Wegweiser · NIS2
Bin ich von NIS2 betroffen?
Drei Fragen geben dir eine begründete Wahrscheinlichkeit, ob dein Unternehmen unter NIS2 und das österreichische NISG 2026 fällt: Bist du ein Sonderfall? Wie groß bist du? In welchem Sektor arbeitest du? Das Ergebnis ist eine Orientierung für die Geschäftsführung — die verbindliche Einordnung bleibt eine Einzelfallprüfung.
So funktioniert der Wegweiser
Drei Fragen, eine begründete Einschätzung.
Die NIS2-Betroffenheit ergibt sich nach dem NISG 2026 aus einer einfachen Logik: Entweder du bist ein größenunabhängiger Sonderfall — dann bist du erfasst, egal wie groß du bist. Oder deine Betroffenheit hängt an Größe und Sektor zugleich: Beide müssen erfüllt sein.
Am Ende steht eine von drei Einordnungen: wahrscheinlich wesentliche Einrichtung, wahrscheinlich wichtige Einrichtung oder wahrscheinlich nicht direkt betroffen. Diese Begriffe stammen aus § 24 NISG 2026 und entscheiden über Aufsichtsintensität und Sanktionsrahmen.
Schritt 1 von 3
Bist du ein Sonderfall?
Bestimmte Einrichtungen sind nach § 24 Abs. 1 NISG 2026 unabhängig von der Unternehmensgröße erfasst. Trifft einer der folgenden Punkte zu, bist du sehr wahrscheinlich betroffen — Schritt 2 (Größe) kannst du dann überspringen:
- DNS-Diensteanbieter und TLD-Namenregister
- Qualifizierte Vertrauensdiensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
- Öffentliche Verwaltung auf Bundes- und Landesebene
- Als kritische Einrichtung nach der CER-Richtlinie (EU) 2022/2557 ermittelt
- Einziger Anbieter eines für Österreich unerlässlichen Dienstes
Trifft nichts davon zu, entscheidet sich deine Betroffenheit über Größe und Sektor — weiter mit Schritt 2.
Schritt 2 von 3
Wie groß ist dein Unternehmen?
Die Größenklasse richtet sich nach § 25 NISG 2026 (auf Basis der EU-KMU-Definition). Maßgeblich ist die jeweils erste erfüllte Schwelle:
ab 250 Mitarbeitern
oder Umsatz > 50 Mio. €
und Bilanzsumme > 43 Mio. €
ab 50 Mitarbeitern
oder Umsatz > 10 Mio. €
und Bilanzsumme > 10 Mio. €
klein / kleinst
grundsätzlich nicht direkt erfasst — außer als Sonderfall (Schritt 1)
Hinweis: Unter bestimmten Voraussetzungen werden Daten von Partner- oder verbundenen Unternehmen nicht hinzugerechnet (§ 25 Abs. 4 NISG 2026). Erreichst du mindestens „mittleres Unternehmen", geht es zu Schritt 3.
Schritt 3 von 3
In welchem Sektor arbeitest du?
Das NISG 2026 listet die erfassten Sektoren in zwei Anlagen. Die Zuordnung entscheidet — zusammen mit der Größe — über die Einstufung als wesentliche oder wichtige Einrichtung.
Anlage 1 — Sektoren mit hoher Kritikalität
- Energie (Strom, Fernwärme/-kälte, Erdöl, Erdgas, Wasserstoff)
- Verkehr (Luft, Schiene, Schifffahrt, Straße)
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen (inkl. Pharma, kritische Medizinprodukte)
- Trinkwasser
- Abwasser
- Digitale Infrastruktur (IXP, DNS, TLD, Cloud, Rechenzentren, CDN, Vertrauensdienste, Kommunikationsnetze)
- Verwaltung von IKT-Diensten B2B (Managed Service / Security Service Provider)
- Öffentliche Verwaltung (Bund und Land)
- Weltraum (Bodeninfrastruktur)
Anlage 2 — Sonstige kritische Sektoren
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie (Produktion, Herstellung, Handel)
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Verarbeitendes Gewerbe: Medizinprodukte/IVD, Datenverarbeitung/Elektronik/Optik, elektrische Ausrüstungen, Maschinenbau, Kraftwagen/-teile, sonstiger Fahrzeugbau
- Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Das Ergebnis
Wesentlich, wichtig oder wahrscheinlich nicht betroffen.
