Zurück
27. April 2026

NIS2-Compliance in Österreich: Was sich ändert, wen es betrifft und was 2026 zu tun ist

Das NISG 2026 tritt am 1. Oktober 2026 in Kraft und betrifft etwa 4.000 österreichische Unternehmen. Von 100 auf 4.000 — eine vierzigfache Ausweitung. Was das nationale Gesetz verlangt, welche Fristen gelten und was Geschäftsführer jetzt wissen müssen.

NIS2-Compliance in Österreich: Was sich ändert, wen es betrifft und was 2026 zu tun ist

Zuletzt aktualisiert: März 2026

Wer versucht hat, eine klare Antwort auf die Frage zu bekommen, was NIS2-Compliance konkret für Österreich bedeutet, hat wahrscheinlich festgestellt: Die meisten Inhalte da draußen sind entweder generische EU-Überblicke, bereits veraltet oder von Juristen für Juristen geschrieben. Dieser Artikel ist nichts davon. Er behandelt, was in Österreich tatsächlich passiert — das nationale Gesetz, die echten Fristen, wen es wirklich trifft und was wann zu tun ist.

NIS2 vs. NISG 2026: Warum Österreich einen eigenen Zeitplan hat

Fangen wir mit der häufigsten Quelle von Verwirrung an.

NIS2 ist die EU-Richtlinie — formal die Richtlinie (EU) 2022/2555 — die im Januar 2023 in Kraft getreten ist. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Die meisten haben das getan. Österreich nicht.

Österreich hat die Frist versäumt. Die Europäische Kommission hat im Mai 2025 eine begründete Stellungnahme übermittelt — der formale Schritt vor einem Vertragsverletzungsverfahren. Das nationale Umsetzungsgesetz, das NISG 2026, wurde schließlich am 23. Dezember 2025 veröffentlicht. Es tritt am 1. Oktober 2026 in Kraft.

Bis zu diesem Datum bleibt das alte NISG 2018 in Geltung.

Warum ist das relevant? Weil viele deutschsprachige Inhalte noch immer einen anderen Zeitplan kommunizieren oder auf den abgelehnten NISG-2024-Entwurf verweisen, als wäre er aktuell. Die korrekten Daten sind der 1. Oktober 2026 für das Inkrafttreten und der 31. Dezember 2026 als Registrierungsfrist. Wer bisher mit anderen Zahlen geplant hat, sollte das jetzt anpassen.

Wen betrifft es wirklich? Der Anwendungsbereich ist breiter als gedacht

Das alte NIS-Gesetz erfasste in Österreich rund 100 Organisationen. Das NISG 2026 weitet das auf etwa 4.000 aus.

Das ist eine vierzigfache Ausweitung — und sie ist kein Versehen. Sie spiegelt eine bewusste politische Entscheidung wider, einen deutlich breiteren Kreis von Unternehmen in den regulatorischen Rahmen für Cybersicherheit einzubeziehen. Das NISG 2026 unterscheidet zwei Kategorien — und wenn man ein mittelgroßes Unternehmen in nahezu einem beliebigen Sektor ist, das von Technologie abhängt, besteht eine reale Chance, dass mindestens eine davon zutrifft.

Wesentliche Einrichtungen sind große Unternehmen in kritischen Sektoren: Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur, Trinkwasser, Abwasser und öffentliche Verwaltung. Einige Anbieter fallen unabhängig von ihrer Größe automatisch in diese Kategorie — Vertrauensdiensteanbieter, DNS-Betreiber und TLD-Register sind betroffen, egal ob sie 10 oder 10.000 Mitarbeitende haben.

Wichtige Einrichtungen ist die breitere Kategorie. Sie erfasst mittlere und große Unternehmen aus Post- und Kurierdiensten, Abfallwirtschaft, Chemie, Lebensmittelproduktion, Fertigung und digitalen Diensten. Die Größenschwelle liegt bei 50 oder mehr Mitarbeitenden oder einem Jahresumsatz von 10 Millionen Euro oder mehr — und es reicht, eines dieser Kriterien zu erfüllen, nicht beide. Ein Unternehmen mit 60 Mitarbeitenden und 8 Millionen Euro Umsatz ist betroffen. Genauso wie eines mit 30 Mitarbeitenden und 15 Millionen Euro Umsatz.

