Ist mein KMU von NIS2 in Österreich betroffen?

Direkt betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 definierten Sektoren (Energie, Transport, Gesundheit, digitale Infrastruktur u.a.). Indirekt betroffen sind Zulieferer dieser Unternehmen, die Cybersecurity-Nachweise erbringen müssen.

NIS2 in Österreich — NISG 2026 Pflichten für KMU

Q: Welche Strafen drohen bei Verstößen gegen das NISG 2026?

Wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4% des Umsatzes. Zusätzlich droht persönliche Haftung der Geschäftsführung.

Q: Was ist der Unterschied zwischen NIS2 in Deutschland und Österreich?

Deutschland hat das NIS2UmsuCG am 6.12.2025 ohne Übergangsfrist in Kraft gesetzt. Österreich gewährt mit dem NISG 2026 (ab 1.10.2026) eine 9-monatige Vorbereitungszeit und setzt auf eine zentrale Cybersicherheitsbehörde statt mehrerer Stellen.

Q: Was muss ich als Zulieferer eines NIS2-betroffenen Unternehmens tun?

Auch wenn Ihr Unternehmen nicht direkt unter NIS2 fällt, werden Ihre Kunden Cybersecurity-Nachweise verlangen — etwa dokumentierte Sicherheitsrichtlinien, Incident-Response-Pläne und regelmäßige Risikobewertungen. Wer diese Nachweise nicht liefern kann, riskiert Aufträge zu verlieren.

Am 1. Oktober 2026 tritt das NISG 2026 in Kraft — Österreichs Umsetzung der europäischen NIS2-Richtlinie. Rund 4.000 Unternehmen sind direkt betroffen. Für tausende Zulieferer ändert sich ebenfalls alles. Die Uhr läuft.

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die bisher umfassendste Cybersecurity-Regulierung der EU. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich dramatisch: von rund 100 betroffenen Unternehmen in Österreich auf etwa 4.000. Wer bisher glaubte, Cybersicherheit sei nur ein Thema für Konzerne und Betreiber kritischer Infrastruktur, wird umdenken müssen.

Das österreichische Umsetzungsgesetz — das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) — wurde am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Es errichtet das Bundesamt für Cybersicherheit als zentrale Behörde und führt ein zweistufiges Aufsichts- und Prüfregime ein.

Kernfakten auf einen Blick: Das NISG 2026 tritt am 1.10.2026 in Kraft. Registrierung bis 31.12.2026. Selbstdeklaration bis 31.12.2027. Nachweispflicht ab frühestens 1.10.2028. Strafen bis 10 Mio. EUR oder 2% des Jahresumsatzes.

Zeitplan — die drei entscheidenden Fristen

Das NISG 2026 gibt betroffenen Unternehmen einen stufenweisen Zeitplan vor. Im Gegensatz zu Deutschland, wo das NIS2UmsuCG am 6. Dezember 2025 sofort und ohne Übergangsfrist in Kraft trat, gewährt Österreich eine 9-monatige Vorbereitungszeit. Diese Zeit sollten Sie nutzen — nicht verschlafen.

1. Oktober 2026 — Inkrafttreten: Ab diesem Tag gelten die neuen Pflichten. Das NISG 2026 ist geltendes Recht. Die Cybersicherheitsbehörde nimmt ihre Arbeit auf.
31. Dezember 2026 — Registrierungspflicht: Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkrafttreten bei der Cybersicherheitsbehörde registrieren. Wer die Frist versäumt, verstößt bereits gegen das Gesetz.
31. Dezember 2027 — Selbstdeklaration: Innerhalb von 12 Monaten nach der Registrierungspflicht müssen Unternehmen eine Selbstdeklaration über ihre umgesetzten Risikomanagementmaßnahmen bei der Behörde einreichen.

Frühestens ab dem 1. Oktober 2028 — also zwei Jahre nach Inkrafttreten — kann die Cybersicherheitsbehörde Unternehmen aktiv zur Nachweiserbringung auffordern. Wer bis dahin seine Hausaufgaben nicht gemacht hat, steht mit leeren Händen da.

Wer ist betroffen?

