Österreichs NISG 2026 ist da: Was EU-Lieferanten wissen müssen

Österreich hat das NISG 2026 am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Es tritt am 1. Oktober 2026 in Kraft. Die Zahl der erfassten Organisationen steigt von rund 100 unter dem alten Regime auf geschätzte 4.000.

Wenn Sie österreichische Kunden beraten — oder irgendwo in der EU ein Unternehmen führen, das einen solchen beliefert — ist dieses Datum jetzt eine harte Linie in Ihrer Planung. Nach dem 1. Oktober ist die Registrierung verpflichtend, die Geschäftsleitung haftet persönlich, und die Lieferkettenklauseln ziehen auch Lieferanten mit hinein, die selbst gar nicht direkt reguliert sind.

Das hat sich geändert, das ist erfasst, und das sollten Sie in den nächsten drei Monaten tun.

Das NISG 2026 ersetzt ein Gesetz, das fast niemanden betraf

Das ursprüngliche österreichische NIS-Gesetz galt für etwa 100 Betreiber wesentlicher Dienste. Genau darum ging es bei NIS2 in der gesamten EU: Die erste Richtlinie war zu eng, also weitete die zweite das Netz drastisch aus.

Das NISG 2026 ist das Ergebnis. Es setzt die Richtlinie (EU) 2022/2555 um und spiegelt deren Struktur exakt — Annex I für Sektoren mit wesentlichen Einrichtungen, Annex II für wichtige Einrichtungen. Telekommunikation, Finanzdienstleistungen, Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und sogar konzessionierte Glücksspielanbieter fallen nun in den Anwendungsbereich.

Die Größenschwelle ist der übliche EU-Test für mittlere Unternehmen: 50 oder mehr Beschäftigte oder ein Jahresumsatz und eine Bilanzsumme über EUR 10 Millionen. Trifft eines davon zu, gelten Sie vermutlich als erfasst. Einige Einrichtungen — etwa Betreiber öffentlicher elektronischer Kommunikationsnetze — sind unabhängig von ihrer Größe erfasst.

So kommt man von 100 auf 4.000.

Wesentlich oder wichtig entscheidet, wie hart die Behörde zuschlägt

Die Einstufung ist nicht kosmetisch. Sie bestimmt Ihre Bußgeldobergrenze und wie genau die Aufsicht hinschaut.

Wesentliche Einrichtungen (Annex I) drohen Verwaltungsstrafen bis zu EUR 10 Millionen oder 2% des weltweiten Jahresumsatzes, je nachdem, was höher ist. Sie unterliegen proaktiver Aufsicht — die Behörde kann Sie prüfen, ohne auf einen Vorfall zu warten.

Wichtige Einrichtungen (Annex II) drohen Strafen bis zu EUR 7 Millionen oder 1,4% des weltweiten Umsatzes, und die Aufsicht ist reaktiv — die Behörde greift ein, nachdem etwas schiefläuft oder eine Beschwerde eingeht.

Die meisten Kunden von Beratern landen in der Kategorie der wichtigen Einrichtung. Das ist kein Grund zur Entspannung. Die Pflichten sind nahezu identisch; nur die Durchsetzungshaltung und die Bußgeldobergrenze unterscheiden sich.

Gilt NIS2 für Ihre Organisation?
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼
Nein▼
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼
Nein▼
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
Gilt
Gilt möglicherweise
Gilt nicht

Die Registrierung schließt am 31. Dezember 2026 — und das ist der einfache Teil

Sobald das Gesetz am 1. Oktober in Kraft tritt, haben erfasste Einrichtungen drei Monate Zeit, sich bei der NIS Anlaufstelle zu registrieren, der nationalen Kontaktstelle unter dem Bundesministerium für Inneres. Damit liegt die harte Frist am 31. Dezember 2026.

