{"id":54,"date":"2026-06-11T08:19:57","date_gmt":"2026-06-11T08:19:57","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/11\/nis2-oesterreich-nisg-2026\/"},"modified":"2026-06-11T08:19:57","modified_gmt":"2026-06-11T08:19:57","slug":"nis2-oesterreich-nisg-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/2026\/06\/11\/nis2-oesterreich-nisg-2026\/","title":{"rendered":"NIS2 \u00d6sterreich: 5.000 Betroffene, EU-Verfahren [2026]"},"content":{"rendered":"\n

\u00d6sterreich hat die wichtigste Cybersicherheits-Reform seit Jahren mit Versp\u00e4tung umgesetzt. Die EU-Frist zur Umsetzung der NIS2-Richtlinie lief am 17. Oktober 2024 ab. Erst am 23. Dezember 2025 wurde das \u00f6sterreichische Umsetzungsgesetz, das Netz- und Informationssystemsicherheitsgesetz (NISG 2026), kundgemacht. In Kraft tritt es am 1. Oktober 2026. In der Zwischenzeit leitete die Europ\u00e4ische Kommission ein Vertragsverletzungsverfahren ein und schickte am 7. Mai 2025 eine mit Gr\u00fcnden versehene Stellungnahme nach Wien. F\u00fcr rund 5.000 Unternehmen und Organisationen plus etwa 50.000 Zulieferer beginnt damit ein neues Pflichtenregime, abgesichert durch Strafen von bis zu 10 Millionen Euro.<\/p>\n\n\n\n

Diese Analyse ordnet die Fakten ein: den Zeitplan der versp\u00e4teten Umsetzung, die Zahl der betroffenen Betriebe, das Strafregime, die Rolle des neuen Bundesamts f\u00fcr Cybersicherheit und die Marktauswirkungen f\u00fcr die \u00f6sterreichische Wirtschaft. NIS2 \u00d6sterreich<\/strong> ist nicht nur ein juristisches Detail, sondern ver\u00e4ndert, wie Tausende Betriebe Risiken managen, Vorf\u00e4lle melden und ihre Lieferketten absichern.<\/p>\n\n\n\n

NIS2 \u00d6sterreich: Was die Richtlinie konkret vorschreibt<\/h2>\n\n\n\n

Die NIS2-Richtlinie (EU 2022\/2555) ersetzt die erste NIS-Richtlinie aus 2016 und weitet den Geltungsbereich drastisch aus. Statt rund 1.000 zuvor benannter Betreiber unter dem alten NISG 2018 fallen unter das neue Regime nach Branchensch\u00e4tzungen rund 5.000 Organisationen in \u00d6sterreich, einige Quellen nennen rund 4.000 Unternehmen. Dazu kommen etwa 50.000 Zulieferer, die \u00fcber Lieferketten-Anforderungen mittelbar betroffen sind. Die Richtlinie unterscheidet zwei Kategorien: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities).<\/p>\n\n\n\n

Erfasst werden 18 Sektoren, darunter Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, \u00f6ffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung. Die Gr\u00f6\u00dfenschwelle liegt grunds\u00e4tzlich bei mittleren Unternehmen ab 50 Besch\u00e4ftigten oder 10 Millionen Euro Jahresumsatz. Damit rutschen erstmals zahlreiche mittelst\u00e4ndische Betriebe in den Pflichtenkreis, die bisher au\u00dferhalb jeder regulatorischen Cybersicherheits-Aufsicht standen.<\/p>\n\n\n\n

Die zentralen Pflichten umfassen ein Risikomanagement nach dem Stand der Technik, technische und organisatorische Ma\u00dfnahmen, eine verpflichtende Meldung erheblicher Sicherheitsvorf\u00e4lle, Anforderungen an die Lieferkettensicherheit sowie eine ausdr\u00fcckliche Verantwortung der Gesch\u00e4ftsleitung. Leitungsorgane m\u00fcssen die Ma\u00dfnahmen genehmigen und \u00fcberwachen, und sie haften pers\u00f6nlich f\u00fcr Vers\u00e4umnisse. Genau dieser Punkt, die \u00dcbertragung der Verantwortung von der IT-Abteilung in die Vorstandsetage, gilt als der sch\u00e4rfste Hebel der Richtlinie.<\/p>\n\n\n\n

