NIS 2 in Österreich: Was CISOs und Entscheider jetzt wissen müssen

Ab 1. Januar 2026 ist in Österreich das Netz- und Informationssystem­sicherheitsgesetz 2026 (NISG  2026) in Kraft getreten und setzt die EU-Richtlinie NIS‑2 verbindlich um. Informationssicherheitsbeauftragte, IT-Leiter und Unternehmensentscheider müssen die NIS-2 nun umsetzen: Ein umfassender Rechtsrahmen, der die Anforderungen an Cybersicherheit, Risikomanagement und Meldepflichten massiv erweitert. Wer die Umsetzung verschleppt, riskiert Bußgelder in Millionenhöhe.

Breiter Geltungsbereich – viele Unternehmen betroffen

Im Vergleich zur bisherigen NIS-Regelung werden mit dem neuen Gesetz deutlich mehr Unternehmen erfasst. Neben klassischer kritischer Infrastruktur wie Energie, Transport oder Gesundheit fallen nun auch Handel, Produktion, Lebensmittelversorgung, IT-Dienstleister und weitere wirtschaftlich relevante Bereiche unter die Regelungen. Insgesamt sind in Österreich schätzungsweise 3.500 bis 5.000 Unternehmen direkt betroffen, rund 50.000 weitere indirekt über Lieferketten oder Dienstleistungsverhältnisse.

Ein zentraler Unterschied zu früher: Die Verantwortung zur Selbsteinstufung liegt beim Unternehmen selbst. Jede juristische Einheit muss prüfen, ob sie unter NIS‑2 fällt, und sich bei der zuständigen Behörde registrieren. Ein Konzernprivileg gibt es nicht.

Pflichten auf einen Blick

Die Kernanforderungen lassen sich in vier Bereiche gliedern:

1. Risikomanagement: Unternehmen müssen ein dokumentiertes, kontinuierlich überwachtes Risikomanagement-System implementieren. Technische, organisatorische und operative Sicherheitsmaßnahmen sind Pflicht, um die Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme zu gewährleisten.
2. Meldepflichten: Cybervorfälle, die erhebliche Auswirkungen haben könnten, müssen binnen 24 Stunden gemeldet werden. Ergänzende Follow-Up Berichte sind ebenfalls verpflichtend.
3. Registrierung und Berichtswesen: Betroffene Unternehmen müssen sich bei der österreichischen Cybersicherheitsbehörde registrieren und regelmäßig Informationen über Maßnahmen, Wirksamkeit und Sicherheitslage übermitteln.
4. Lieferketten-Sicherheit: Unternehmen müssen Ihr Risikomanagement entlang der gesamten Lieferkette sicherstellen und nachweisen, dass auch Zulieferer Sicherheitsanforderungen erfüllen.

Aufsicht und Sanktionen

Die Aufsicht liegt beim Bundesamt für Cybersicherheit (BMI), das die Registrierung, Prüfungen und Meldeauswertung übernimmt und Berichte an EU-Agenturen wie ENISA weiterleitet. Verstöße gegen NIS‑2 können teuer werden: Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes drohen besonders wichtigen Unternehmen, bei anderen relevanten Unternehmen mindestens 7 Mio. Euro bzw. 2 % des Umsatzes. Außerdem können Geschäftsführer und andere Leitungsorgane persönlich haften, wenn sie ihre Sorgfaltspflichten verletzen.

Zeitplan und Handlungsbedarf

Obwohl das Gesetz bereits in Kraft ist, endet die Umsetzungsfrist erst am 1. Oktober 2026. Bis dahin müssen alle erforderlichen technischen, organisatorischen und dokumentarischen Maßnahmen implementiert sein. Danach beginnt die 12-monatige Frist für Selbstdeklaration und Berichterstattung. Für CISOs und Entscheider bedeutet das: Jetzt planen, jetzt handeln. Frühzeitige Maßnahmen reduzieren nicht nur rechtliche Risiken, sondern erhöhen die Resilienz gegenüber steigenden Cyberbedrohungen.

Fazit

NIS‑2 und das NISG 2026 stellen einen Meilenstein für Cybersicherheit in Österreich dar. Wer die Anforderungen frühzeitig umsetzt, profitiert von klaren Strukturen im Risikomanagement, verbessertem Schutz vor Cyberangriffen und einem rechtlich sicheren Status. Verzögerungen können teuer werden – sowohl finanziell als auch in Bezug auf Reputation und Betrieb. Für Informationssicherheitsbeauftragte und Entscheidungsträger gilt: Priorität setzen, Prozesse prüfen, Maßnahmen umsetzen, denn die Uhr tickt.