Oostenrijkse NISG 2026 is live: wat EU-leveranciers moeten weten

Oostenrijk publiceerde de NISG 2026 op 23 december 2025 in het Bundesgesetzblatt. De wet treedt op 1 oktober 2026 in werking. Het aantal organisaties dat onder de wet valt, stijgt van zo'n 100 onder het oude regime naar naar schatting 4.000.

Adviseer je Oostenrijkse klanten — of run je ergens in de EU een bedrijf dat aan zo'n klant levert — dan is die datum nu een harde lijn in je planning. Na 1 oktober is registratie verplicht, is het bestuur persoonlijk aansprakelijk en trekken de toeleveringsketenclausules leveranciers mee die zelf niet eens direct gereguleerd zijn.

Dit is wat er veranderd is, wie eronder valt en wat je de komende drie maanden moet doen.

De NISG 2026 vervangt een wet die bijna niemand raakte

De oorspronkelijke Oostenrijkse NIS-wet gold voor ongeveer 100 exploitanten van essentiële diensten. Dat was precies het punt van NIS2 in de hele EU: de eerste richtlijn was te smal, dus de tweede verbreedde het net drastisch.

De NISG 2026 is het resultaat. De wet zet Richtlijn (EU) 2022/2555 om en volgt de structuur exact — Annex I voor sectoren met essentiële entiteiten, Annex II voor belangrijke entiteiten. Telecom, financiële dienstverlening, energie, transport, gezondheidszorg, digitale infrastructuur, openbaar bestuur en zelfs vergunde kansspelaanbieders vallen nu onder de wet.

De omvangsdrempel is de standaard EU-test voor middelgrote ondernemingen: 50 of meer werknemers, of een jaaromzet én balanstotaal boven EUR 10 miljoen. Voldoe je aan één daarvan, dan val je vermoedelijk onder de wet. Sommige entiteiten — aanbieders van openbare elektronische communicatienetwerken bijvoorbeeld — vallen eronder ongeacht hun omvang.

Zo kom je van 100 naar 4.000.

Essentieel versus belangrijk bepaalt hoe hard de autoriteit toeslaat

De classificatie is niet cosmetisch. Ze bepaalt je boeteplafond en hoe scherp de toezichthouder meekijkt.

Essentiële entiteiten (Annex I) riskeren administratieve boetes tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Ze vallen onder proactief toezicht — de autoriteit kan je controleren zonder op een incident te wachten.

Belangrijke entiteiten (Annex II) riskeren boetes tot EUR 7 miljoen of 1,4% van de wereldwijde omzet, en het toezicht is reactief — de autoriteit grijpt in nadat er iets misgaat of een klacht binnenkomt.

De meeste klanten van consultants belanden in de categorie belangrijke entiteit. Dat is geen reden om te ontspannen. De verplichtingen zijn vrijwel identiek; alleen de handhavingshouding en het boeteplafond verschillen.

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼
Nee▼
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼
Nee▼
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

Registratie sluit op 31 december 2026 — en dat is het makkelijke deel

Zodra de wet op 1 oktober in werking treedt, hebben gedekte entiteiten drie maanden om zich te registreren bij de NIS Anlaufstelle, het nationale contactpunt onder het federale ministerie van Binnenlandse Zaken. Daarmee komt de harde deadline op 31 december 2026 te liggen.

Mis je die, dan is de boete tot EUR 50.000 voor een eerste overtreding, oplopend tot EUR 100.000 bij herhaling. Die bedragen zijn klein naast de plafonds van miljoenen euro's voor inhoudelijke overtredingen, maar registratie is ook het moment waarop je op de radar van de toezichthouder verschijnt. Late of ontbrekende registratie is het makkelijkst denkbare wat een autoriteit kan opmerken en beboeten.

Behandel registratie als een deadline, niet als een project. Het echte werk is alles waartoe de registratie je verplicht: de risicomanagementmaatregelen onder Article 21, incidentmelding en toeleveringsketencontroles.

Het bestuur draagt de verplichting — niet de IT-afdeling

Dit is het deel dat Oostenrijkse bestuurders blijven onderschatten. Onder de NISG 2026 ligt de verantwoordelijkheid voor het implementeren en monitoren van cyberrisicomaatregelen expliciet bij het bestuur of de directie.

Je kunt dit niet aan de CISO delegeren en wegwandelen. Het bestuur moet de maatregelen goedkeuren, erop toezien en kan — volgens de logica van de richtlijn — persoonlijk aansprakelijk worden gesteld voor falen. Het management is ook verplicht een cybersecuritytraining te volgen.

Voor consultants is dit je opening. Het gesprek dat je binnenbrengt is niet "je firewall moet beter." Het is "jullie bestuurders zijn nu persoonlijk verantwoordelijk voor een beheersraamwerk dat ze nog nooit gezien hebben." Brief eerst het bestuur. Het budget volgt.

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
🛡️
Artikel 21
10 Cybersecuritymaatregelen
📊
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
🚨
Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
🔗
Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
🔐
Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
👥
Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

De toeleveringsketenclausule raakt bedrijven die zelf niet onder de wet vallen

Dit is de bepaling met het langste bereik. De NISG 2026 verplicht gedekte entiteiten om de cybersecurity van hun directe leveranciers en dienstverleners te beoordelen en contractueel vast te leggen.