Versp\u00e4tete Umsetzung: Warum \u00d6sterreich die EU-Frist riss<\/h2>\n\n\n\n

Der Weg zum NISG 2026 war steinig. Ein erster Entwurf, das NISG 2024, scheiterte am 3. Juli 2024 im Nationalrat an der n\u00f6tigen Zweidrittelmehrheit. Verfassungsbestimmungen im Gesetz erforderten die Zustimmung der Opposition, die ausblieb. Damit stand \u00d6sterreich am Stichtag 17. Oktober 2024 ohne vollst\u00e4ndige Umsetzung da. Die EU-Frist verstrich, ohne dass ein g\u00fcltiges Gesetz in Kraft war.<\/p>\n\n\n\n

Die Europ\u00e4ische Kommission reagierte rasch. Bereits kurz nach Fristablauf wurden formelle Schritte gegen mehrere Mitgliedstaaten eingeleitet, die NIS2 nicht fristgerecht notifiziert hatten. \u00d6sterreich erhielt am 7. Mai 2025 eine mit Gr\u00fcnden versehene Stellungnahme, die zweite Stufe des Vertragsverletzungsverfahrens. Sie ist die letzte Warnung, bevor die Kommission den Europ\u00e4ischen Gerichtshof anrufen und finanzielle Sanktionen beantragen kann. Frankreich, das vor demselben Problem stand, sah sich der Befassung des Gerichtshofs gegen\u00fcber, ein Szenario, das auch \u00d6sterreich drohte.<\/p>\n\n\n\n

Erst nach der Nationalratswahl und der Regierungsbildung kam Bewegung in das Dossier. Das \u00fcberarbeitete Gesetz wurde schlie\u00dflich als NISG 2026 am 23. Dezember 2025 kundgemacht, mit Inkrafttreten zum 1. Oktober 2026. Bis dahin galt das alte NISG 2018 als \u00dcbergangsregime weiter. F\u00fcr betroffene Betriebe bedeutete die H\u00e4ngepartie \u00fcber ein Jahr Rechtsunsicherheit dar\u00fcber, welche konkreten Pflichten ab wann gelten w\u00fcrden.<\/p>\n\n\n\n

Zeitleiste: Der Weg zum NISG 2026<\/h2>\n\n\n\n
\n
Datum<\/th>Ereignis<\/th><\/tr><\/thead>
16. J\u00e4nner 2023<\/td>NIS2-Richtlinie (EU 2022\/2555) tritt EU-weit in Kraft<\/td><\/tr>\n
3. Juli 2024<\/td>Erster Entwurf NISG 2024 scheitert im Nationalrat<\/td><\/tr>\n
17. Oktober 2024<\/td>EU-Umsetzungsfrist l\u00e4uft ab, \u00d6sterreich s\u00e4umig<\/td><\/tr>\n
Oktober 2024<\/td>Kommission leitet Vertragsverletzungsverfahren ein<\/td><\/tr>\n
7. Mai 2025<\/td>Mit Gr\u00fcnden versehene Stellungnahme der Kommission an Wien<\/td><\/tr>\n
23. Dezember 2025<\/td>NISG 2026 wird kundgemacht<\/td><\/tr>\n
1. Oktober 2026<\/td>NISG 2026 tritt in Kraft<\/td><\/tr>\n
31. Dezember 2026<\/td>Registrierungsfrist f\u00fcr betroffene Einrichtungen endet<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

