La NISG 2026 de Austria ya está en vigor: lo que los proveedores de la UE deben saber

Austria publicó la NISG 2026 en el Boletín Oficial Federal el 23 de diciembre de 2025. Entra en vigor el 1 de octubre de 2026. El número de organizaciones afectadas salta de unas 100 bajo el régimen anterior a unas 4.000.

Si asesora a clientes austriacos — o dirige, en cualquier parte de la UE, una empresa que abastece a uno — esa fecha es ahora una línea firme en su planificación. Después del 1 de octubre, el registro es obligatorio, el consejo de dirección responde personalmente, y las cláusulas de cadena de suministro arrastran a proveedores que ni siquiera están regulados directamente.

Esto es lo que ha cambiado, a quién alcanza y qué debe hacer en los próximos tres meses.

La NISG 2026 sustituye a una ley que no afectaba a casi nadie

La ley NIS austriaca original se aplicaba a unos 100 operadores de servicios esenciales. Ese era justamente el objetivo de NIS2 en toda la UE: la primera directiva era demasiado estrecha, así que la segunda amplió la red de forma drástica.

La NISG 2026 es el resultado. Transpone la Directiva (UE) 2022/2555 y refleja su estructura con exactitud — Annex I para los sectores de entidades esenciales, Annex II para entidades importantes. Telecomunicaciones, servicios financieros, energía, transporte, salud, infraestructura digital, administración pública e incluso operadores de juego con licencia entran ahora en el ámbito.

El umbral de tamaño es la prueba estándar de la UE para medianas empresas: 50 o más empleados, o una facturación anual y un balance superiores a 10 millones de EUR. Si cumple uno de los dos, se presume afectado. Algunas entidades — proveedores de redes públicas de comunicaciones electrónicas, por ejemplo — están afectadas con independencia de su tamaño.

Así se pasa de 100 a 4.000.

Esencial o importante decide con cuánta dureza golpea la autoridad

La clasificación no es cosmética. Determina su tope de multa y cuán de cerca vigila el regulador.

Las entidades esenciales (Annex I) se enfrentan a multas administrativas de hasta 10 millones de EUR o el 2% de la facturación anual mundial, lo que sea mayor. Están sujetas a supervisión proactiva — la autoridad puede auditarle sin esperar a un incidente.

Las entidades importantes (Annex II) se enfrentan a multas de hasta 7 millones de EUR o el 1,4% de la facturación mundial, y la supervisión es reactiva — la autoridad interviene tras un problema o una denuncia.

La mayoría de los clientes de los consultores caerán en la categoría de entidad importante. No es motivo para relajarse. Las obligaciones son casi idénticas; solo difieren la postura de control y el tope de la multa.

¿Se aplica la NIS2 a su organización?
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼
No▼
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗
La NIS2 no se aplica directamente a su organización.
Sí▼
No▼
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →
✗
La NIS2 no se aplica directamente a su organización.
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplica
Posiblemente aplica
No se aplica

El registro cierra el 31 de diciembre de 2026 — y es la parte fácil

En cuanto la ley entre en vigor el 1 de octubre, las entidades afectadas tienen tres meses para registrarse ante el NIS Anlaufstelle, el punto de contacto nacional adscrito al Ministerio Federal del Interior. Eso sitúa la fecha límite firme en el 31 de diciembre de 2026.

Si la incumple, la multa llega hasta 50.000 EUR por una primera infracción y sube a 100.000 EUR en caso de reincidencia. Esas cifras son pequeñas frente a los topes de varios millones de euros por incumplimientos de fondo, pero el registro es también el momento en que aparece en el radar del regulador. Un registro tardío o ausente es lo más fácil que una autoridad puede detectar y sancionar.

Trate el registro como un plazo, no como un proyecto. El trabajo real es todo aquello a lo que el registro le compromete: las medidas de gestión de riesgos del Article 21, la notificación de incidentes y los controles de la cadena de suministro.

El consejo asume la obligación — no el departamento de TI

Esta es la parte que los directivos austriacos siguen subestimando. Según la NISG 2026, la responsabilidad de implementar y supervisar las medidas de gestión de ciberriesgos recae explícitamente en el consejo de dirección o en los directores ejecutivos.

No puede delegar esto en el CISO y desentenderse. El consejo debe aprobar las medidas, supervisarlas y puede — según la lógica de la directiva — ser considerado personalmente responsable de los fallos. La dirección también está obligada a realizar formación en ciberseguridad.

Para los consultores, esta es su puerta de entrada. La conversación que le hace entrar no es «su cortafuegos necesita trabajo». Es «sus directivos son ahora personalmente responsables de un marco de control que nunca han visto». Informe primero al consejo. El presupuesto vendrá después.

Artículo 21 — 10 Medidas de Ciberseguridad NIS2
🛡️
Artículo 21
10 Medidas de Ciberseguridad
📊
Gobernanza & Estrategia
1Análisis de riesgos & políticas de seguridad de la información
6Evaluación de la eficacia de las medidas de seguridad
🚨
Incidentes & Continuidad
2Gestión de incidentes & notificación
3Continuidad del negocio & recuperación ante desastres
🔗
Cadena de Suministro & Sistemas
4Seguridad de la cadena de suministro
5Seguridad en el desarrollo de sistemas de redes e información
🔐
Controles Técnicos
8Criptografía & cifrado
10Autenticación multifactor & comunicaciones seguras
👥
Personas & Activos
7Ciberhigiene & formación
9Seguridad de RRHH & control de acceso

La cláusula de cadena de suministro atrapa a empresas que ni siquiera están en el ámbito

Esta es la disposición de mayor alcance. La NISG 2026 obliga a las entidades afectadas a evaluar y asegurar contractualmente la ciberseguridad de sus proveedores y prestadores directos.