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities). Beide unterliegen den Cybersecurity-Pflichten — der Unterschied liegt im Aufsichtsregime und der Strafhöhe.

Direkt betroffene Sektoren (18 Sektoren)

Hohe Kritikalität: Energie (Strom, Gas, Öl, Fernwärme), Transport (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung, Weltraum
Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung

Größenschwelle: Betroffen sind Unternehmen ab 50 Mitarbeitern oder mit einem Jahresumsatz bzw. einer Bilanzsumme von mehr als 10 Mio. Euro. Bestimmte Sektoren (DNS-Dienste, TLD-Registrare, qualifizierte Vertrauensdiensteanbieter) sind unabhängig von der Größe betroffen.

Indirekt betroffen: Zulieferer

Hier wird es für KMU wirklich relevant. Auch wenn Ihr Unternehmen nicht direkt unter die 18 Sektoren fällt: Wenn Sie Zulieferer, IT-Dienstleister oder Geschäftspartner eines NIS2-betroffenen Unternehmens sind, werden Sie Cybersecurity-Nachweise liefern müssen. Denn NIS2 verpflichtet betroffene Unternehmen zur Supply Chain Security — und die beginnt bei Ihnen.

Was müssen betroffene Unternehmen tun?

Das NISG 2026 definiert fünf zentrale Pflichtenbereiche. Keiner davon ist optional.

Risikomanagement: Systematische Identifikation, Bewertung und Behandlung von Cybersicherheitsrisiken. Dazu gehören technische Maßnahmen (Firewalls, Verschlüsselung, Zugangskontrollen) ebenso wie organisatorische (Richtlinien, Verantwortlichkeiten, Prozesse). Kavra Shield unterstützt Sie dabei mit einem strukturierten Risikobewertungs-Framework.
Incident Reporting: Cybervorfälle müssen innerhalb von 24 Stunden an die Cybersicherheitsbehörde gemeldet werden. Innerhalb von 72 Stunden folgt ein detaillierter Bericht. Mehr dazu im nächsten Abschnitt.
Supply Chain Security: Sicherheitsanforderungen an Lieferanten und Dienstleister müssen vertraglich verankert und überprüft werden.
Business Continuity: Notfallpläne, Backup-Strategien und Wiederherstellungsverfahren müssen dokumentiert und regelmäßig getestet werden.
Mitarbeiter-Schulung: Alle Mitarbeiter — einschließlich der Geschäftsführung — müssen regelmäßig in Cybersicherheit geschult werden. Die Geschäftsleitung trägt die persönliche Verantwortung für die Genehmigung der Risikomanagementmaßnahmen.

Die 24-Stunden-Meldepflicht

Die Incident-Reporting-Pflicht ist eine der einschneidendsten Neuerungen. Bisher gab es in Österreich keine vergleichbare Frist. Ab dem 1. Oktober 2026 gilt:

24 Stunden: Erste Meldung (Frühwarnung) an die Cybersicherheitsbehörde — was ist passiert, erste Einschätzung der Auswirkungen.

72 Stunden: Detaillierter Bericht — Schweregrad, Auswirkungen, ergriffene Maßnahmen, Indikatoren für eine Kompromittierung.

1 Monat: Abschlussbericht — vollständige Analyse des Vorfalls, Ursachen, langfristige Maßnahmen.

Diese Fristen gelten ab dem Zeitpunkt, an dem der Vorfall erkannt wird. Das bedeutet: Ihr Unternehmen braucht einen funktionierenden Incident-Response-Prozess, bevor etwas passiert. Wenn der Ransomware-Angriff am Freitagabend kommt und Sie erst am Montag darüber nachdenken, wen Sie anrufen sollen, ist es zu spät.

Tipp: Ein sauberer Meldekanal hilft nicht nur bei NIS2. Wenn Sie ohnehin ein Hinweisgebersystem (Whistleblower-Kanal) betreiben, können interne Cybersecurity-Meldungen über den gleichen Prozess kanalisiert werden — strukturiert, dokumentiert und nachvollziehbar.

