La NISG 2026 austriaca è in vigore: cosa devono sapere i fornitori dell'UE

L'Austria ha pubblicato la NISG 2026 nella Gazzetta ufficiale federale il 23 dicembre 2025. Entra in vigore il 1° ottobre 2026. Il numero di organizzazioni interessate sale da circa 100 sotto il vecchio regime a circa 4.000.

Se assisti clienti austriaci — o gestisci, ovunque nell'UE, un'azienda che ne rifornisce uno — quella data è ormai una linea netta nel tuo piano. Dopo il 1° ottobre la registrazione è obbligatoria, il consiglio di amministrazione risponde personalmente e le clausole sulla catena di fornitura coinvolgono fornitori che non sono nemmeno direttamente regolati.

Ecco cosa è cambiato, chi è coinvolto e cosa devi fare nei prossimi tre mesi.

La NISG 2026 sostituisce una legge che riguardava quasi nessuno

La legge NIS austriaca originaria si applicava a circa 100 operatori di servizi essenziali. Era proprio questo l'obiettivo di NIS2 in tutta l'UE: la prima direttiva era troppo ristretta, quindi la seconda ha allargato drasticamente la rete.

La NISG 2026 ne è il risultato. Recepisce la Direttiva (UE) 2022/2555 e ne rispecchia la struttura con precisione — Annex I per i settori delle entità essenziali, Annex II per le entità importanti. Telecomunicazioni, servizi finanziari, energia, trasporti, sanità, infrastruttura digitale, pubblica amministrazione e persino operatori di gioco autorizzati rientrano ora nell'ambito.

La soglia dimensionale è il test standard dell'UE per le medie imprese: 50 o più dipendenti, oppure un fatturato annuo e un totale di bilancio superiori a 10 milioni di EUR. Se soddisfi uno dei due, sei presumibilmente coinvolto. Alcune entità — i fornitori di reti pubbliche di comunicazione elettronica, ad esempio — sono coinvolte a prescindere dalle dimensioni.

È così che si passa da 100 a 4.000.

Essenziale o importante decide quanto duramente colpisce l'autorità

La classificazione non è cosmetica. Determina il tuo tetto sanzionatorio e quanto da vicino vigila il regolatore.

Le entità essenziali (Annex I) rischiano sanzioni amministrative fino a 10 milioni di EUR o il 2% del fatturato annuo mondiale, a seconda di quale sia maggiore. Sono soggette a vigilanza proattiva — l'autorità può sottoporti ad audit senza attendere un incidente.

Le entità importanti (Annex II) rischiano sanzioni fino a 7 milioni di EUR o l'1,4% del fatturato mondiale, e la vigilanza è reattiva — l'autorità interviene dopo che qualcosa va storto o arriva un reclamo.

La maggior parte dei clienti dei consulenti rientrerà nella categoria delle entità importanti. Non è un motivo per rilassarsi. Gli obblighi sono pressoché identici; differiscono solo la postura di controllo e il tetto sanzionatorio.

La NIS2 si Applica alla Tua Organizzazione?
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì▼
No▼
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
✗
La NIS2 non si applica direttamente alla tua organizzazione.
Sì▼
No▼
✓
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì▼
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì ↓No →
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
Sì ↓No →
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì ↓No →
✗
La NIS2 non si applica direttamente alla tua organizzazione.
✓
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applica
Possibile applicazione
Non si applica

La registrazione chiude il 31 dicembre 2026 — ed è la parte facile

Non appena la legge entra in vigore il 1° ottobre, le entità interessate hanno tre mesi per registrarsi presso il NIS Anlaufstelle, il punto di contatto nazionale presso il Ministero federale dell'Interno. La scadenza perentoria cade quindi il 31 dicembre 2026.

