La NISG 2026 autrichienne est en vigueur : ce que les fournisseurs de l'UE doivent savoir
L'Autriche a publié la NISG 2026 au Journal officiel fédéral le 23 décembre 2025. Elle entre en vigueur le 1er octobre 2026. Le nombre d'organisations concernées passe d'environ 100 sous l'ancien régime à environ 4 000.
Si vous conseillez des clients autrichiens — ou si vous dirigez, n'importe où dans l'UE, une entreprise qui en fournit un — cette date est désormais une ligne ferme dans votre planning. Après le 1er octobre, l'enregistrement est obligatoire, le conseil de direction est personnellement responsable, et les clauses de chaîne d'approvisionnement entraînent des fournisseurs qui ne sont même pas directement réglementés.
Voici ce qui a changé, qui est concerné, et ce que vous devez faire dans les trois prochains mois.
La NISG 2026 remplace une loi qui ne concernait presque personne
La loi NIS autrichienne d'origine s'appliquait à environ 100 opérateurs de services essentiels. C'était précisément l'objet de NIS2 dans toute l'UE : la première directive était trop étroite, la seconde a donc élargi le filet de façon spectaculaire.
La NISG 2026 en est le résultat. Elle transpose la directive (UE) 2022/2555 et en reflète exactement la structure — Annex I pour les secteurs des entités essentielles, Annex II pour les entités importantes. Télécommunications, services financiers, énergie, transport, santé, infrastructure numérique, administration publique et même les opérateurs de jeux d'argent agréés entrent désormais dans le champ d'application.
Le seuil de taille est le test standard de l'UE pour les moyennes entreprises : 50 employés ou plus, ou un chiffre d'affaires annuel et un total de bilan supérieurs à 10 millions d'EUR. Si vous atteignez l'un des deux, vous êtes présumé concerné. Certaines entités — les fournisseurs de réseaux publics de communications électroniques, par exemple — sont concernées quelle que soit leur taille.
C'est ainsi qu'on passe de 100 à 4 000.
Essentielle ou importante détermine la dureté de la sanction
La classification n'est pas cosmétique. Elle détermine votre plafond d'amende et la rigueur de la surveillance.
Les entités essentielles (Annex I) encourent des amendes administratives allant jusqu'à 10 millions d'EUR ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Elles sont soumises à une surveillance proactive — l'autorité peut vous auditer sans attendre un incident.
Les entités importantes (Annex II) encourent des amendes allant jusqu'à 7 millions d'EUR ou 1,4% du chiffre d'affaires mondial, et la surveillance est réactive — l'autorité intervient après un problème ou une plainte.
La plupart des clients des consultants relèveront de la catégorie des entités importantes. Ce n'est pas une raison pour se détendre. Les obligations sont quasiment identiques ; seuls la posture de contrôle et le plafond d'amende diffèrent.
La NIS2 s'applique-t-elle à votre organisation ?
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼Non▼2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗La NIS2 ne s'applique pas directement à votre organisation.
Oui▼Non▼✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →✗La NIS2 ne s'applique pas directement à votre organisation.
✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'appliquePossiblement applicableNe s'applique pas
L'enregistrement ferme le 31 décembre 2026 — et c'est la partie facile
Dès l'entrée en vigueur de la loi le 1er octobre, les entités concernées disposent de trois mois pour s'enregistrer auprès du NIS Anlaufstelle, le point de contact national rattaché au ministère fédéral de l'Intérieur. La date butoir ferme tombe donc le 31 décembre 2026.
Si vous la manquez, l'amende atteint 50 000 EUR pour une première infraction, et jusqu'à 100 000 EUR en cas de récidive. Ces montants sont faibles face aux plafonds de plusieurs millions d'euros pour les manquements de fond, mais l'enregistrement est aussi le moment où vous apparaissez sur le radar du régulateur. Un enregistrement tardif ou manquant est la chose la plus simple qu'une autorité puisse repérer et sanctionner.
Traitez l'enregistrement comme une échéance, pas comme un projet. Le vrai travail, c'est tout ce à quoi l'enregistrement vous engage : les mesures de gestion des risques au titre de l'Article 21, la notification des incidents et les contrôles de la chaîne d'approvisionnement.
Le conseil porte l'obligation — pas le service informatique
C'est la partie que les dirigeants autrichiens continuent de sous-estimer. Selon la NISG 2026, la responsabilité de la mise en œuvre et du suivi des mesures de gestion des cyber-risques incombe explicitement au conseil de direction ou aux directeurs exécutifs.
Vous ne pouvez pas déléguer cela au CISO et vous en désintéresser. Le conseil doit approuver les mesures, les superviser et peut — selon la logique de la directive — être tenu personnellement responsable des défaillances. La direction est également tenue de suivre une formation en cybersécurité.
Pour les consultants, c'est votre porte d'entrée. La conversation qui vous fait entrer n'est pas « votre pare-feu a besoin de travail ». C'est « vos administrateurs sont désormais personnellement responsables d'un cadre de contrôle qu'ils n'ont jamais vu ». Briefez d'abord le conseil. Le budget suivra.