Verpassen Sie sie, beträgt die Strafe bis zu EUR 50.000 für einen ersten Verstoß und steigt auf EUR 100.000 bei Wiederholung. Diese Beträge sind klein neben den Millionenobergrenzen für inhaltliche Verstöße, aber die Registrierung ist auch der Moment, in dem Sie auf dem Radar der Aufsicht erscheinen. Eine verspätete oder fehlende Registrierung ist das Einfachste, was eine Behörde überhaupt bemerken und bestrafen kann.

Behandeln Sie die Registrierung als Frist, nicht als Projekt. Die eigentliche Arbeit ist alles, wozu die Registrierung Sie verpflichtet: die Risikomanagementmaßnahmen nach Article 21, die Meldung von Vorfällen und die Lieferkettenkontrollen.

Die Geschäftsleitung trägt die Pflicht — nicht die IT-Abteilung

Das ist der Teil, den österreichische Führungskräfte immer wieder unterschätzen. Nach dem NISG 2026 liegt die Verantwortung für die Umsetzung und Überwachung der Cyber-Risikomaßnahmen ausdrücklich bei der Geschäftsleitung oder den geschäftsführenden Direktoren.

Sie können das nicht an den CISO delegieren und sich abwenden. Die Geschäftsleitung muss die Maßnahmen genehmigen, überwachen und kann — nach der Logik der Richtlinie — für Versäumnisse persönlich haftbar gemacht werden. Das Management ist außerdem verpflichtet, eine Cybersicherheitsschulung zu absolvieren.

Für Berater ist das Ihr Türöffner. Das Gespräch, das Sie hereinbringt, lautet nicht "Ihre Firewall braucht Arbeit". Es lautet "Ihre Direktoren sind nun persönlich für ein Kontrollrahmenwerk verantwortlich, das sie noch nie gesehen haben." Briefen Sie zuerst die Geschäftsleitung. Das Budget folgt.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
🛡️
Artikel 21
10 Cybersicherheitsmaßnahmen
📊
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
🚨
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
🔗
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
🔐
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
👥
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Die Lieferkettenklausel erfasst Unternehmen, die selbst nicht erfasst sind

Das ist die Bestimmung mit der größten Reichweite. Das NISG 2026 verpflichtet erfasste Einrichtungen, die Cybersicherheit ihrer direkten Lieferanten und Dienstleister zu bewerten und vertraglich abzusichern.

Das bedeutet, dass eine regulierte österreichische Einrichtung Sicherheitsanforderungen über ihre Verträge nach unten weitergibt. Selbst ein Unternehmen, das unter den Größenschwellen bleibt — und damit nicht direkt reguliert ist — kann verpflichtet werden, Sicherheitsnachweise als Bedingung für den Verbleib in der Lieferkette zu erbringen.

Verkauft Ihr Kunde an ein Krankenhaus, eine Bank, einen Energiebetreiber oder ein Telekommunikationsunternehmen in Österreich, rechnen Sie damit, dass Sicherheitsfragebögen, Vertragsklauseln und Auditrechte in Verlängerungsverhandlungen auftauchen. Der regulierte Käufer hat eine gesetzliche Pflicht, sie zu verlangen.

Das ist der Mechanismus, der NIS2 zu einer Marktkraft macht, nicht nur zu einem Compliance-Posten. Ein kleiner MSP in Wien ohne jede direkte Pflicht kann trotzdem einen Vertrag verlieren, weil er die Lieferantenbewertung eines Kunden nicht besteht. Zur tieferen Funktionsweise in der Praxis siehe unseren Leitfaden zur NIS2-Lieferkettensicherheit und die Details zu Lieferantenverträgen nach Article 21.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
▼
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
▼
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich

Österreich schließt sich einer schnell schließenden Gruppe umgesetzter Mitgliedstaaten an

Österreich ist kein Ausreißer mehr. Anfang 2026 hatten 21 von 27 Mitgliedstaaten NIS2 umgesetzt, und die Europäische Kommission verwies die Nachzügler an den Gerichtshof. Deutschland legte den Schalter um, das Auditregime Belgiens läuft, und Frankreich, Portugal und Polen sind alle live.