Se la manchi, la sanzione arriva fino a 50.000 EUR per una prima violazione e sale a 100.000 EUR in caso di recidiva. Cifre piccole rispetto ai tetti di diversi milioni di euro per le violazioni sostanziali, ma la registrazione è anche il momento in cui compari sul radar del regolatore. Una registrazione tardiva o mancante è la cosa più semplice che un'autorità possa individuare e sanzionare.

Tratta la registrazione come una scadenza, non come un progetto. Il lavoro vero è tutto ciò a cui la registrazione ti impegna: le misure di gestione del rischio dell'Article 21, la notifica degli incidenti e i controlli sulla catena di fornitura.

Il consiglio porta l'obbligo — non il reparto IT

Questa è la parte che i dirigenti austriaci continuano a sottovalutare. Secondo la NISG 2026, la responsabilità di attuare e monitorare le misure di gestione del cyber-rischio ricade esplicitamente sul consiglio di amministrazione o sui direttori esecutivi.

Non puoi delegarla al CISO e disinteressartene. Il consiglio deve approvare le misure, vigilare su di esse e può — secondo la logica della direttiva — essere ritenuto personalmente responsabile dei fallimenti. La dirigenza è inoltre tenuta a seguire una formazione in cybersicurezza.

Per i consulenti, questa è la tua porta d'ingresso. La conversazione che ti fa entrare non è «il vostro firewall va sistemato». È «i vostri amministratori sono ora personalmente responsabili di un quadro di controllo che non hanno mai visto». Informa prima il consiglio. Il budget seguirà.

Articolo 21 — 10 Misure di Cybersicurezza NIS2
🛡️
Articolo 21
10 Misure di Cybersicurezza
📊
Governance & Strategia
1Analisi dei rischi & politiche di sicurezza delle informazioni
6Valutazione dell'efficacia delle misure di sicurezza
🚨
Incidenti & Continuità
2Gestione degli incidenti & notifica
3Continuità operativa & ripristino di emergenza
🔗
Catena di Fornitura & Sistemi
4Sicurezza della catena di fornitura
5Sicurezza nello sviluppo di sistemi di rete e informativi
🔐
Controlli Tecnici
8Crittografia & cifratura
10Autenticazione a più fattori & comunicazioni sicure
👥
Persone & Risorse
7Igiene informatica & formazione
9Sicurezza HR & controllo degli accessi

La clausola sulla catena di fornitura cattura aziende nemmeno nell'ambito

Questa è la disposizione dalla portata più lunga. La NISG 2026 obbliga le entità interessate a valutare e mettere in sicurezza contrattualmente la cybersicurezza dei propri fornitori e prestatori diretti.

Significa che un'entità austriaca regolata trasferirà i requisiti di sicurezza attraverso i propri contratti. Persino un'azienda che resta sotto le soglie dimensionali — e quindi non è direttamente regolata — può essere obbligata a fornire prove di sicurezza come condizione per restare nella catena di fornitura.

Se il tuo cliente vende a un ospedale, una banca, un operatore energetico o un'azienda di telecomunicazioni in Austria, aspettati che questionari di sicurezza, clausole contrattuali e diritti di audit compaiano nelle trattative di rinnovo. L'acquirente regolato ha l'obbligo di legge di richiederli.

È il meccanismo che rende NIS2 una forza di mercato, non solo una voce di conformità. Un piccolo MSP a Vienna senza alcun obbligo diretto può comunque perdere un contratto per non aver superato la valutazione fornitori di un cliente. Per il dettaglio del funzionamento pratico, vedi la nostra guida sulla sicurezza della catena di fornitura NIS2 e gli approfondimenti sui contratti con i fornitori secondo l'Article 21.