5.000 betroffene Einrichtungen: Wer jetzt handeln muss<\/h2>\n\n\n\n

Die schiere Ausweitung des Geltungsbereichs ist die zentrale Neuerung. Unter dem alten NISG 2018 waren rund 1.000 Betreiber wesentlicher Dienste benannt. Das NISG 2026 erfasst nach \u00f6sterreichischen Branchensch\u00e4tzungen rund 5.000 Organisationen und Unternehmen direkt, eine Verf\u00fcnffachung. Andere Sch\u00e4tzungen aus dem Umsetzungsprozess nennen rund 4.000 Unternehmen. Beide Zahlen sind Sch\u00e4tzungen sekund\u00e4rer Quellen, nicht ein einziger amtlicher Endwert, weil die genaue Zuordnung von der Selbstidentifikation der Betriebe abh\u00e4ngt.<\/p>\n\n\n\n

Der entscheidende Mechanismus hei\u00dft Selbstidentifikation. Anders als unter dem alten Recht, wo Beh\u00f6rden Betreiber einzeln benannten, m\u00fcssen Unternehmen k\u00fcnftig selbst pr\u00fcfen, ob sie unter NIS2 fallen, und sich registrieren. Nach Inkrafttreten haben Einrichtungen drei Monate Zeit f\u00fcr die Registrierung, mit einer Frist bis 31. Dezember 2026. Wer die Pr\u00fcfung unterl\u00e4sst, riskiert dennoch die volle Haftung, denn Unwissenheit sch\u00fctzt nicht vor den Pflichten.<\/p>\n\n\n\n

Besonders heikel ist der Lieferketten-Effekt. Mit rund 50.000 mittelbar betroffenen Zulieferern reicht die Wirkung weit \u00fcber die direkt regulierten Einrichtungen hinaus. Ein gro\u00dfes reguliertes Energie- oder Gesundheitsunternehmen wird seine Vertragspartner vertraglich zu NIS2-konformen Sicherheitsstandards verpflichten. So wandert die Pflicht \u00fcber Vertr\u00e4ge auch zu kleinen Betrieben, die formal unter der Gr\u00f6\u00dfenschwelle liegen. F\u00fcr viele Kleinst- und Kleinunternehmen wird Cybersicherheit damit erstmals zur Gesch\u00e4ftsbedingung.<\/p>\n\n\n\n

Strafen bis 10 Millionen Euro: Das neue Sanktionsregime<\/h2>\n\n\n\n

Das Sanktionsregime markiert den deutlichsten Bruch mit der Vergangenheit. F\u00fcr wesentliche Einrichtungen drohen Geldbu\u00dfen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag h\u00f6her ist. F\u00fcr wichtige Einrichtungen nennt eine \u00f6sterreichische Quelle eine Schwelle von mindestens 7 Millionen Euro oder 2 Prozent des Umsatzes. Diese Gr\u00f6\u00dfenordnungen orientieren sich bewusst an der DSGVO, deren Bu\u00dfgelder die Compliance-Landschaft seit 2018 ver\u00e4ndert haben.<\/p>\n\n\n\n

Neu ist die pers\u00f6nliche Verantwortung der Gesch\u00e4ftsleitung. Vorst\u00e4nde und Gesch\u00e4ftsf\u00fchrer m\u00fcssen die Cybersicherheitsma\u00dfnahmen genehmigen, ihre Umsetzung \u00fcberwachen und sich verpflichtend schulen lassen. Bei Vers\u00e4umnissen k\u00f6nnen Aufsichtsbeh\u00f6rden die Leitungsorgane direkt in die Pflicht nehmen. Diese Verlagerung der Haftung von der Technik in die Chefetage ist der Grund, warum NIS2 in vielen \u00f6sterreichischen Aufsichtsr\u00e4ten 2025 und 2026 zum Tagesordnungspunkt wurde.<\/p>\n\n\n\n

Zu den Sanktionen treten Aufsichtsbefugnisse: Die Beh\u00f6rde kann Audits anordnen, Anweisungen erteilen und im Extremfall die vor\u00fcbergehende Aussetzung von Zertifizierungen oder Leitungsfunktionen verlangen. Die Meldepflicht ist eng getaktet. Erhebliche Vorf\u00e4lle sind binnen 24 Stunden als Fr\u00fchwarnung, binnen 72 Stunden als vollst\u00e4ndige Meldung und binnen eines Monats als Abschlussbericht zu kommunizieren. Wer diese Fristen rei\u00dft, riskiert zus\u00e4tzliche Sanktionen.<\/p>\n\n\n\n