Article 21 — 10 Mesures de Cybersécurité NIS2
Article 21
10 Mesures de Cybersécurité
Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information6Évaluation de l'efficacité des mesures de sécuritéIncidents & Continuité
2Gestion des incidents & notification3Continuité des activités & reprise après sinistreChaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement5Sécurité dans le développement des systèmes d'informationContrôles Techniques
8Cryptographie & chiffrement10Authentification multifacteur & communications sécuriséesPersonnel & Actifs
7Cyber-hygiène & formation9Sécurité RH & contrôle d'accès
La clause de chaîne d'approvisionnement attrape des entreprises hors champ
C'est la disposition à la plus longue portée. La NISG 2026 oblige les entités concernées à évaluer et à sécuriser contractuellement la cybersécurité de leurs fournisseurs et prestataires directs.
Cela signifie qu'une entité autrichienne réglementée répercutera ses exigences de sécurité par ses contrats. Même une entreprise qui reste sous les seuils de taille — et n'est donc pas directement réglementée — peut être tenue de fournir des preuves de sécurité comme condition pour rester dans la chaîne d'approvisionnement.
Si votre client vend à un hôpital, une banque, un opérateur énergétique ou une entreprise de télécommunications en Autriche, attendez-vous à voir apparaître questionnaires de sécurité, clauses contractuelles et droits d'audit dans les négociations de renouvellement. L'acheteur réglementé a l'obligation légale de les exiger.
C'est le mécanisme qui fait de NIS2 une force du marché, et pas seulement une ligne de conformité. Un petit MSP à Vienne sans aucune obligation directe peut tout de même perdre un contrat pour avoir échoué à l'évaluation fournisseur d'un client. Pour le détail du fonctionnement en pratique, voir notre guide sur la sécurité de la chaîne d'approvisionnement NIS2 et les précisions sur les contrats fournisseurs au titre de l'Article 21.
Escalade des sanctions NIS2 — Au-delà de l'amende
!Déclencheur
Non-conformité détectée ou incident survenu
Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2
Les autorités peuvent imposer▼Sanctions non financières1Ordres de mise en conformité avec délais contraignants
2Audits de sécurité obligatoires à vos frais
3Divulgation publique des violations
4Instructions contraignantes sur des mesures de sécurité spécifiques
Escalade vers▼Conséquences opérationnelles et personnelles1Suspension de certifications ou licences d'exploitation
2Interdiction temporaire de fonctions de direction pour les individus
3Désignation publique des personnes physiques responsables
DéclencheurNon financierOpérationnel / personnel
L'Autriche rejoint un groupe d'États transposés qui se referme vite
L'Autriche n'est plus une exception. Début 2026, 21 des 27 États membres avaient transposé NIS2, et la Commission européenne a renvoyé les retardataires devant la Cour de justice. L'Allemagne a basculé, le régime d'audit belge tourne, et la France, le Portugal et la Pologne sont tous opérationnels.
Pour un consultant ou un MSP travaillant à l'international, la leçon pratique est que la mosaïque durcit en une base commune. Un client opérant en Autriche, en Allemagne et en Belgique ne peut pas tenir trois postures de conformité différentes. La bonne décision est de bâtir un ensemble de contrôles aligné sur l'Article 21 et de le mapper sur chaque déclinaison nationale.
Les variations nationales comptent à la marge — portails d'enregistrement, échéances exactes, plafonds d'amende — mais le cœur des obligations de gestion des risques repose sur la même directive. Mettez le cœur en ordre une fois et le travail par pays se réduit à de la paperasse.
Statut de Mise en Œuvre NIS2 par Pays (2025–2026)
Pleinement en vigueur
BelgiqueCroatieHongrieLituanieLettonieItalie6 paysAdopté — fin 2025
AllemagneRépublique tchèqueFinlande3 paysEn cours — prévu 2026
Pays-BasFranceEspagnePologneAutricheSuèdeIrlande7 pays
Que faire avant le 1er octobre 2026
La fenêtre est courte et l'ordre compte. Si vous conseillez un client autrichien, procédez dans cet ordre.
D'abord, confirmez le périmètre. Effectuez le test de seuil de taille et de secteur maintenant, avant octobre, pour que le client sache s'il est essentiel, important ou hors champ. Ne présumez rien — l'inclusion des jeux d'argent et de l'infrastructure numérique attrape des organisations qui ne se sont jamais vues comme critiques.
Ensuite, briefez le conseil. Présentez tôt la responsabilité personnelle et les obligations de formation aux administrateurs. C'est ce qui débloque budget et mandat.
Troisièmement, menez une analyse d'écart par rapport à l'Article 21. Les dix mesures constituent le cœur de la conformité, et la plupart des organisations en ont au mieux trois ou quatre à moitié mises en œuvre. Notre guide pas à pas de l'analyse d'écart parcourt le processus.
Quatrièmement, enregistrez-vous avant le 31 décembre 2026. Une fois le périmètre confirmé, l'enregistrement est administratif — mais ne laissez pas filer l'échéance.
Cinquièmement, réglez la chaîne d'approvisionnement. Cartographiez les fournisseurs critiques de votre client et commencez le travail contractuel dès maintenant. C'est le point le plus lent car il dépend des contreparties, alors commencez tôt.
Pour savoir où en est une organisation donnée aujourd'hui, le point de départ le plus rapide est une évaluation de maturité structurée qui la note sur chaque mesure de l'Article 21 et signale les lacunes. Faites le quick scan NIS2 et vous aurez en quelques minutes une image priorisée — exactement le type de preuve que le conseil, et les clients d'un fournisseur autrichien, voudront voir.
La NISG 2026 est en vigueur depuis décembre. Le compte à rebours jusqu'au 1er octobre a déjà commencé.