Bin ich also betroffen? Die ehrliche Antwort für viele Unternehmen lautet: Es kommt darauf an — und das sollte man jetzt herausfinden, nicht im September. So geht man es an:

Zuerst den Sektor prüfen. Den primären Geschäftsbereich gegen die Anhänge I und II der NIS2-Richtlinie abgleichen. Taucht der Sektor dort auf, ist man potenziell im Anwendungsbereich. Dann die Größenschwellen prüfen. Und dann — hier wird es komplizierter — die Konzernstruktur berücksichtigen.

Wer als IT-Tochtergesellschaft Cloud-Infrastruktur oder Helpdesk-Leistungen für Konzerngesellschaften erbringt, kann unter dem NISG 2026 als Anbieter digitaler Infrastruktur eingestuft werden — auch wenn diese Dienste nicht extern verkauft werden. Shared-Services-Center, konzerninterne IT-Einheiten und captive IT-Gesellschaften sind in anderen EU-Mitgliedstaaten bereits damit überrascht worden. Die Tatsache, dass die Kunden alle intern sind, schließt eine Betroffenheit nicht automatisch aus.

Auch die Sektorzuordnung ist nicht immer intuitiv. Ein Fertigungsunternehmen mit umfangreichen digitalen Produktionssystemen kann Verpflichtungen in mehr als einer Kategorie haben. Bei echter Unklarheit über die eigene Einordnung ist eine fundierte Prüfung vor Oktober die richtige Entscheidung — nicht die Annahme, nicht betroffen zu sein, die sich später als falsch herausstellt.

Was das NISG 2026 konkret verlangt

Wer weiß, dass er betroffen ist, hat vier Kategorien von Pflichten zu erfüllen.

Registrierung

Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim neuen Bundesamt für Cybersicherheit registrieren — das heißt bis 31. Dezember 2026. Dazu sind Angaben über die Organisation, den Sektor, Kontaktdaten für Sicherheitsmeldungen sowie die IP-Adressbereiche und Domainnamen der eigenen Systeme erforderlich.

Das ist keine einmalige Formalität. Das Register ist die Grundlage, auf der die Behörde nachverfolgt, wer der Aufsicht unterliegt und wie Meldungen zu Vorfällen weitergeleitet werden. Wer zu spät oder unvollständig registriert, riskiert Durchsetzungsmaßnahmen vom ersten Tag an.

Risikomanagementmaßnahmen

Das NISG 2026 verlangt "geeignete technische, organisatorische und betriebliche Maßnahmen" zur Steuerung von Cybersicherheitsrisiken. Artikel 21 der NIS2-Richtlinie konkretisiert das in zehn Kategorien: Risikoanalyse und Sicherheitsrichtlinien, Vorfallsbehandlung, Business Continuity, Lieferkettensicherheit, Sicherheit bei Erwerb und Entwicklung von Netz- und Informationssystemen, Wirksamkeitsbewertung, Cyber-Hygiene und Schulungen, Kryptographie und Verschlüsselung, Personalsicherheit sowie Zugangskontrollen.

Praktisch gesehen brauchen die meisten Organisationen zumindest: eine dokumentierte Risikoanalyse, Multi-Faktor-Authentifizierung für kritische Systeme, eine funktionierende Erkennung von Sicherheitsvorfällen, geeignete Zugangskontrollen und Berechtigungsmanagement, Sicherheitsüberprüfungen wichtiger Lieferanten sowie eine dokumentierte Verschlüsselungsrichtlinie.

Wer bereits eine ISO-27001-Zertifizierung hat, ist deutlich besser positioniert als die meisten. Sie bedeutet nicht automatisch NISG-2026-Konformität, aber ihre Kontrollmechanismen decken den größten Teil der Anforderungen ab — und eine Zertifizierung durch eine akkreditierte Stelle ist die Art von Nachweis, den das Bundesamt für Cybersicherheit nur schwer in Frage stellen kann. Wer noch gar kein Sicherheitsrahmenwerk hat, fängt weiter hinten an und sollte das bei der Zeitplanung berücksichtigen.

Meldung von Sicherheitsvorfällen

Erhebliche Vorfälle müssen innerhalb von 24 Stunden nach Entdeckung gemeldet werden — eine Erstmeldung, die bestätigt, dass ein erheblicher Vorfall eingetreten ist, mit grundlegenden Informationen. Innerhalb von 72 Stunden folgt ein detaillierterer Bericht, und innerhalb eines Monats ein abschließender Abschlussbericht.

