit and at rest.

Beyond that, regular updates and structured patch and vulnerability management are required, along with credible backup concepts, emergency plans and recovery procedures. Many clients will also start writing these requirements directly into supplier contracts.

What are the consequences?

For directly affected organisations, non-compliance can result in fines of up to 10 million euros or 2 percent of global annual turnover for essential entities, and up to 7 million euros or 1.4 percent of turnover for important entities. For indirectly affected suppliers the most immediate risk is simpler: losing contracts when clients find that security requirements are not being met.

What should you do now?

Start by checking whether your company falls directly under NIS2. Then look at which of your clients are NIS2-obligated and think through what they will require from you going forward. Document your existing security measures honestly and identify where the gaps are. Then get proper support, both from technical IT security specialists and from qualified legal advisors.