Austriacka NISG 2026 obowiązuje: co muszą wiedzieć dostawcy z UE

Austria opublikowała NISG 2026 w Federalnym Dzienniku Ustaw 23 grudnia 2025 r. Ustawa wchodzi w życie 1 października 2026 r. Liczba objętych nią organizacji rośnie z około 100 w poprzednim reżimie do szacunkowo 4000.

Jeśli doradzasz austriackim klientom — albo prowadzisz gdziekolwiek w UE firmę, która jednego z nich zaopatruje — ta data jest teraz twardą linią w twoim harmonogramie. Po 1 października rejestracja jest obowiązkowa, zarząd odpowiada osobiście, a klauzule dotyczące łańcucha dostaw wciągają dostawców, którzy nie są nawet bezpośrednio regulowani.

Oto co się zmieniło, kogo to obejmuje i co powinieneś zrobić w ciągu najbliższych trzech miesięcy.

NISG 2026 zastępuje ustawę, która nie obejmowała prawie nikogo

Pierwotna austriacka ustawa NIS obejmowała około 100 operatorów usług kluczowych. O to właśnie chodziło w NIS2 w całej UE: pierwsza dyrektywa była zbyt wąska, więc druga drastycznie poszerzyła sieć.

NISG 2026 jest tego efektem. Transponuje dyrektywę (UE) 2022/2555 i wiernie odwzorowuje jej strukturę — Annex I dla sektorów podmiotów kluczowych, Annex II dla podmiotów ważnych. Telekomunikacja, usługi finansowe, energetyka, transport, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna, a nawet licencjonowani operatorzy hazardowi są teraz w zakresie.

Próg wielkości to standardowy unijny test dla średnich przedsiębiorstw: 50 lub więcej pracowników albo roczny obrót i suma bilansowa powyżej 10 mln EUR. Spełnienie jednego z nich oznacza domniemane objęcie. Niektóre podmioty — na przykład dostawcy publicznych sieci łączności elektronicznej — są objęte niezależnie od wielkości.

Tak właśnie przechodzi się od 100 do 4000.

Kluczowy czy ważny decyduje o tym, jak mocno uderza organ

Klasyfikacja nie jest kosmetyczna. Określa twój pułap kar i to, jak blisko przygląda się regulator.

Podmiotom kluczowym (Annex I) grożą kary administracyjne do 10 mln EUR lub 2% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Podlegają nadzorowi proaktywnemu — organ może cię skontrolować, nie czekając na incydent.

Podmiotom ważnym (Annex II) grożą kary do 7 mln EUR lub 1,4% globalnego obrotu, a nadzór jest reaktywny — organ wkracza, gdy coś pójdzie nie tak lub wpłynie skarga.

Większość klientów konsultantów wyląduje w kategorii podmiotów ważnych. To nie powód do rozluźnienia. Obowiązki są niemal identyczne; różnią się tylko postawa egzekucyjna i pułap kary.

Czy NIS2 Dotyczy Twojej Organizacji?
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak▼
Nie▼
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
✗
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
Tak▼
Nie▼
✓
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak▼
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak ↓Nie →
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
Tak ↓Nie →
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak ↓Nie →
✗
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
✓
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
Dotyczy
Możliwe zastosowanie
Nie dotyczy

Rejestracja zamyka się 31 grudnia 2026 r. — i to jest łatwa część

Gdy tylko ustawa wejdzie w życie 1 października, objęte podmioty mają trzy miesiące na rejestrację w NIS Anlaufstelle, krajowym punkcie kontaktowym przy Federalnym Ministerstwie Spraw Wewnętrznych. Twardy termin przypada więc na 31 grudnia 2026 r.

Jeśli go przegapisz, kara sięga 50 000 EUR za pierwsze naruszenie i rośnie do 100 000 EUR przy recydywie. Te kwoty są małe wobec wielomilionowych pułapów za naruszenia merytoryczne, ale rejestracja to także moment, w którym pojawiasz się na radarze regulatora. Spóźniona lub brakująca rejestracja to najłatwiejsza rzecz, jaką organ może wychwycić i ukarać.