Escalation delle sanzioni NIS2 — Oltre la multa
!
Evento scatenante
Non conformità rilevata o incidente verificatosi
Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2
Le autorità possono imporre
▼
Sanzioni non finanziarie
1
Ordini di conformità con scadenze vincolanti
2
Audit di sicurezza obbligatori a vostre spese
3
Divulgazione pubblica delle violazioni
4
Istruzioni vincolanti su misure di sicurezza specifiche
Scala verso
▼
Conseguenze operative e personali
1
Sospensione di certificazioni o licenze operative
2
Divieto temporaneo di funzioni dirigenziali per individui
3
Denominazione pubblica delle persone fisiche responsabili
Evento scatenante
Non finanziario
Operativo / personale

L'Austria si unisce a un gruppo di Stati recepenti che si chiude in fretta

L'Austria non è più un'eccezione. All'inizio del 2026, 21 dei 27 Stati membri avevano recepito NIS2 e la Commissione europea ha deferito i ritardatari alla Corte di giustizia. La Germania ha azionato l'interruttore, il regime di audit del Belgio è operativo, e Francia, Portogallo e Polonia sono tutti attivi.

Per un consulente o un MSP che lavora a livello transfrontaliero, la lezione pratica è che il mosaico si indurisce in una base comune. Un cliente che opera in Austria, Germania e Belgio non può mantenere tre posture di conformità diverse. La mossa intelligente è costruire un set di controlli allineato all'Article 21 e mapparlo su ciascuna declinazione nazionale.

Le variazioni nazionali contano ai margini — portali di registrazione, scadenze precise, tetti sanzionatori — ma il nucleo degli obblighi di gestione del rischio poggia sulla stessa direttiva. Metti a posto il nucleo una volta e il lavoro per Paese si riduce a scartoffie.

Stato di Attuazione NIS2 per Paese (2025–2026)
✅
Pienamente in vigore
🇧🇪Belgio
🇭🇷Croazia
🇭🇺Ungheria
🇱🇹Lituania
🇱🇻Lettonia
🇮🇹Italia
6 paesi
📋
Adottata — fine 2025
🇩🇪Germania
🇨🇿Repubblica Ceca
🇫🇮Finlandia
3 paesi
⏳
In corso — previsto 2026
🇳🇱Paesi Bassi
🇫🇷Francia
🇪🇸Spagna
🇵🇱Polonia
🇦🇹Austria
🇸🇪Svezia
🇮🇪Irlanda
7 paesi

Cosa fare prima del 1° ottobre 2026

La finestra è breve e l'ordine conta. Se assisti un cliente austriaco, procedi in questo ordine.

Per prima cosa, conferma l'ambito. Esegui ora il test di soglia dimensionale e di settore, prima di ottobre, così il cliente sa se è essenziale, importante o fuori. Non dare nulla per scontato — l'inclusione del gioco e dell'infrastruttura digitale cattura organizzazioni che non si sono mai viste come critiche.

In secondo luogo, informa il consiglio. Porta presto la responsabilità personale e gli obblighi di formazione davanti agli amministratori. È ciò che sblocca budget e mandato.

In terzo luogo, esegui un'analisi dei divari rispetto all'Article 21. Le dieci misure sono il nucleo della conformità, e la maggior parte delle organizzazioni ne ha, al massimo, tre o quattro implementate a metà. La nostra guida passo-passo all'analisi dei divari ripercorre il processo.

In quarto luogo, registrati prima del 31 dicembre 2026. Una volta confermato l'ambito, la registrazione è amministrativa — ma non lasciar scadere il termine.

In quinto luogo, sistema la catena di fornitura. Mappa i fornitori critici del tuo cliente e avvia subito il lavoro contrattuale. È il punto più lento perché dipende dalle controparti, quindi inizia presto.

Se vuoi sapere a che punto è oggi una specifica organizzazione, il punto di partenza più rapido è una valutazione di prontezza strutturata che la valuta rispetto a ogni misura dell'Article 21 e segnala le lacune. Fai il quick scan NIS2 e in pochi minuti avrai un quadro prioritizzato — esattamente il tipo di prova che il consiglio, e i clienti di un fornitore austriaco, vorranno vedere.

La NISG 2026 è legge da dicembre. L'orologio verso il 1° ottobre è già in moto.