Aus Größe und Sektor (oder dem Sonderfall aus Schritt 1) ergibt sich die wahrscheinliche Einstufung nach § 24 NISG 2026:
| Deine Zuordnung | Mittleres Unternehmen | Großes Unternehmen |
|---|---|---|
| Anlage 1 (hohe Kritikalität) | wichtige Einrichtung | wesentliche Einrichtung |
| Anlage 2 (sonstige kritische) | wichtige Einrichtung | wichtige Einrichtung |
| Sonderfall (Schritt 1) | je nach Art wesentliche oder wichtige Einrichtung — größenunabhängig | |
| Kein Anlage-Sektor, kein Sonderfall | wahrscheinlich nicht direkt betroffen — Lieferkette dennoch prüfen | |
Beide Kategorien haben inhaltlich dieselben Pflichten. Der Unterschied: wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht (Prüfung auch ohne Anlass) und einem höheren Sanktionsrahmen, wichtige Einrichtungen einer reaktiven Aufsicht. Die konkreten Bußgeld-Beträge und Geschäftsführungs-Pflichten stehen im Praxis-Beitrag zur NIS2-Betroffenheit.
Stolperfalle
Nicht direkt betroffen heißt nicht außen vor.
Auch wenn dein Unternehmen selbst nicht direkt unter NIS2 fällt, kann es als Lieferant einer betroffenen Einrichtung in die Pflicht kommen. Großkunden aus den Anlagen 1 und 2 müssen ihre Lieferkette absichern (Art. 21 Abs. 2 lit. d NIS2) und geben Cybersicherheits-Anforderungen vertraglich weiter — unabhängig davon, ob der Lieferant selbst gesetzlich verpflichtet ist. Aus dieser Lieferketten-Logik entstehen die meisten Anfragen außerhalb der direkt regulierten Branchen.
Betroffen? So geht es weiter
In 10 Schritten zur NISG-2026-Umsetzung.
Die Roadmap führt von der Feststellung der Betroffenheit bis zum laufenden Betrieb — mit den maßgeblichen Paragrafen des NISG 2026 und den gesetzlichen Fristen als Orientierung für die Reihenfolge.
- 01 § 24 / § 25
Betroffenheit feststellen
Mit dem 3-Fragen-Check oben klären, ob das NISG 2026 überhaupt greift — Sonderfall, Größe, Sektor.
Zum 3-Fragen-Check - 02 § 24
Einstufung klären: wesentlich oder wichtig
Die Kategorie nach § 24 bestimmt Aufsichtsintensität und Sanktionsrahmen. Die Pflichten selbst sind in beiden Fällen gleich.
- 03 § 31 Abs 1 · § 29 Abs 6
Verantwortung verankern & Rollen benennen
Die Leitungsorgane tragen die Verantwortung. Eine zuständige Person benennen und die Kontaktstelle zur Behörde einrichten.
NIS2-Strategiebriefing - 04 § 31 Abs 2
Leitungsorgane schulen
Die Leitung muss an spezifischen Cybersicherheitsschulungen teilnehmen — rechtzeitig vor dem Geltungsbeginn am 1.10.2026.
- 05 § 32
Standortbestimmung & GAP-Analyse
Den aktuellen Reifegrad gegen die geforderten Maßnahmen erheben: Was ist abgedeckt, wo sind die Lücken?
Cyber Reality Check - 06 § 32 Abs 4
Risikomanagementmaßnahmen umsetzen
Die zehn Maßnahmenbereiche aus § 32 nach dem Stand der Technik und verhältnismäßig umsetzen — verbindlich ab 1.10.2026.
NIS2-Beratung - 07 § 29 Abs 3
Registrieren
Das Unternehmen bei der Cybersicherheitsbehörde registrieren — binnen drei Monaten ab Inkrafttreten, also bis 31.12.2026.
- 08 § 34
Melde- & Berichtsprozess aufsetzen
Den Ablauf für die 24-Stunden-Frühwarnung, die 72-Stunden-Meldung und den Abschlussbericht binnen eines Monats vorbereiten und intern einüben.