Für einen Berater oder MSP, der grenzüberschreitend arbeitet, lautet die praktische Lehre, dass der Flickenteppich zu einer Grundlinie aushärtet. Ein Kunde, der in Österreich, Deutschland und Belgien tätig ist, kann keine drei verschiedenen Compliance-Haltungen führen. Der kluge Schritt ist, ein an Article 21 ausgerichtetes Kontrollset aufzubauen und es auf jede nationale Ausprägung abzubilden.

Die nationalen Unterschiede zählen an den Rändern — Registrierungsportale, genaue Fristen, Bußgeldobergrenzen — aber der Kern der Risikomanagementpflichten beruht auf derselben Richtlinie. Bringen Sie den Kern einmal in Ordnung, schrumpft die Arbeit pro Land auf Papierkram.

NIS2 Umsetzungsstatus nach Land (2025–2026)
✅
Vollständig in Kraft
🇧🇪Belgien
🇭🇷Kroatien
🇭🇺Ungarn
🇱🇹Litauen
🇱🇻Lettland
🇮🇹Italien
6 Länder
📋
Verabschiedet — Ende 2025
🇩🇪Deutschland
🇨🇿Tschechien
🇫🇮Finnland
3 Länder
⏳
In Bearbeitung — erwartet 2026
🇳🇱Niederlande
🇫🇷Frankreich
🇪🇸Spanien
🇵🇱Polen
🇦🇹Österreich
🇸🇪Schweden
🇮🇪Irland
7 Länder

Was vor dem 1. Oktober 2026 zu tun ist

Das Fenster ist kurz und die Reihenfolge zählt. Beraten Sie einen österreichischen Kunden, arbeiten Sie es in dieser Reihenfolge ab.

Bestätigen Sie zuerst den Anwendungsbereich. Führen Sie die Größenschwellen- und Sektorprüfung jetzt durch, vor Oktober, damit der Kunde weiß, ob er wesentlich, wichtig oder außerhalb ist. Nehmen Sie nichts an — die Einbeziehung von Glücksspiel und digitaler Infrastruktur erfasst Organisationen, die sich nie als kritisch verstanden haben.

Briefen Sie zweitens die Geschäftsleitung. Bringen Sie die persönliche Haftung und die Schulungspflichten früh vor die Direktoren. Das schaltet Budget und Mandat frei.

Führen Sie drittens eine Gap-Analyse gegen Article 21 durch. Die zehn Maßnahmen sind der Kern der Compliance, und die meisten Organisationen haben bestenfalls drei oder vier halb umgesetzt. Unser Schritt-für-Schritt-Leitfaden zur Gap-Analyse führt durch den Prozess.

Registrieren Sie viertens vor dem 31. Dezember 2026. Sobald der Anwendungsbereich bestätigt ist, ist die Registrierung administrativ — aber lassen Sie die Frist nicht verstreichen.

Bringen Sie fünftens die Lieferkette in Ordnung. Kartieren Sie die kritischen Lieferanten Ihres Kunden und beginnen Sie jetzt mit der Vertragsarbeit. Das ist der langsamste Punkt, weil er von Gegenparteien abhängt, also fangen Sie früh an.

Wollen Sie wissen, wo eine bestimmte Organisation heute steht, ist der schnellste Ausgangspunkt eine strukturierte Readiness-Bewertung, die sie gegen jede Article 21-Maßnahme bewertet und die Lücken markiert. Machen Sie den NIS2 Quick Scan und Sie haben in Minuten ein priorisiertes Bild — genau die Art von Nachweis, die die Geschäftsleitung und die Kunden eines österreichischen Lieferanten sehen wollen.

Das NISG 2026 ist seit Dezember Gesetz. Die Uhr bis zum 1. Oktober läuft bereits.