Was gilt als "erheblich"? Jeder Vorfall, der schwerwiegende Betriebsunterbrechungen, finanzielle Verluste oder Auswirkungen auf andere Organisationen verursacht oder verursachen könnte. Die Schwelle liegt niedriger, als die meisten IT-Verantwortlichen annehmen. Ransomware, die kritische Systeme betrifft, fällt darunter. Ein DDoS-Angriff, der Dienste unterbricht, fällt darunter. Eine Datenpanne an betroffenen Systemen fällt darunter.

Für viele Unternehmen sind die 24-Stunden-Frist und der Detaillierungsgrad der erforderlichen Meldung die größte operative Herausforderung. Das funktioniert nur, wenn die Incident-Response-Fähigkeit tatsächlich existiert — einschließlich klarer Verantwortlichkeiten, dokumentierter Meldewege und eines Teams, das weiß, was ein meldepflichtiger Vorfall ist und wie die Meldung abzusetzen ist.

Haftung des Managements

Das ist der Abschnitt, der Aufmerksamkeit auf Vorstandsebene erzeugt — zu Recht.

Das NISG 2026 legt die Verantwortung für Cybersicherheit ausdrücklich auf die Geschäftsführung — Geschäftsführer und Vorstandsmitglieder. Führungskräfte können bei Verstößen mit persönlichen Geldbußen belegt werden. In schwerwiegenden Fällen droht ein vorübergehendes Berufsverbot.

Das ist kein Thema, das man an die IT-Abteilung delegieren und vierteljährlich per Statusbericht abhaken kann. Das NISG 2026 verlangt, dass das Management Risikomanagementmaßnahmen genehmigt, deren Umsetzung überwacht und persönlich Verantwortung für die Compliance-Situation des Unternehmens übernimmt. Für die meisten österreichischen Organisationen bedeutet das eine echte Veränderung in der Art, wie Informationssicherheit gesteuert wird — und es ist der Hauptgrund, warum dieses Thema von der IT-Compliance-Diskussion zur Vorstandsangelegenheit geworden ist.

Der praktische Zeitplan: Was wann zu tun ist

So sieht der Weg zum 1. Oktober 2026 für ein Unternehmen aus, das heute realistisch betrachtet startet.

Jetzt bis Q2 2026: Herausfinden, ob man betroffen ist. Ist die Antwort eindeutig, direkt zur Gap-Analyse übergehen. Bei Unklarheiten — gemischte Sektorzugehörigkeit, Konzernstrukturen, konzerninterne IT-Dienstleistungen — jetzt eine fundierte Einschätzung einholen. Nicht bis September warten und dann feststellen, dass man schon die ganze Zeit im Anwendungsbereich war.

Q2–Q3 2026: Gap-Analyse gegen die zehn Risikomanagementkategorien aus Artikel 21 durchführen. Wo ist man bereits konform? Wo liegen die Lücken? Priorität auf die Bereiche legen, die am längsten brauchen: MFA im gesamten Unternehmen, Aufbau einer Incident-Response-Fähigkeit, Überprüfung der Lieferkettensicherheit. Das ist auch der richtige Zeitpunkt, um zu entscheiden, ob eine ISO-27001-Zertifizierung als Compliance-Abkürzung sinnvoll ist — wobei die Zeit knapp wird, wenn man wirklich von vorne anfängt.

1. Oktober 2026: Das NISG 2026 tritt in Kraft. Die Compliance-Verpflichtungen gelten ab diesem Datum. Meldepflichten für Vorfälle gelten sofort — ohne Übergangsfrist für Unternehmen, die im Anwendungsbereich lagen und einfach nicht bereit waren.

Bis 31. Dezember 2026: Registrierung beim Bundesamt für Cybersicherheit abschließen.

Bis 30. September 2027: Selbstauskunft einreichen, die bestätigt, dass die erforderlichen Risikomanagementmaßnahmen umgesetzt wurden.

Eine Sache sollte klar ausgesprochen werden: Wer bei der Cybersicherheitsreife nahe null startet, braucht für eine ordentliche Umsetzung 6 bis 12 Monate. Jetzt zu starten ist nicht früh — es ist gerade rechtzeitig. Wer im dritten Quartal 2026 beginnt, wird unter Druck arbeiten und dabei echte Compliance-Risiken tragen.

Strafen und Durchsetzung: Was passiert, wenn man nichts tut

Die Bußgeldstruktur spiegelt die DSGVO in ihrer Schwere wider: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4% des Jahresumsatzes.

Die Durchsetzung obliegt dem Bundesamt für Cybersicherheit, das die Befugnis hat, Vor-Ort-Prüfungen durchzuführen, Unterlagen anzufordern, verbindliche Anweisungen zu erteilen und Bußgelder zu verhängen. Es ist keine Papierbehörde.