Bundesamt f\u00fcr Cybersicherheit: Die neue Aufsichtsstruktur<\/h2>\n\n\n\n

Das NISG 2026 schafft eine neue nationale Cybersicherheitsbeh\u00f6rde. Nach den vorliegenden Umsetzungsdokumenten wird ein Bundesamt f\u00fcr Cybersicherheit eingerichtet, das dem Bundesministerium f\u00fcr Inneres (BMI) nachgeordnet ist und die Aufsicht \u00fcber die NIS2-Pflichten \u00fcbernimmt. Damit b\u00fcndelt \u00d6sterreich die Aufsicht st\u00e4rker als zuvor, als Zust\u00e4ndigkeiten zwischen mehreren Stellen verteilt waren.<\/p>\n\n\n\n

Eine zentrale operative Rolle beh\u00e4lt CERT.at, das nationale Computer Emergency Response Team, das gemeinsam mit GovCERT.at die technische Vorfallsbearbeitung tr\u00e4gt. CERT.at fungiert als Drehscheibe f\u00fcr Vorfallsmeldungen und Warnungen. Sicherheitsvorf\u00e4lle k\u00f6nnen \u00fcber das NISG-Meldeportal oder per E-Mail gemeldet werden. Bereits 2024 erarbeitete CERT.at gemeinsam mit mehreren Ministerien eine nationale Coordinated-Vulnerability-Disclosure-Policy (CVD), die 2025 von der Cybersicherheits-Steuerungsgruppe offiziell angenommen wurde.<\/p>\n\n\n\n

Otmar Lendl, langj\u00e4hriger technischer Leiter bei CERT.at, betont seit Jahren, dass Vorfallsmeldungen nur dann n\u00fctzen, wenn sie schnell, strukturiert und ehrlich erfolgen. Seine Position l\u00e4sst sich so zusammenfassen: Eine Meldepflicht ohne gelebte Meldekultur bleibt Papier. Die Herausforderung f\u00fcr das neue Bundesamt liegt darin, aus tausenden neu meldepflichtigen Betrieben verwertbare Lagebilder zu formen, statt in einer Flut von Pflichtmeldungen unterzugehen.<\/p>\n\n\n\n

Bedrohungslage \u00d6sterreich: Cybercrime steigt weiter<\/h2>\n\n\n\n

Die Dringlichkeit der Reform spiegelt sich in den Kriminalstatistiken. Der Cybercrime-Report des BMI wies f\u00fcr 2023 insgesamt 65.864 angezeigte Cyberdelikte aus, bei einer Aufkl\u00e4rungsquote von 31,0 Prozent. F\u00fcr 2024 berichten \u00f6sterreichische Stellen einen weiteren Anstieg auf rund 74.800 Anzeigen. Die Aufkl\u00e4rungsquote bleibt damit unter einem Drittel, ein struktureller Befund: Cyberkriminalit\u00e4t operiert grenz\u00fcberschreitend, anonymisiert und mit hoher Professionalisierung.<\/p>\n\n\n\n

Auch auf Unternehmensebene ist der Druck hoch. Laut dem \u00f6sterreichischen Cybersicherheitsmarkt-Leitfaden der US-Beh\u00f6rde International Trade Administration erleben 14 Prozent der \u00f6sterreichischen Unternehmen 2024 t\u00e4gliche Cyberangriffe. 81 Prozent der Betriebe nannten im KPMG-Cybersicherheitsbericht 2025 Schadsoftware und Spear-Phishing als die wichtigsten Angriffsarten. Zwei Drittel der \u00f6sterreichischen Unternehmen sind gegen Cyberrisiken nicht versichert, ein Befund, der die finanzielle Verwundbarkeit unterstreicht.<\/p>\n\n\n\n