Eso significa que una entidad austriaca regulada trasladará sus exigencias de seguridad a través de sus contratos. Incluso una empresa que queda por debajo de los umbrales de tamaño — y, por tanto, no está regulada directamente — puede verse obligada a aportar pruebas de seguridad como condición para permanecer en la cadena de suministro.

Si su cliente vende a un hospital, un banco, un operador energético o una empresa de telecomunicaciones en Austria, espere que aparezcan cuestionarios de seguridad, cláusulas contractuales y derechos de auditoría en las negociaciones de renovación. El comprador regulado tiene la obligación legal de exigirlos.

Este es el mecanismo que convierte a NIS2 en una fuerza de mercado, no en una mera partida de cumplimiento. Un pequeño MSP en Viena sin ninguna obligación directa puede aun así perder un contrato por no superar la evaluación de proveedores de un cliente. Para el detalle de cómo funciona en la práctica, consulte nuestra guía sobre seguridad de la cadena de suministro NIS2 y los detalles sobre contratos con proveedores según el Article 21.

Escalada de sanciones NIS2 — Más allá de la multa
!
Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer
▼
Sanciones no financieras
1
Órdenes de cumplimiento con plazos vinculantes
2
Auditorías de seguridad obligatorias a tu cargo
3
Divulgación pública de infracciones
4
Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia
▼
Consecuencias operativas y personales
1
Suspensión de certificaciones o licencias de operación
2
Prohibición temporal de funciones directivas para individuos
3
Identificación pública de personas físicas responsables
Desencadenante
No financiero
Operativo / personal

Austria se suma a un grupo de Estados transpuestos que se cierra rápido

Austria ya no es una excepción. A principios de 2026, 21 de los 27 Estados miembros habían transpuesto NIS2, y la Comisión Europea remitió a los rezagados al Tribunal de Justicia. Alemania accionó el interruptor, el régimen de auditoría de Bélgica está en marcha, y Francia, Portugal y Polonia están todos operativos.

Para un consultor o MSP que trabaja a escala transfronteriza, la lección práctica es que el mosaico se endurece hasta convertirse en una base común. Un cliente que opera en Austria, Alemania y Bélgica no puede mantener tres posturas de cumplimiento distintas. La decisión inteligente es construir un conjunto de controles alineado con el Article 21 y mapearlo a cada variante nacional.

Las variaciones nacionales importan en los bordes — portales de registro, plazos exactos, topes de multa — pero el núcleo de las obligaciones de gestión de riesgos descansa en la misma directiva. Ponga el núcleo en orden una vez y el trabajo por país se reduce a papeleo.

Estado de Implementación NIS2 por País (2025–2026)
✅
Plenamente en vigor
🇧🇪Bélgica
🇭🇷Croacia
🇭🇺Hungría
🇱🇹Lituania
🇱🇻Letonia
🇮🇹Italia
6 países
📋
Adoptada — finales 2025
🇩🇪Alemania
🇨🇿República Checa
🇫🇮Finlandia
3 países
⏳
En proceso — previsto 2026
🇳🇱Países Bajos
🇫🇷Francia
🇪🇸España
🇵🇱Polonia
🇦🇹Austria
🇸🇪Suecia
🇮🇪Irlanda
7 países

Qué hacer antes del 1 de octubre de 2026

La ventana es corta y el orden importa. Si asesora a un cliente austriaco, hágalo en este orden.

Primero, confirme el alcance. Realice la prueba de umbral de tamaño y de sector ahora, antes de octubre, para que el cliente sepa si es esencial, importante o queda fuera. No dé nada por supuesto — la inclusión del juego y la infraestructura digital atrapa a organizaciones que nunca se vieron como críticas.

Segundo, informe al consejo. Ponga pronto la responsabilidad personal y las obligaciones de formación ante los directivos. Eso es lo que desbloquea presupuesto y mandato.

Tercero, realice un análisis de brechas frente al Article 21. Las diez medidas son el núcleo del cumplimiento, y la mayoría de las organizaciones tienen, como mucho, tres o cuatro a medio implementar. Nuestra guía paso a paso de análisis de brechas recorre el proceso.

Cuarto, regístrese antes del 31 de diciembre de 2026. Una vez confirmado el alcance, el registro es administrativo — pero no deje pasar el plazo.

Quinto, arregle la cadena de suministro. Cartografíe los proveedores críticos de su cliente y empiece ya el trabajo contractual. Este es el punto más lento porque depende de las contrapartes, así que empiece pronto.

Si quiere saber dónde se encuentra hoy una organización concreta, el punto de partida más rápido es una evaluación de preparación estructurada que la puntúe frente a cada medida del Article 21 y señale las brechas. Haga el quick scan de NIS2 y tendrá en minutos una imagen priorizada — exactamente el tipo de prueba que el consejo, y los clientes de un proveedor austriaco, querrán ver.

La NISG 2026 es ley desde diciembre. El reloj hacia el 1 de octubre ya está en marcha.