Aber das Bußgeld ist tatsächlich der vorhersehbarste Teil der Nicht-Konformität. Das schwerer einzuschätzende Risiko ist das, was passiert, wenn ein realer Vorfall eine Organisation trifft, die keine geeigneten Maßnahmen umgesetzt hat: Betriebsunterbrechungen, die Tage oder Wochen dauern, Reputationsschäden bei Kunden und Partnern, Meldepflichten gegenüber Behörden und Betroffenen — und die persönliche Haftung des Managements. Ein Bußgeld hat eine Obergrenze. Die Folgekosten eines schwerwiegenden Vorfalls bei einer unvorbereiteten Organisation haben das nicht.

Wie das NISG 2026 mit ISO 27001 und anderen Rahmenwerken zusammenhängt

Eine ISO-27001-Zertifizierung ist unter dem NISG 2026 keine rechtliche Pflicht — aber sie ist wahrscheinlich der praktischste Weg, die Erfüllung der Risikomanagementverpflichtungen nachzuweisen. Das Kontrollwerk der Norm deckt sich weitgehend mit dem, was Artikel 21 verlangt, und eine Zertifizierung durch eine akkreditierte Stelle liefert den Nachweis gegenüber dem Bundesamt für Cybersicherheit.

Wer bereits zertifiziert ist, hat einen echten Vorsprung. Wer von Grund auf aufbaut, muss das jetzt in die Zeitplanung einrechnen.

Zwei angrenzende Regulierungen sollte man ebenfalls im Blick behalten. DORA — der Digital Operational Resilience Act — gilt für Unternehmen im Finanzsektor und ist seit Januar 2025 in Kraft. Wer im Finanzbereich tätig ist, sollte DORA und NISG 2026 als koordiniertes Programm angehen, nicht getrennt voneinander. Der Cyber Resilience Act wiederum führt Cybersicherheitsanforderungen für vernetzte Produkte ein und betrifft Hersteller und Importeure in der gesamten EU.

Das NISG 2026 steht nicht für sich allein. Die Richtung der EU-Regulierung im Bereich Cybersicherheit ist eindeutig: mehr Verpflichtungen, mehr Verantwortlichkeit, mehr Durchsetzung. Wer jetzt eine solide Sicherheitsbasis aufbaut, ist für alles Folgende besser aufgestellt — nicht nur für das NISG 2026.

Was das für Ihre Organisation bedeutet

Das NISG 2026 ist real, der Zeitplan ist enger als er wirkt, und die Managementhaftung verändert die Ausgangslage grundlegend im Vergleich zum alten NISG 2018.

Die Organisationen, die das gut meistern werden, sind jene, die es als Chance begreifen — als Anlass, die Sicherheitsarchitektur zu modernisieren, einen dokumentierten Risikomanagementprozess einzuführen und Kunden und Partnern zu zeigen, dass Sicherheit auf Vorstandsebene gesteuert wird. ISO-27001-Zertifizierung, funktionierende Incident-Response-Fähigkeit, Lieferkettensicherheit: Das sind keine Pflichtübungen für einen Regulator. Das sind die Grundlagen einer Organisation, die mit dem umgehen kann, was kommt.

Die Organisationen, die Schwierigkeiten haben werden, sind jene, die auf mehr Klarheit, ein schärferes Bild oder eine näher rückende Frist warten. Der 1. Oktober 2026 ist bestätigt. Der 31. Dezember 2026 ist die Registrierungsfrist. Der 30. September 2027 ist die Frist für die Selbstauskunft. Die Zeit läuft — und sie wartet nicht darauf, dass man sich entscheidet, das ernst zu nehmen.

Der richtige erste Schritt ist zu verstehen, wo Sie konkret stehen. Sind Sie betroffen? Wo liegt Ihre tatsächliche Lücke gegenüber den NISG-2026-Anforderungen? Wie lange wird es realistisch betrachtet dauern, sie zu schließen? Ein 30-minütiges Gespräch kann diese Fragen beantworten und Ihnen ein klares Bild davon geben, was tatsächlich erforderlich ist — ohne Anwaltsrechnung.

Vollständige IT-Kompetenz für Ihr Unternehmen

Strategische Beratung. Cloud-Migration. IT-Betrieb.

Drop IT on us.
🍪

Cookies

Wir und unsere ausgewählten Partner verwenden Cookies, um Informationen für funktionale Zwecke zu sammeln und Ihre Erfahrung zu verbessern. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Privacy Policy ↗