Die globale Dimension zeigen die Zahlen von FortiGuard Labs aus dem Bedrohungsbericht 2025: rund 36.000 b\u00f6sartige Scans pro Sekunde und \u00fcber 97 Milliarden Ausnutzungsversuche im Jahr 2024. Angreifer zielen weiterhin auf jahrealte, ungepatchte Schwachstellen und nutzen zunehmend legitime Systemwerkzeuge, um nach einem Einbruch unentdeckt zu bleiben. F\u00fcr \u00f6sterreichische IT-Teams hei\u00dft das: Patch-Management und Angriffsfl\u00e4chen-Reduktion sind keine K\u00fcr, sondern Pflicht.<\/p>\n\n\n\n

\u00d6sterreichische Cyber-Fakten 2024 bis 2026 im \u00dcberblick<\/h2>\n\n\n\n
\n
Kennzahl<\/th>Wert<\/th>Quelle \/ Jahr<\/th><\/tr><\/thead>
Angezeigte Cyberdelikte \u00d6sterreich<\/td>65.864<\/td>BMI Cybercrime-Report 2023<\/td><\/tr>\n
Angezeigte Cyberdelikte \u00d6sterreich<\/td>rund 74.800<\/td>BMI \/ 2024<\/td><\/tr>\n
Aufkl\u00e4rungsquote Cybercrime<\/td>31,0 %<\/td>BMI 2023<\/td><\/tr>\n
Unternehmen mit t\u00e4glichen Angriffen<\/td>14 %<\/td>ITA Austria Guide \/ 2024<\/td><\/tr>\n
Top-Angriffsart Malware & Spear-Phishing<\/td>81 %<\/td>KPMG Bericht 2025<\/td><\/tr>\n
Unternehmen ohne Cyberversicherung<\/td>zwei Drittel<\/td>ITA Austria Guide<\/td><\/tr>\n
Cybersicherheitsmarkt \u00d6sterreich 2025<\/td>9,35 Mrd. USD<\/td>ITA \/ 2025<\/td><\/tr>\n
Prognose Markt 2029<\/td>11,4 Mrd. USD<\/td>ITA \/ 2029<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Marktauswirkungen: 9,35 Milliarden Dollar und ein Beraterboom<\/h2>\n\n\n\n

NIS2 wirkt als Konjunkturprogramm f\u00fcr die Sicherheitsbranche. Der \u00f6sterreichische Cybersicherheitsmarkt erreicht laut International Trade Administration 2025 ein Volumen von 9,35 Milliarden US-Dollar und soll bis 2029 auf rund 11,4 Milliarden Dollar wachsen. Die regulatorische Pflicht zwingt tausende Betriebe, Budgets f\u00fcr Sicherheitssoftware, Audits, Managed-Security-Dienste und Beratung freizugeben, die zuvor optional waren.<\/p>\n\n\n\n

Besonders der \u00f6sterreichische Mittelstand steht vor einer Investitionswelle. Wer bisher ohne dediziertes Sicherheitsbudget auskam, braucht nun Risikomanagement, Notfallpl\u00e4ne, Backups, Zugriffskontrollen und dokumentierte Prozesse. Viele KMU greifen mangels eigener Fachkr\u00e4fte auf externe Dienstleister zur\u00fcck. Der bekannte Fachkr\u00e4ftemangel in der IT-Sicherheit versch\u00e4rft sich dadurch zus\u00e4tzlich, und qualifizierte Beratungskapazit\u00e4t wird zum Engpass.<\/p>\n\n\n\n

Die Wirtschaftskammer \u00d6sterreich (WKO) warnt seit Beginn des Gesetzgebungsprozesses vor einer \u00dcberforderung kleiner Betriebe. Aus Sicht der Kammer ist die Sto\u00dfrichtung der Richtlinie richtig, doch der b\u00fcrokratische Aufwand und die Haftungsrisiken treffen Mittelst\u00e4ndler ohne eigene IT-Abteilung hart. Die WKO fordert praxistaugliche Leitf\u00e4den, \u00dcbergangsfristen und Unterst\u00fctzung, damit aus der Sicherheitspflicht kein Wettbewerbsnachteil wird. Genau hier liegt das Spannungsfeld der Umsetzung: Schutzniveau erh\u00f6hen, ohne die Realwirtschaft zu \u00fcberlasten.<\/p>\n\n\n\n

