NIS2 Österreich (NISG 2026): Pflichten ab 01.10.2026
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
- NISG 2026 setzt die NIS2-Richtlinie in Österreich um — Anwendungsbeginn voraussichtlich 01.10.2026
- Ca. 4.500 Einrichtungen betroffen (Vergleich DE: 29.500)
- Aufsicht: BMI als zentrale NIS-Behörde, plus Sektoraufsicht (FMA, BMK)
- Pflichten entsprechen weitgehend DE NIS2UmsuCG — 80 % der Compliance-Maßnahmen sind übertragbar
- Konzern-Strukturen DE+AT müssen sich in beiden Ländern separat registrieren
1. NISG 2026 — Überblick
Das Network and Information Security Gesetz 2026 (NISG 2026) setzt die NIS2-Richtlinie (EU 2022/2555) in Österreich um. Es ersetzt das NISG 2018 und implementiert die EU-Vorgaben für ca. 4.500 wesentliche und wichtige Einrichtungen in Österreich.
Stand 04/2026: Begutachtungsentwurf seit März 2026 in Konsultation. Beschluss im Nationalrat erwartet Q2/2026, Anwendungsbeginn 01.10.2026. Bei Verzögerung: EU-Vertragsverletzungsverfahren möglich (analog DE 05/2025).
Wer in DACH-Konzernstrukturen NIS2 umsetzen muss, findet im NIS2-Kit bereits AT-spezifische Sonderlogik mit Aufsichts-Mapping BMI/BSI/SBI (Schweiz).
2. Anwendungsbeginn: 01.10.2026
Das NISG 2026 wird voraussichtlich am 01.10.2026 anwendbar. Wichtige Folge-Termine:
- 01.10.2026: Inkrafttreten — Risikomanagement-Pflichten greifen
- 31.12.2026: Voraussichtliche Registrierungs-Frist beim BMI (3 Monate nach Inkrafttreten)
- 01.04.2027: Erste Audit-Pflichten in einigen Sektoren (Energie, Wasser)
3. Wer ist betroffen?
NISG 2026 folgt der EU-RL-Definition. Betroffenheits-Check:
- Sektor: aktiv in einem der 18 Sektoren nach Anhang I/II?
- Größe: ≥250 MA oder ≥50 Mio. EUR Umsatz/Jahr (= wesentlich) ODER 50-249 MA / 10-50 Mio. EUR (= wichtig)?
- Sektorausnahmen: Vertrauensdiensteanbieter, DNS, TLD .at-Registry sind unabhängig von Größe wesentlich
4. Pflichten im Vergleich DE vs. AT
| Pflicht | DE NIS2UmsuCG (§ 30 BSIG) | AT NISG 2026 (Entwurf) |
|---|---|---|
| Risikoanalyse-Konzept | § 30 Abs. 2 Nr. 1 | § 21 Abs. 2 Nr. 1 NISG-E |
| Incident Response | § 30 Abs. 2 Nr. 2 | § 21 Abs. 2 Nr. 2 NISG-E |
| Business Continuity | § 30 Abs. 2 Nr. 3 | § 21 Abs. 2 Nr. 3 NISG-E |
| Lieferkettensicherheit | § 30 Abs. 2 Nr. 5 | § 21 Abs. 2 Nr. 4 NISG-E |
| Cyberhygiene-Schulung | § 30 Abs. 2 Nr. 7 | § 21 Abs. 2 Nr. 6 NISG-E |
| Kryptografie | § 30 Abs. 2 Nr. 8 | § 21 Abs. 2 Nr. 7 NISG-E |
| Geschäftsleitungs-Pflichten | § 38 BSIG (mit Innenhaftung Abs. 5) | § 24 NISG-E (ohne explizite Innenhaftung) |
| 24h-Frühwarnung | § 32 Abs. 1 BSIG | § 26 Abs. 1 NISG-E |
| 72h-Vorfallsmeldung | § 32 Abs. 2 BSIG | § 26 Abs. 2 NISG-E |
5. Aufsicht: BMI vs. BSI
Wichtiger struktureller Unterschied: AT hat dezentrale Aufsicht.
