Zum Inhalt springen

NIS2 & Standards

NIS2 in Österreich: Wer ist betroffen, ab wann, mit welchen Strafen

NISG 2026 ist die österreichische Umsetzung der EU-NIS2-Richtlinie. Welche Unternehmen jetzt unter NIS2 fallen, welche Pflichten konkret auf der Geschäftsführung liegen und welche Strafen drohen — ein Praxis-Check für die Leitungsebene.

Mit dem Inkrafttreten des NISG 2026 hat Österreich die EU-NIS2-Richtlinie in nationales Recht überführt. Für viele Geschäftsführungen in der Steiermark — und österreichweit — bedeutet das: die Unsicherheit der letzten zwei Jahre weicht einer konkreten Pflichtenlage, mit messbaren Fristen und persönlicher Haftung der Leitungsorgane.

Dieser Beitrag beantwortet drei Fragen, die in unseren Erstgesprächen seit Wochen am häufigsten kommen: Sind wir betroffen? Was müssen wir konkret tun? Und was passiert, wenn wir nichts tun?

NISG 2026 — die österreichische Umsetzung in einem Absatz

Die EU-Richtlinie 2022/2555 (NIS2) musste von allen Mitgliedstaaten bis 17. Oktober 2024 ins nationale Recht umgesetzt werden. Österreich hat das mit dem NISG 2026 getan, das den Anwendungsbereich der Vorgängerregelung NIS-G deutlich ausweitet: mehr Sektoren, mehr Unternehmen, härtere Sanktionen und — das ist neu — explizite Pflichten für die Leitungsorgane.

Die zentrale Aufsichtsbehörde in Österreich ist das Bundesministerium für Inneres über die Direktion Staatsschutz und Nachrichtendienst (DSN) sowie das GovCERT als technische Anlaufstelle.

Wer ist betroffen — die zwei Kriterien

NIS2-Betroffenheit ergibt sich aus zwei Faktoren, die beide zugleich erfüllt sein müssen: Sektor und Größe.

Die Richtlinie unterscheidet zwischen Sektoren mit hoher Kritikalität (Anhang I) und anderen kritischen Sektoren (Anhang II). Erstere führen zur Einstufung als „wesentliche Einrichtung”, letztere als „wichtige Einrichtung” — vorausgesetzt, die Größenkriterien werden erreicht.

Sektoren mit hoher Kritikalität (Anhang I) umfassen unter anderem:

  • Energie (Strom, Gas, Erdöl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Schiff, Straße)
  • Bankwesen + Finanzmarktinfrastrukturen
  • Gesundheitswesen (inkl. EU-zugelassene Pharma, Hersteller kritischer Medizinprodukte)
  • Trinkwasser- und Abwasserversorgung
  • Digitale Infrastruktur (DNS, TLD, Cloud, Datenzentren, Vertrauensdienste-Anbieter)
  • IT-Dienstleister mit Verwaltungsfunktion (Managed Services Provider)
  • Öffentliche Verwaltung
  • Raumfahrt

Andere kritische Sektoren (Anhang II) umfassen:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie (Herstellung, Vertrieb)
  • Lebensmittel (Produktion, Verarbeitung, Großhandel)
  • Verarbeitendes Gewerbe (Medizinprodukte, Computer/Elektronik/Optik, Elektrische Ausrüstung, Maschinenbau, Kraftfahrzeuge, sonstige Fahrzeuge)
  • Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Die Größenkriterien sind eindeutig:

  • Ab 50 Mitarbeitenden ODER
  • Ab 10 Mio EUR Jahresumsatz

Wer beide Schwellen unterschreitet, fällt grundsätzlich nicht unter NIS2 — mit Ausnahmen für besonders kritische Akteure (z. B. einziger Anbieter eines Dienstes für ein Land, DNS-Provider, Vertrauensdienste-Anbieter), die unabhängig von der Größe betroffen sind.

Wesentliche versus wichtige Einrichtungen — der Unterschied

Die Unterscheidung wirkt akademisch, hat aber direkte praktische Konsequenzen — vor allem bei Strafen und Aufsichtsregime.

Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht: Die Behörde kann ohne Anlass prüfen, Audits anordnen, Maßnahmen verlangen. Die Sanktions-Höchstgrenze liegt bei 10 Mio EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht: Die Behörde wird tätig, wenn es Hinweise auf Verstöße gibt — etwa nach einem Vorfall, einer Meldung Dritter oder im Rahmen von Stichproben. Die Höchstgrenze liegt bei 7 Mio EUR oder 1,4 % des weltweiten Jahresumsatzes.

Beide Kategorien haben inhaltlich dieselben Pflichten. Der Unterschied liegt in Aufsichtsintensität und maximalen Geldbußen.

Welche Pflichten konkret auf der Geschäftsführung liegen

Hier liegt der eigentliche Bruch zur alten Rechtslage. NIS2 (und damit NISG 2026) macht aus Cybersecurity eine Verantwortung der Leitungsorgane — nicht der IT-Abteilung.