Dat betekent dat een gereguleerde Oostenrijkse entiteit beveiligingseisen via haar contracten doorduwt. Zelfs een bedrijf dat onder de omvangsdrempels blijft — en dus niet direct gereguleerd is — kan verplicht worden beveiligingsbewijs te leveren als voorwaarde om in de toeleveringsketen te blijven.

Verkoopt je klant aan een ziekenhuis, een bank, een energie-exploitant of een telecombedrijf in Oostenrijk, verwacht dan dat beveiligingsvragenlijsten, contractclausules en auditrechten in verlengingsonderhandelingen opduiken. De gereguleerde koper heeft een wettelijke plicht om ze te eisen.

Dit is het mechanisme dat van NIS2 een marktkracht maakt, niet slechts een compliancepost. Een kleine MSP in Wenen zonder enige directe verplichting kan toch een contract verliezen door een leveranciersbeoordeling van een klant niet te halen. Voor de diepere werking in de praktijk, zie onze gids over NIS2-toeleveringsketenbeveiliging en de details over leverancierscontracten onder Article 21.

NIS2-sanctie-escalatie — Voorbij de boete
!
Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen
▼
Niet-financiële sancties
1
Nalevingsbevelen met bindende deadlines
2
Verplichte security-audits op eigen kosten
3
Publieke bekendmaking van overtredingen
4
Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar
▼
Operationele en persoonlijke gevolgen
1
Opschorting van certificeringen of vergunningen
2
Tijdelijk verbod op bestuursfuncties voor personen
3
Publieke benoeming van verantwoordelijke natuurlijke personen
Aanleiding
Niet-financieel
Operationeel / persoonlijk

Oostenrijk sluit aan bij een snel sluitende groep omgezette lidstaten

Oostenrijk is geen uitzondering meer. Begin 2026 hadden 21 van de 27 lidstaten NIS2 omgezet, en de Europese Commissie verwees de achterblijvers naar het Hof van Justitie. Duitsland zette de schakel om, het auditregime van België draait en Frankrijk, Portugal en Polen zijn allemaal live.

Voor een consultant of MSP die grensoverschrijdend werkt, is de praktische les dat de lappendeken uithardt tot een basislijn. Een klant die in Oostenrijk, Duitsland en België actief is, kan geen drie verschillende compliancehoudingen aanhouden. De slimme zet is één op Article 21 afgestemde set controles te bouwen en die op elke nationale variant te mappen.

De nationale verschillen tellen aan de randen — registratieportalen, exacte deadlines, boeteplafonds — maar de kern van de risicomanagementverplichtingen is dezelfde richtlijn eronder. Krijg de kern één keer goed en het werk per land krimpt tot papierwerk.

NIS2 Implementatiestatus per Land (2025–2026)
✅
Volledig van kracht
🇧🇪België
🇭🇷Kroatië
🇭🇺Hongarije
🇱🇹Litouwen
🇱🇻Letland
🇮🇹Italië
6 landen
📋
Aangenomen — eind 2025
🇩🇪Duitsland
🇨🇿Tsjechië
🇫🇮Finland
3 landen
⏳
In uitvoering — verwacht 2026
🇳🇱Nederland
🇫🇷Frankrijk
🇪🇸Spanje
🇵🇱Polen
🇦🇹Oostenrijk
🇸🇪Zweden
🇮🇪Ierland
7 landen

Wat te doen vóór 1 oktober 2026

Het venster is kort en de volgorde telt. Adviseer je een Oostenrijkse klant, werk het dan in deze volgorde af.

Bevestig eerst de reikwijdte. Voer de omvangsdrempel- en sectorcheck nu uit, vóór oktober, zodat de klant weet of hij essentieel, belangrijk of buiten beeld is. Ga er niet van uit — de opname van kansspelen en digitale infrastructuur vangt organisaties die zichzelf nooit als kritiek zagen.

Brief ten tweede het bestuur. Leg de persoonlijke aansprakelijkheid en trainingsverplichtingen vroeg voor aan de directie. Dat ontsluit budget en mandaat.

Voer ten derde een gap-analyse uit tegen Article 21. De tien maatregelen vormen de kern van compliance, en de meeste organisaties hebben er hooguit drie of vier half geïmplementeerd. Onze stapsgewijze gids voor gap-analyse loopt het proces door.

Registreer ten vierde vóór 31 december 2026. Zodra de reikwijdte bevestigd is, is registratie administratief — maar laat de deadline niet voorbijglippen.

Repareer ten vijfde de toeleveringsketen. Breng de kritieke leveranciers van je klant in kaart en begin nu met het contractwerk. Dit is het traagste punt omdat het van tegenpartijen afhangt, dus begin vroeg.

Wil je weten waar een specifieke organisatie vandaag staat, dan is het snelste startpunt een gestructureerde readiness-beoordeling die haar tegen elke Article 21-maatregel scoort en de gaten markeert. Doe de NIS2 quick scan en je hebt in minuten een geprioriteerd beeld — precies het soort bewijs dat het bestuur, en de klanten van een Oostenrijkse leverancier, willen zien.

De NISG 2026 is sinds december wet. De klok naar 1 oktober loopt al.