| Bereich | DE | AT |
|---|---|---|
| Zentrale NIS-Behörde | BSI | BMI |
| Nationales CSIRT | CERT-Bund (im BSI) | GovCERT.gv.at (BMI) |
| Sektor Finanz | BaFin (zusätzlich) | FMA |
| Sektor Energie | BNetzA | BMK + E-Control |
| Sektor Gesundheit | BfArM (Medizinprodukte) | BMSGPK |
6. Bußgelder nach NISG 2026
NISG 2026 übernimmt die EU-Maxima 1:1:
- Wesentliche Einrichtungen: bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz (höherer Wert)
- Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4 % weltweiter Jahresumsatz
- Geschäftsleitung: AT-Entwurf hat KEINE explizite Innenhaftungs-Regel analog DE § 38 Abs. 5 BSIG
7. 7-Schritte-Checkliste für AT-Unternehmen
- 05/2026: Betroffenheits-Analyse: Sektor + Größe, Konzern-Konsolidierung
- 06/2026: Geschäftsleitung informieren — § 24 NISG-E mit Schulungspflicht
- 07/2026: ISMS aufsetzen (sofern noch nicht ISO 27001-zertifiziert)
- 08/2026: Incident Response Playbook + Meldevorlagen für GovCERT.gv.at
- 09/2026: Lieferanten-Bewertung + Vertragsklauseln Cybersecurity
- 10/2026: Inkrafttreten — Risikomanagement nach § 21 NISG-E aktiviert
- 12/2026: BMI-Registrierung abschließen, ggf. mit Sektor-Aufsicht
Häufig gestellte Fragen
Wann tritt das NISG 2026 in Kraft?
Das österreichische NIS2-Umsetzungsgesetz (NISG 2026) wird voraussichtlich zum 01.10.2026 anwendbar. Beschluss im Nationalrat erwartet Q2/2026, Veröffentlichung im BGBl. ca. 4 Wochen vorher. Die Verzögerung gegenüber der EU-Frist (17.10.2024) folgt dem Muster vieler EU-Mitgliedstaaten.
Wer ist in Österreich von NIS2 betroffen?
Schätzung: ca. 4.500 Einrichtungen in Österreich, gegenüber ca. 29.500 in Deutschland. Definition wesentliche/wichtige Einrichtung folgt der EU-RL: Großunternehmen ≥250 MA in Hochkritikalitäts-Sektoren = wesentlich; mittlere Unternehmen 50-249 MA = wichtig; sektorale Sonderregeln (z.B. Vertrauensdiensteanbieter) unabhängig von Größe.
Wer ist Aufsichtsbehörde in Österreich?
Bundesministerium für Inneres (BMI) als zentrale NIS-Behörde, zusammen mit dem GovCERT.gv.at als nationales CSIRT. Sektorspezifische Aufsicht: FMA für Finanz, BMK für Energie, BMK für Verkehr. Für viele KMU bedeutet dies: zwei Aufsichtsbehörden statt einer (BMI + Sektor-Aufsicht).
Wie unterscheidet sich NISG 2026 vom deutschen NIS2UmsuCG?
Unterschiede: (1) Anwendungsbeginn 01.10.2026 statt 06.12.2025 (DE). (2) Aufsicht: BMI + Sektor (AT) vs. BSI zentral (DE). (3) AT setzt stärker auf bestehendes Sicherheitsforschungsgesetz auf, DE auf BSIG-Reform. (4) Bußgelder: AT übernimmt EU-Maxima 1:1, DE differenziert wesentliche/wichtige Einrichtungen schärfer. (5) AT NISG kennt keine § 38-Innenhaftungs-Regel analog DE.
Müssen sich AT-Unternehmen separat registrieren?
Ja, bei der jeweiligen Aufsicht (i.d.R. BMI). Frist voraussichtlich 3 Monate nach Inkrafttreten des NISG 2026 — also bis ca. 31.12.2026. Konzernstrukturen mit AT- und DE-Tochterunternehmen müssen separat registrieren (BSI-DE und BMI-AT).
Reicht ein DE-NIS2-Compliance-Programm für die AT-Tochter?
Größtenteils ja, mit Anpassungen. Übernehmbar: Risikomanagement, ISMS, Incident Response Playbook, Lieferketten-Bewertung. Nicht übernehmbar: AT-Aufsichts-Schnittstellen (BMI/CSIRT-Meldewege), AT-spezifische Aufbewahrungsfristen, AT-spezifische Bußgeld-Regeln. Praxis: 80 % wiederverwendbar, 20 % AT-Anpassung.
Welche Sektoren sind in AT besonders betroffen?
Energie (Stromnetzbetreiber, Gas, Fernwärme), Verkehr (Bahn, Flughafen Wien, Donaumarine), Bankwesen + Finanzmarktinfrastruktur (DORA-Schnittstelle), Gesundheit (KAGES, AKH Wien, Privatkliniken), Wasser, Digitale Infrastruktur (TLD .at, Internet Knoten), öffentliche Verwaltung (Bund, Länder, Gemeinden ≥10.000 EW).
Quellen
- Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex DE (Stand: 02.05.2026; Umsetzungsfrist 17.10.2024)
- BSIG 2025 (DE-Konsolidierung nach NIS2UmsuCG) (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz (DE) — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026)
- BSI — NIS-2 FAQ regulierte Unternehmen
Werkzeuge & Selbsttests
NIS2 Readiness-Check
Pruefen Sie Ihre NIS2-Reife in 10 Minuten.
Bussgeld-Rechner
Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen.
NIS2 Selbsttest
Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit.
NIS2 Pflichtmassnahmen-Audit
10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.