NIS2 für Zulieferer — auch wenn Sie nicht direkt betroffen sind

Dieser Abschnitt ist für die meisten KMU der wichtigste. Denn selbst wenn Ihr Unternehmen keinem der 18 Sektoren angehört und unter der Größenschwelle liegt: Ihre Kunden könnten NIS2-pflichtig sein.

NIS2 verpflichtet betroffene Unternehmen, die Cybersicherheit entlang ihrer gesamten Lieferkette sicherzustellen. In der Praxis bedeutet das:

Ihre Kunden werden vertragliche Cybersecurity-Klauseln einführen oder bestehende verschärfen.
Sie werden Nachweise verlangen: Sicherheitsrichtlinien, Risikobewertungen, Incident-Response-Pläne, Mitarbeiterschulungen.
Bei Ausschreibungen wird ein dokumentiertes Sicherheitsniveau zum Vergabekriterium.
Im schlimmsten Fall: Kein Nachweis, kein Auftrag.

Die gute Nachricht: Die Anforderungen sind beherrschbar. Sie müssen kein ISO-27001-Zertifikat vorweisen (obwohl es hilft). Was Ihre Kunden typischerweise erwarten, sind dokumentierte Prozesse und nachvollziehbare Maßnahmen. Mit einem Tool wie Kavra Shield können Sie diese Nachweise strukturiert aufbauen und bei Bedarf exportieren.

Strafen — DSGVO-Niveau für Cybersecurity

Das NISG 2026 bringt empfindliche Strafen. Der Gesetzgeber hat sich am DSGVO-Strafrahmen orientiert — und das ist kein Zufall.

	Wesentliche Einrichtungen	Wichtige Einrichtungen
Geldstrafe (Maximum)	10 Mio. EUR oder 2% des weltweiten Jahresumsatzes	7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes
Aufsichtsregime	Proaktive Aufsicht (Prüfungen ohne Anlass)	Reaktive Aufsicht (Prüfungen nach Vorfall oder Hinweis)
Persönliche Haftung	Ja — Geschäftsführung	Ja — Geschäftsführung
Weitere Maßnahmen	Entzug von Genehmigungen, vorübergehendes Tätigkeitsverbot für Führungskräfte	Veröffentlichung der Verstöße (Naming & Shaming)

Besonders brisant: Die persönliche Haftung der Geschäftsführung. NIS2 macht Cybersicherheit explizit zur Chefsache. Die Geschäftsleitung muss die Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und an Schulungen teilnehmen. Bei Pflichtverstößen kann ihr vorübergehend die Ausübung von Leitungsaufgaben untersagt werden.

Unterschied zu Deutschland

Für Unternehmen im DACH-Raum ist der Vergleich zwischen der österreichischen und deutschen Umsetzung relevant. Beide Gesetze setzen dieselbe EU-Richtlinie um, unterscheiden sich aber in Tempo und Struktur.

	Österreich (NISG 2026)	Deutschland (NIS2UmsuCG)
Inkrafttreten	1. Oktober 2026	6. Dezember 2025
Übergangsfrist	9 Monate nach Kundmachung	Keine — sofortige Geltung
Registrierungsfrist	3 Monate nach Inkrafttreten (bis 31.12.2026)	3 Monate nach Inkrafttreten (abgelaufen am 6.3.2026)
Betroffene Unternehmen	ca. 4.000	ca. 29.500
Zuständige Behörde	Bundesamt für Cybersicherheit (zentral)	BSI, BBK, BNetzA u.a. (mehrere Stellen)
Nachweispflicht	Flexibel: Selbstdeklaration + anlassbezogen	Fester 3-Jahres-Zyklus

Für österreichische Unternehmen bedeutet das: Sie haben noch einige Monate Vorbereitungszeit. Für deutsche Tochtergesellschaften oder Geschäftspartner gelten die Pflichten dagegen bereits jetzt. Wenn Sie in beiden Märkten tätig sind, orientieren Sie sich am strengeren Zeitplan — also am deutschen.

5-Schritte-Plan für KMU

Unabhängig davon, ob Sie direkt oder indirekt betroffen sind: Diese fünf Schritte sollten Sie jetzt angehen. Nicht nächstes Quartal. Jetzt.