Traktuj rejestrację jako termin, nie jako projekt. Prawdziwa praca to wszystko, do czego rejestracja cię zobowiązuje: środki zarządzania ryzykiem z Article 21, zgłaszanie incydentów i kontrole łańcucha dostaw.

Obowiązek dźwiga zarząd — nie dział IT

To część, którą austriaccy menedżerowie wciąż lekceważą. Zgodnie z NISG 2026 odpowiedzialność za wdrażanie i monitorowanie środków zarządzania cyberryzykiem spoczywa wprost na zarządzie lub dyrektorach wykonawczych.

Nie możesz tego oddelegować na CISO i odejść. Zarząd musi zatwierdzić środki, nadzorować je i może — zgodnie z logiką dyrektywy — zostać pociągnięty do osobistej odpowiedzialności za uchybienia. Kierownictwo jest też zobowiązane do odbycia szkolenia z cyberbezpieczeństwa.

Dla konsultantów to twoje wejście. Rozmowa, która cię wprowadza, nie brzmi „wasz firewall wymaga pracy". Brzmi „wasi dyrektorzy odpowiadają teraz osobiście za ramy kontroli, których nigdy nie widzieli". Najpierw odpraw zarząd. Budżet pójdzie w ślad.

Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
🛡️
Artykuł 21
10 Środków Cyberbezpieczeństwa
📊
Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji
6Ocena skuteczności środków bezpieczeństwa
🚨
Incydenty & Ciągłość
2Obsługa incydentów & zgłaszanie
3Ciągłość działania & odtwarzanie po awarii
🔗
Łańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw
5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznych
🔐
Kontrole Techniczne
8Kryptografia & szyfrowanie
10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacja
👥
Ludzie & Zasoby
7Cyberhigiena & szkolenia
9Bezpieczeństwo HR & kontrola dostępu

Klauzula łańcucha dostaw łapie firmy, których nawet nie ma w zakresie

To przepis o najdłuższym zasięgu. NISG 2026 zobowiązuje objęte podmioty do oceny i umownego zabezpieczenia cyberbezpieczeństwa swoich bezpośrednich dostawców i usługodawców.

Oznacza to, że regulowany austriacki podmiot przerzuci wymogi bezpieczeństwa przez swoje umowy. Nawet firma, która pozostaje poniżej progów wielkości — a więc nie jest bezpośrednio regulowana — może zostać zobowiązana do przedstawienia dowodów bezpieczeństwa jako warunku pozostania w łańcuchu dostaw.

Jeśli twój klient sprzedaje szpitalowi, bankowi, operatorowi energetycznemu lub firmie telekomunikacyjnej w Austrii, spodziewaj się, że w negocjacjach przedłużeniowych zaczną pojawiać się kwestionariusze bezpieczeństwa, klauzule umowne i prawa do audytu. Regulowany nabywca ma prawny obowiązek ich żądać.

To mechanizm, który czyni z NIS2 siłę rynkową, a nie jedynie pozycję zgodności. Mały MSP w Wiedniu bez żadnego bezpośredniego obowiązku może mimo to stracić kontrakt, nie przechodząc oceny dostawcy u klienta. Po szczegóły działania w praktyce zajrzyj do naszego przewodnika o bezpieczeństwie łańcucha dostaw NIS2 oraz do informacji o umowach z dostawcami według Article 21.

Eskalacja sankcji NIS2 — Poza karą finansową
!
Zdarzenie wyzwalające
Wykryto niezgodność lub wystąpił incydent
Organ nadzorczy identyfikuje lukę w zgodności lub organizacja nie spełnia wymagań NIS2
Organy mogą nałożyć
▼
Sankcje niefinansowe
1
Nakazy zgodności z wiążącymi terminami
2
Obowiązkowe audyty bezpieczeństwa na Twój koszt
3
Publiczne ujawnienie naruszeń
4
Wiążące instrukcje dotyczące konkretnych środków bezpieczeństwa
Eskaluje do
▼
Konsekwencje operacyjne i osobiste
1
Zawieszenie certyfikatów lub licencji operacyjnych
2
Tymczasowy zakaz pełnienia funkcji zarządczych dla osób
3
Publiczne wskazanie odpowiedzialnych osób fizycznych
Zdarzenie wyzwalające
Niefinansowe
Operacyjne / osobiste