Stimmen aus der Branche: Was Experten sagen<\/h2>\n\n\n\n

Joe Pichlmayr, Gesch\u00e4ftsf\u00fchrer des \u00f6sterreichischen Sicherheitsunternehmens Ikarus und langj\u00e4hrige Stimme der Initiative Cyber Security Austria, sieht in NIS2 weniger ein B\u00fcrokratieprojekt als eine \u00fcberf\u00e4llige Professionalisierung. Sein Standpunkt: Sicherheit d\u00fcrfe nicht l\u00e4nger als Kostenfaktor, sondern m\u00fcsse als Voraussetzung f\u00fcr Gesch\u00e4ftsf\u00e4higkeit verstanden werden. Wer Lieferketten betreibe, k\u00f6nne sich blinde Flecken bei Partnern nicht mehr leisten.<\/p>\n\n\n\n

Aus der akademischen Sicherheitsforschung kommt erg\u00e4nzend der Hinweis, dass Compliance allein keine Sicherheit schafft. Forschungseinrichtungen wie SBA Research in Wien betonen, dass dokumentierte Prozesse und gelebte Praxis auseinanderfallen k\u00f6nnen. Ein Risikomanagement, das nur auf dem Papier existiert, h\u00e4lt keinem realen Angriff stand. Die eigentliche Bew\u00e4hrungsprobe von NIS2 liegt daher nicht im Inkrafttreten, sondern in der sp\u00e4teren Aufsichtspraxis und in echten Audits.<\/p>\n\n\n\n

Auf europ\u00e4ischer Ebene macht die EU-Agentur f\u00fcr Cybersicherheit (ENISA) seit Jahren deutlich, dass Lieferketten und kritische Infrastruktur die verwundbarsten Punkte sind. Die Logik von NIS2 folgt dieser Diagnose: Ein Sicherheitsniveau ist nur so stark wie sein schw\u00e4chstes Glied. Die einheitliche europ\u00e4ische Vorgabe soll verhindern, dass Angreifer sich das Land mit den laxesten Regeln aussuchen. \u00d6sterreichs versp\u00e4tete Umsetzung hat genau dieses Schlupfloch ein Jahr l\u00e4nger offengehalten.<\/p>\n\n\n\n

\u00d6sterreich im EU-Vergleich: Wer schneller war<\/h2>\n\n\n\n

\u00d6sterreich ist mit der Versp\u00e4tung nicht allein, aber auch kein Vorreiter. Eine ganze Reihe von EU-Mitgliedstaaten verfehlte den Stichtag 17. Oktober 2024. Die Kommission er\u00f6ffnete im Laufe des Jahres 2025 Verfahren gegen zahlreiche L\u00e4nder. Frankreich etwa rang ebenfalls lange um die Umsetzung und sah sich mit rund 15.000 betroffenen Einrichtungen einer noch gr\u00f6\u00dferen Zahl gegen\u00fcber, w\u00e4hrend Deutschland sein Umsetzungsgesetz wiederholt verschob.<\/p>\n\n\n\n

Der Vergleich zeigt ein gesamteurop\u00e4isches Umsetzungsproblem: Die NIS2-Richtlinie ist anspruchsvoll, greift tief in nationale Verwaltungsstrukturen ein und verlangt politischen Konsens, der in mehreren L\u00e4ndern fehlte. \u00d6sterreichs spezifische H\u00fcrde war die f\u00fcr die Verfassungsbestimmungen n\u00f6tige Zweidrittelmehrheit, die das erste Gesetz zu Fall brachte. L\u00e4nder ohne diese verfassungsrechtliche Schwelle taten sich leichter.<\/p>\n\n\n\n