Artikel 20 der NIS2-Richtlinie formuliert es direkt: Die Leitungsorgane müssen die Cybersecurity-Risiken kennen, Maßnahmen genehmigen, deren Umsetzung überwachen und für ihre Wirksamkeit haften. Sie müssen regelmäßig geschult werden — und in vielen Fällen müssen sie ihren Mitarbeitenden vergleichbare Schulungen anbieten.

Artikel 21 listet zehn Mindestbereiche, die jede betroffene Einrichtung abdecken muss.

  1. Risikomanagement-Verfahren für die Informationssicherheit
  2. Vorfallsbehandlung
  3. Geschäftskontinuität und Krisenmanagement
  4. Sicherheit der Lieferkette (inkl. direkte Lieferanten)
  5. Sicherheit bei Erwerb, Entwicklung und Wartung
  6. Bewertung der Wirksamkeit der Maßnahmen
  7. Grundlegende Cyber-Hygiene und Awareness
  8. Kryptographie und Verschlüsselung
  9. Personalsicherheit, Zugriffskontrolle, Asset-Management
  10. Multifaktor-Authentifizierung und kontinuierliche Authentifizierung

Das ist keine technische Checkliste — es ist ein Mindestrahmen, der mit einem klassischen ISMS nach ISO 27001 weitgehend abgedeckt wird, aber nicht zwingend in dieser Form. Wer schon nach ISO 27001 arbeitet, hat einen Großteil bereits erledigt. Wer nicht, muss eine entsprechende Struktur schaffen.

Meldepflichten — die 24/72/30-Regel

Bei einem signifikanten Cybersicherheitsvorfall greifen drei gestaffelte Meldefristen:

  • Innerhalb von 24 Stunden nach Kenntnis des Vorfalls: eine Frühwarnung an die zuständige Behörde — kann formlos sein, muss aber den Vorfall benennen und einen Status angeben.
  • Innerhalb von 72 Stunden: eine Vorfallsmeldung mit ersten Bewertungen — Art, Auswirkungen, vermutete Ursachen, ergriffene Maßnahmen.
  • Innerhalb von einem Monat: ein Abschlussbericht mit detaillierter Analyse, Lessons Learned und Plan für Folgemaßnahmen.

Wer eine dieser Fristen versäumt, riskiert eine separate Sanktion zusätzlich zu möglichen Strafen für den Vorfall selbst.

Strafen + persönliche Haftung der Leitungsorgane

Die Geldbußen sind hoch — aber sie sind nicht der einzige Hebel. NIS2 sieht vor, dass die Aufsichtsbehörde Geschäftsführerinnen und Geschäftsführer wesentlicher Einrichtungen vorübergehend von der Ausübung ihrer Leitungsfunktion suspendieren kann, wenn diese ihren Pflichten nachweislich nicht nachkommen.

Diese persönliche Sanktion ist neuartig im Cybersecurity-Recht. Sie folgt einer Logik, die DSGVO-Erfahrene kennen werden: Wenn ein Unternehmen wiederholt gegen elementare Pflichten verstößt, wird die Verantwortung an den Personen festgemacht, die die Entscheidungen getroffen — oder nicht getroffen — haben.

Praktisch bedeutet das für die Geschäftsführung: Eine delegierte Verantwortung an die IT-Abteilung schützt nicht vor persönlicher Haftung. Wer als Geschäftsführer:in eines betroffenen Unternehmens den Nachweis nicht erbringen kann, dass die Maßnahmen nach Artikel 21 implementiert sind und überwacht werden, trägt das Risiko selbst.

Self-Check für steirische Branchen

Die folgende Tabelle ist kein Ersatz für eine sorgfältige Einzelfallprüfung — sie zeigt typische Konstellationen, mit denen wir in der Beratung in der Steiermark regelmäßig konfrontiert sind.

Branche / UnternehmenNIS2-Einstufung typischSchwellwert kritisch
Maschinenbau, Anlagenbau (50+ MA)Wichtige Einrichtung (Anhang II)Mitarbeiterzahl + Industrie-Anhang
Stahl / Metallverarbeitung (50+ MA)Wichtige Einrichtung (Anhang II)Mitarbeiterzahl
Lebensmittelproduktion (50+ MA)Wichtige Einrichtung (Anhang II)Mitarbeiterzahl
Energieversorger (jeder Größe)Wesentliche Einrichtung (Anhang I)Sektor-Zuordnung, nicht Größe
Wasser- / AbwasserbetriebeWesentliche Einrichtung (Anhang I)Sektor-Zuordnung
Krankenhäuser, PharmagroßhändlerWesentliche Einrichtung (Anhang I)Sektor-Zuordnung
IT-Dienstleister mit Verwaltungsdienst (Managed Services)Wesentliche Einrichtung (Anhang I)Sektor-Zuordnung
Kleinerer IT-Dienstleister (<50 MA, <10 Mio EUR)grundsätzlich nicht betroffenGrößenausnahme
Reines Software-Unternehmen ohne Anhang-Bezugmeist nichtaußerhalb der Sektoren
Handelsunternehmen ohne Online-Marktplatz-Charaktermeist nichtaußerhalb der Sektoren