Austria dołącza do szybko domykającej się grupy państw, które dokonały transpozycji

Austria nie jest już wyjątkiem. Na początku 2026 r. 21 z 27 państw członkowskich dokonało transpozycji NIS2, a Komisja Europejska skierowała maruderów do Trybunału Sprawiedliwości. Niemcy przełączyły wajchę, belgijski reżim audytów działa, a Francja, Portugalia i Polska są już aktywne.

Dla konsultanta lub MSP działającego transgranicznie praktyczny wniosek jest taki, że mozaika twardnieje w wspólną podstawę. Klient działający w Austrii, Niemczech i Belgii nie może utrzymywać trzech różnych postaw zgodności. Rozsądnym ruchem jest zbudowanie jednego zestawu kontroli zgodnego z Article 21 i odwzorowanie go na każdą krajową odmianę.

Różnice krajowe liczą się na obrzeżach — portale rejestracyjne, dokładne terminy, pułapy kar — ale rdzeń obowiązków zarządzania ryzykiem opiera się na tej samej dyrektywie. Uporządkuj rdzeń raz, a praca per kraj skurczy się do papierkowej roboty.

Status Wdrożenia NIS2 według Kraju (2025–2026)
✅
W pełni obowiązuje
🇧🇪Belgia
🇭🇷Chorwacja
🇭🇺Węgry
🇱🇹Litwa
🇱🇻Łotwa
🇮🇹Włochy
6 krajów
📋
Przyjęta — koniec 2025
🇩🇪Niemcy
🇨🇿Czechy
🇫🇮Finlandia
3 krajów
⏳
W trakcie — oczekiwane 2026
🇳🇱Holandia
🇫🇷Francja
🇪🇸Hiszpania
🇵🇱Polska
🇦🇹Austria
🇸🇪Szwecja
🇮🇪Irlandia
7 krajów

Co zrobić przed 1 października 2026 r.

Okno jest krótkie, a kolejność ma znaczenie. Jeśli doradzasz austriackiemu klientowi, działaj w tej kolejności.

Po pierwsze, potwierdź zakres. Przeprowadź test progu wielkości i sektora już teraz, przed październikiem, aby klient wiedział, czy jest kluczowy, ważny, czy poza zakresem. Niczego nie zakładaj — włączenie hazardu i infrastruktury cyfrowej łapie organizacje, które nigdy nie uważały się za krytyczne.

Po drugie, odpraw zarząd. Wcześnie przedstaw dyrektorom kwestię osobistej odpowiedzialności i obowiązków szkoleniowych. To odblokowuje budżet i mandat.

Po trzecie, przeprowadź analizę luk względem Article 21. Dziesięć środków stanowi rdzeń zgodności, a większość organizacji ma w najlepszym razie trzy lub cztery wdrożone w połowie. Nasz przewodnik krok po kroku po analizie luk prowadzi przez ten proces.

Po czwarte, zarejestruj się przed 31 grudnia 2026 r. Po potwierdzeniu zakresu rejestracja jest administracyjna — ale nie pozwól, by termin ci umknął.

Po piąte, napraw łańcuch dostaw. Zmapuj krytycznych dostawców klienta i już teraz zacznij pracę umowną. To najwolniejszy punkt, bo zależy od kontrahentów, więc zacznij wcześnie.

Jeśli chcesz wiedzieć, gdzie dana organizacja stoi dzisiaj, najszybszym punktem startu jest ustrukturyzowana ocena gotowości, która ocenia ją względem każdego środka Article 21 i wskazuje luki. Wykonaj quick scan NIS2, a w kilka minut będziesz mieć spriorytetyzowany obraz — dokładnie taki dowód, jaki zechce zobaczyć zarząd i klienci austriackiego dostawcy.

NISG 2026 jest prawem od grudnia. Zegar do 1 października już tyka.