F\u00fcr \u00d6sterreich liegt der Vorteil der sp\u00e4ten Umsetzung darin, aus den Erfahrungen schnellerer Staaten zu lernen. Der Nachteil ist die Rechtsunsicherheit, die betroffene Betriebe \u00fcber ein Jahr lang aushalten mussten, sowie das laufende Vertragsverletzungsverfahren mit der Aussicht auf finanzielle Sanktionen. Mit dem Inkrafttreten zum 1. Oktober 2026 schlie\u00dft sich die L\u00fccke, doch der Reputationsschaden bleibt: Bei einer Sicherheitsreform Schlusslicht zu sein, passt schlecht zu \u00d6sterreichs Anspruch als digitaler Wirtschaftsstandort.<\/p>\n\n\n\n

Praktische Schritte: So bereiten sich Betriebe vor<\/h2>\n\n\n\n

Betroffenheit pr\u00fcfen und registrieren<\/h3>\n\n\n\n

Der erste Schritt ist die ehrliche Selbsteinsch\u00e4tzung: F\u00e4llt das Unternehmen nach Sektor und Gr\u00f6\u00dfe unter NIS2? Wer betroffen ist, muss sich nach Inkrafttreten innerhalb von drei Monaten registrieren, mit der Frist 31. Dezember 2026. Auch Betriebe, die als Zulieferer regulierter Einrichtungen agieren, sollten ihre vertraglichen Sicherheitspflichten pr\u00fcfen, selbst wenn sie formal unter der Schwelle liegen.<\/p>\n\n\n\n

Risikomanagement und Meldewege aufbauen<\/h3>\n\n\n\n

Kern der Compliance ist ein dokumentiertes Risikomanagement: Asset-Inventar, Schwachstellenmanagement, Zugriffskontrollen, Multi-Faktor-Authentifizierung, Verschl\u00fcsselung, Backups und ein getesteter Notfallplan. Ebenso wichtig sind klare Meldewege, damit ein erheblicher Vorfall binnen 24 Stunden als Fr\u00fchwarnung an CERT.at gemeldet werden kann. Gesch\u00e4ftsf\u00fchrung und Vorstand m\u00fcssen die Ma\u00dfnahmen formal genehmigen und sich schulen lassen.<\/p>\n\n\n\n

Eine bew\u00e4hrte Orientierung bieten etablierte Rahmenwerke wie ISO 27001 oder das BSI-Grundschutz-Kompendium. Wer bereits zertifiziert ist, deckt einen Gro\u00dfteil der NIS2-Anforderungen ab. F\u00fcr alle anderen empfiehlt sich ein gestuftes Vorgehen: zuerst die kritischsten Systeme absichern, dann die Prozesse dokumentieren, schlie\u00dflich die Lieferkette einbinden. Wichtig ist, fr\u00fch zu beginnen, denn Beratungskapazit\u00e4t wird knapp, je n\u00e4her die Fristen r\u00fccken.<\/p>\n\n\n\n

Prognosen: Wie sich NIS2 in \u00d6sterreich entwickeln wird<\/h2>\n\n\n\n

Erstens: Das Vertragsverletzungsverfahren d\u00fcrfte mit dem Inkrafttreten des NISG 2026 zum 1. Oktober 2026 eingestellt werden, sofern \u00d6sterreich die vollst\u00e4ndige Umsetzung notifiziert. Eine Befassung des Europ\u00e4ischen Gerichtshofs mit Strafzahlung wird damit unwahrscheinlich, bleibt aber bis zur formalen Best\u00e4tigung ein Restrisiko.<\/p>\n\n\n\n

Zweitens: Die Zahl der gemeldeten Sicherheitsvorf\u00e4lle wird 2027 sprunghaft steigen, nicht weil mehr passiert, sondern weil erstmals tausende Betriebe meldepflichtig sind. CERT.at und das neue Bundesamt stehen vor der Aufgabe, diese Datenflut in verwertbare Lagebilder zu \u00fcbersetzen. Drittens: Die Cyberversicherung wird zum Wachstumsmarkt, weil regulierte Betriebe Restrisiken absichern wollen und Versicherer NIS2-Konformit\u00e4t zur Voraussetzung machen.<\/p>\n\n\n\n