Betroffenheits-Check durchführen: Prüfen Sie, ob Ihr Unternehmen in einen der 18 Sektoren fällt und die Größenschwelle überschreitet. Prüfen Sie auch, ob Ihre wichtigsten Kunden NIS2-pflichtig sind — denn dann sind Sie indirekt betroffen. Kavra Shield bietet einen automatisierten Betroffenheits-Check.
Risikobewertung erstellen: Identifizieren Sie Ihre kritischen Systeme und Daten. Wo liegen Ihre größten Schwachstellen? Was wäre der Schaden bei einem Ransomware-Angriff, einem Datenleck, einem Systemausfall? Dokumentieren Sie das systematisch.
Sicherheitsrichtlinien definieren: Erstellen Sie dokumentierte Policies für Passwortmanagement, Zugriffskontrollen, Datensicherung, Verschlüsselung und Umgang mit mobilen Geräten. Diese Dokumente sind die Grundlage für jede Compliance-Prüfung.
Incident Response aufbauen: Definieren Sie, wer im Ernstfall was tut. Wer meldet an die Behörde? Wer koordiniert die technische Reaktion? Wer kommuniziert intern und extern? Üben Sie den Ernstfall mindestens einmal jährlich.
Mitarbeiter schulen: Phishing ist nach wie vor der häufigste Angriffsvektor. Schulen Sie alle Mitarbeiter regelmäßig — nicht mit einer einmaligen Präsentation, sondern mit laufenden, kurzen Trainings. Dokumentieren Sie die Teilnahme.

Häufige Fragen zu NIS2 in Österreich

Wann tritt das NISG 2026 in Österreich in Kraft?

Das NISG 2026 wurde am 23.12.2025 im Bundesgesetzblatt veröffentlicht und tritt am 1. Oktober 2026 in Kraft. Betroffene Unternehmen müssen sich bis 31.12.2026 registrieren und bis 31.12.2027 eine Selbstdeklaration abgeben.

Ist mein KMU von NIS2 betroffen?

Direkt betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in einem der 18 definierten Sektoren. Indirekt betroffen sind Zulieferer dieser Unternehmen — auch wenn sie unter der Schwelle liegen. Prüfen Sie daher auch, ob Ihre wichtigsten Kunden NIS2-pflichtig sind.

Welche Strafen drohen bei Verstößen gegen das NISG 2026?

Für wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. Für wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4% des Umsatzes. Zusätzlich droht persönliche Haftung der Geschäftsführung und ein vorübergehendes Tätigkeitsverbot.

Was ist der Unterschied zwischen NIS2 in Deutschland und Österreich?

Deutschland hat das NIS2UmsuCG am 6.12.2025 ohne Übergangsfrist in Kraft gesetzt — die Pflichten gelten dort bereits. Österreich gewährt mit dem NISG 2026 (ab 1.10.2026) eine 9-monatige Vorbereitungszeit und setzt auf eine zentrale Cybersicherheitsbehörde statt mehrerer Stellen.

Was muss ich als Zulieferer eines NIS2-betroffenen Unternehmens tun?

Ihre Kunden werden vertragliche Cybersecurity-Nachweise verlangen: dokumentierte Sicherheitsrichtlinien, Risikobewertungen, Incident-Response-Pläne und Schulungsnachweise. Wer diese Nachweise nicht liefern kann, riskiert Aufträge zu verlieren. Starten Sie jetzt mit einer strukturierten Risikobewertung.

Prüfen Sie Ihre NIS2-Betroffenheit mit Kavra Shield

Kavra Shield führt Sie durch den Betroffenheits-Check, erstellt Ihre Risikobewertung und generiert die Nachweise, die Ihre Kunden verlangen.

Kavra Shield entdecken

Stand: April 2026. Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Das NISG 2026 wurde am 23.12.2025 im BGBl. veröffentlicht; Durchführungsverordnungen können Detailfragen noch konkretisieren. Für rechtsverbindliche Auskünfte konsultieren Sie bitte einen spezialisierten Berater.