- 09 § 33 Abs 1/2
Wirksamkeit nachweisen — Selbstdeklaration
Die umgesetzten Maßnahmen binnen zwölf Monaten als Selbstdeklaration übermitteln (bis rund 30.09.2027). Spätere Prüfungen durch unabhängige Stellen sind möglich, gültige Zertifikate wie ISO 27001 werden anerkannt.
- 10 § 31 Abs 2
Kontinuierlich verbessern
Lessons Learned auswerten, Mitarbeitende laufend schulen und die Maßnahmen weiterentwickeln — am besten als dauerhafte Funktion im Betrieb.
Externer CISO / vCISO
Nächster Schritt
Von der Wahrscheinlichkeit zur Gewissheit.
Dieser Wegweiser gibt eine Orientierung, kein Rechtsurteil. Für die verbindliche Einordnung und die Umsetzung gibt es zwei sinnvolle Wege:
Rechtliche Klärung
Für die formale Betroffenheits-Frage bietet die WKO einen kostenlosen NIS2-Online-Ratgeber mit Betroffenheits-Check — eine gute Ergänzung zu dieser ersten Orientierung.
WKO NIS2-Online-RatgeberStrategische Einordnung
Im NIS2-Strategiebriefing ordnen wir Betroffenheit, Reifegrad und Pflichten für die Geschäftsführung ein — in einem halben Tag, mit schriftlicher Empfehlung.
Mehr Tiefe — Pflichten, Fristen und Strafen — im ausführlichen Praxis-Beitrag „NIS2 in Österreich: Wer ist betroffen, ab wann, mit welchen Strafen" oder direkt im laufenden NIS2-Beratungsmandat.
FAQ
Häufige Fragen.
Ab welcher Größe greift NIS2 in Österreich?
Ab einem mittleren Unternehmen nach § 25 NISG 2026: mindestens 50 Mitarbeiter, oder ein Jahresumsatz über 10 Mio. Euro und eine Bilanzsumme über 10 Mio. Euro. Kleinere Unternehmen fallen grundsätzlich nicht direkt darunter — außer sie sind ein größenunabhängiger Sonderfall (z. B. DNS-Anbieter) oder werden über die Lieferkette eines betroffenen Kunden in die Pflicht genommen.
Was ist der Unterschied zwischen wesentlicher und wichtiger Einrichtung?
Die inhaltlichen Pflichten sind dieselben. Der Unterschied liegt im Aufsichtsregime: Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht (die Behörde darf ohne Anlass prüfen), wichtige Einrichtungen einer reaktiven (die Behörde wird bei Hinweisen tätig). Auch der Bußgeld-Höchstrahmen ist bei wesentlichen Einrichtungen höher — die konkreten Beträge im Praxis-Beitrag zur NIS2-Betroffenheit.
Wir sind ein kleines Unternehmen — kann uns NIS2 trotzdem treffen?
Ja, auf zwei Wegen. Erstens als größenunabhängiger Sonderfall nach § 24 Abs. 1 NISG 2026 (etwa DNS-Anbieter, Vertrauensdiensteanbieter). Zweitens über die Lieferkette: Betroffene Großkunden geben ihre NIS2-Pflichten vertraglich an Lieferanten weiter — unabhängig davon, ob diese selbst gesetzlich verpflichtet sind.
Ab wann gilt das NISG 2026?
Das NISG 2026 (BGBl. I 94/2025) wurde am 23. Dezember 2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft. Es setzt die EU-NIS2-Richtlinie (EU) 2022/2555 in österreichisches Recht um.
Ersetzt dieser Wegweiser eine rechtliche Betroffenheitsprüfung?
Nein. Er gibt eine begründete Wahrscheinlichkeit als erste Orientierung für die Geschäftsführung. Die verbindliche Einordnung ist eine Einzelfallprüfung. Für die rechtliche Klärung dient der WKO NIS2-Online-Ratgeber (mit Betroffenheits-Check), für die strategische Einordnung und Umsetzung das NIS2-Strategiebriefing.
Erstgespräch
Sicherheit braucht ein Gegenüber, kein Tool.
Im 30-Minuten-Erstgespräch klären wir, wo Ihr Unternehmen steht und welcher nächste Schritt sinnvoll ist.