Viertens: Der Druck auf Lieferketten wird die eigentliche Breitenwirkung entfalten. \u00dcber vertragliche Weitergabe erreichen die Anforderungen die rund 50.000 Zulieferer und damit weite Teile der \u00f6sterreichischen KMU-Landschaft. F\u00fcnftens: Erste Bu\u00dfgeldverfahren werden voraussichtlich nicht vor 2027 oder 2028 sichtbar, da Beh\u00f6rden zun\u00e4chst auf Beratung und Nachbesserung setzen d\u00fcrften, bevor die volle H\u00e4rte der 10-Millionen-Euro-Strafen zum Tragen kommt.<\/p>\n\n\n\n

H\u00e4ufige Fragen zu NIS2 in \u00d6sterreich (FAQ)<\/h2>\n\n\n\n

Wann tritt NIS2 in \u00d6sterreich in Kraft?<\/h3>\n\n\n\n

Das \u00f6sterreichische Umsetzungsgesetz NISG 2026 wurde am 23. Dezember 2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft. Bis dahin galt das alte NISG 2018 weiter. Betroffene Einrichtungen m\u00fcssen sich bis 31. Dezember 2026 registrieren.<\/p>\n\n\n\n

Wie viele Unternehmen sind von NIS2 in \u00d6sterreich betroffen?<\/h3>\n\n\n\n

Sch\u00e4tzungen reichen von rund 4.000 bis 5.000 direkt betroffenen Organisationen, plus etwa 50.000 mittelbar betroffenen Zulieferern. Unter dem alten NISG 2018 waren es nur rund 1.000 benannte Betreiber. Die genaue Zahl h\u00e4ngt von der Selbstidentifikation der Betriebe ab.<\/p>\n\n\n\n

Wie hoch sind die Strafen bei NIS2-Verst\u00f6\u00dfen?<\/h3>\n\n\n\n

Wesentliche Einrichtungen riskieren Geldbu\u00dfen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. F\u00fcr wichtige Einrichtungen nennt eine \u00f6sterreichische Quelle eine Schwelle von mindestens 7 Millionen Euro oder 2 Prozent des Umsatzes. Zus\u00e4tzlich haftet die Gesch\u00e4ftsleitung pers\u00f6nlich.<\/p>\n\n\n\n

Warum hat \u00d6sterreich die EU-Frist verpasst?<\/h3>\n\n\n\n

Der erste Entwurf NISG 2024 scheiterte am 3. Juli 2024 im Nationalrat an der f\u00fcr die Verfassungsbestimmungen n\u00f6tigen Zweidrittelmehrheit. Damit stand am Stichtag 17. Oktober 2024 kein g\u00fcltiges Gesetz. Die EU-Kommission leitete daraufhin ein Vertragsverletzungsverfahren ein und schickte am 7. Mai 2025 eine mit Gr\u00fcnden versehene Stellungnahme.<\/p>\n\n\n\n

Wer ist die zust\u00e4ndige Beh\u00f6rde f\u00fcr NIS2 in \u00d6sterreich?<\/h3>\n\n\n\n

Das NISG 2026 richtet ein neues Bundesamt f\u00fcr Cybersicherheit ein, das dem Bundesministerium f\u00fcr Inneres (BMI) nachgeordnet ist. Die operative Vorfallsbearbeitung tragen CERT.at und GovCERT.at. Vorf\u00e4lle lassen sich \u00fcber das NISG-Meldeportal oder per E-Mail melden.<\/p>\n\n\n\n

Was m\u00fcssen betroffene Unternehmen jetzt tun?<\/h3>\n\n\n\n

Zuerst die eigene Betroffenheit nach Sektor und Gr\u00f6\u00dfe pr\u00fcfen, dann registrieren und ein dokumentiertes Risikomanagement aufbauen: Asset-Inventar, Zugriffskontrollen, Multi-Faktor-Authentifizierung, Backups und Notfallpl\u00e4ne. Die Gesch\u00e4ftsleitung muss die Ma\u00dfnahmen genehmigen. Wer bereits ISO 27001 zertifiziert ist, deckt viele Anforderungen ab.<\/p>\n\n\n\n

Verwandte Beitr\u00e4ge<\/h3>\n\n\n\n