Wichtige Stolperfalle: Auch wenn das eigene Unternehmen nicht direkt unter NIS2 fällt, kann es als Lieferant einer betroffenen Einrichtung in der Pflicht stehen. Großkunden aus den Anhängen I und II werden ihre Lieferanten vertraglich auf Cybersicherheits-Anforderungen festlegen — egal ob diese selbst gesetzlich verpflichtet sind oder nicht. Aus dieser Lieferketten-Logik entstehen aktuell die meisten Beratungsanfragen außerhalb der direkt regulierten Branchen.

Wenn Sie betroffen sind — die nächsten drei Schritte

Schritt 1: Standortbestimmung. Bevor irgendwelche Maßnahmen umgesetzt werden, braucht es Klarheit über den aktuellen Reifegrad. Ein Cyber Reality Check liefert in einem bis zwei Tagen eine strukturierte Bestandsaufnahme: Welche der zehn Mindestbereiche sind abgedeckt? Wo sind die größten Lücken? Was muss innerhalb von sechs Monaten erledigt sein, was kann später kommen?

Schritt 2: Geschäftsführungs-Briefing. Die NIS2-Pflichten richten sich an die Leitungsorgane, nicht an die IT-Abteilung. Ein halbtägiges NIS2-Strategiebriefing bringt Geschäftsführung und IT-Lead auf denselben Wissensstand und definiert, wer welche Verantwortung übernimmt — bevor die operative Umsetzung beginnt.

Schritt 3: Umsetzungs-Roadmap. Ist die Standortbestimmung gemacht und die Verantwortung geklärt, beginnt die eigentliche Arbeit: Lücken schließen, Prozesse dokumentieren, Wirksamkeit messen. Das geschieht entweder im Rahmen eines NIS2-Beratungsmandats über mehrere Monate oder — bei größerer Reifeerwartung — über den Aufbau einer dauerhaften Cybersecurity-Governance-Struktur.

Wer den Nachweis der Wirksamkeit dann tatsächlich braucht — etwa in einer Behördenprüfung oder bei einer Auditanforderung eines Großkunden — sollte sich frühzeitig mit der Logik beschäftigen, dass im Audit nicht die Absicht zählt, sondern der Nachweis.

Fazit

NIS2 ist seit Oktober 2024 EU-rechtlich anwendbar, das österreichische NISG 2026 macht die Umsetzung verbindlich. Die zentralen Fragen für jede Geschäftsführung sind in dieser Reihenfolge: Sind wir betroffen? Wer trägt bei uns die Verantwortung? Welche der zehn Mindestbereiche haben wir abgedeckt? Welche Lücken müssen geschlossen werden — bis wann, mit welchem Budget, durch wen?

Wer diese Fragen nicht beantworten kann, hat kein technisches Problem. Er hat eine Governance-Lücke, die im Ernstfall zur persönlichen Haftung führt. Die gute Nachricht: Diese Lücke lässt sich strukturiert schließen — mit überschaubarem Aufwand und ohne aktionistische Großprojekte. Die weniger gute: Wer wartet, bis die erste Vorfallsmeldung pflichtig wird, hat den ungünstigsten Zeitpunkt gewählt.

Themen

Mehr aus „NIS2 & Standards"

Vertikale Skala mit fünf Markierungen, vierte Markierung in Blau hervorgehoben als Nachweisstufe
NIS2 & Standards

Im Audit zählt der Nachweis, nicht die Absicht

ISO 27001, NIS2 und TISAX verlangen nicht nur Prozesse — sie verlangen Belege, dass diese Prozesse wirken. Was Auditoren fragen und was Unternehmen vorbereiten müssen.

Weiterlesen
Vier gestapelte Aktendeckel, der oberste angehoben in Blau hervorgehoben
NIS2 & Standards

ISO 27001 ist kein Projekt, sondern Pflege

Wer ISO 27001 als Projekt mit Stichdatum behandelt, scheitert vorhersehbar. Warum die Norm einen kontinuierlichen Pflegezyklus statt eines Endpunkts braucht.

Weiterlesen
Drei Aktendeckel in unterschiedlichen Größen nebeneinander, der mittlere in Blau hervorgehoben
NIS2 & Standards

ISO 27001 ist auch für den Mittelstand machbar

ISO 27001 gilt als Großunternehmen-Standard. Falsch. Drei Hebel, mit denen mittelständische Organisationen die Norm pragmatisch und skalierbar einsetzen.

Weiterlesen

Erstgespräch

Sicherheit braucht ein Gegenüber, kein Tool.

Im 30-Minuten-Erstgespräch klären wir, wo Ihr Unternehmen steht und welcher nächste Schritt sinnvoll ist.

Termin vereinbaren Kontakt aufnehmen