NIS2-Compliance-Leitfaden Österreich: NISG 2026-Anforderungen, BMI-Zuständigkeit und DACH-Rahmenwerk für 2026
Umfassender Leitfaden zur NIS2-Compliance in Österreich. Behandelt das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz), die Zuständigkeit des BMI/Bundesamts für Cybersicherheit, Einrichtungsklassifizierung, Sektorenanforderungen, CERT.at-Meldepflicht, Geldstrafen bis zu 10 Mio. Euro und die Inkrafttretensfrist am 1. Oktober 2026.
Der Weg Österreichs zur NIS2-Compliance gehört zu den dramatischsten in der gesamten EU. Das ursprüngliche NISG 2024 wurde im Juli 2024 vom Parlament abgelehnt — aufgrund verfassungsrechtlicher Kompetenzstreitigkeiten zwischen Bund und Ländern. Dieses seltene Scheitern führte dazu, dass Österreich die Umsetzungsfrist der EU vom 17. Oktober 2024 verpasste. Die Europäische Kommission erließ am 7. Mai 2025 eine förmliche mit Gründen versehene Stellungnahme. Ein überarbeitetes NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) wurde schließlich am 12. Dezember 2025 verabschiedet und tritt am 1. Oktober 2026 in Kraft.
Für österreichische Organisationen — und die Cyberversicherungs-Fachleute, die sie betreuen — behandelt dieser Leitfaden alles Wichtige: den Rechtsrahmen nach dem NISG 2026, das neu zu gründende Bundesamt für Cybersicherheit, die Einrichtungsklassifizierung, sektorspezifische Pflichten, Sanktionen einschließlich persönlicher Haftung der Leitungsorgane sowie die entscheidenden Compliance-Fristen bis 2030.
Der NIS2-Rechtsrahmen in Österreich
NISG 2026 — Das Netz- und Informationssystemsicherheitsgesetz
Österreich hat die NIS2-Richtlinie durch das NISG 2026 (BGBl. I Nr. 94/2025) umgesetzt, das nach der parlamentarischen Verabschiedung am 12. Dezember 2025 am 23. Dezember 2025 kundgemacht wurde. Das Gesetz tritt am 1. Oktober 2026 in Kraft und ersetzt das bisherige NISG 2018, das lediglich etwa 100 österreichische Einrichtungen erfasste.
Zentrale Merkmale des NISG 2026:
- Erweiterung des Geltungsbereichs von ca. 100 auf rund 4.000 österreichische Organisationen mit NIS2-Pflichten
- Errichtung eines neuen Bundesamts für Cybersicherheit unter dem Bundesministerium für Inneres (BMI)
- Übernahme der EU-NIS2-Zweistufenklassifizierung: Wesentliche (wesentliche Einrichtungen) und Wichtige Einrichtungen (wichtige Einrichtungen)
- Einführung der persönlichen Haftung von Leitungsorganen wesentlicher Einrichtungen
- Registrierungspflicht bis 31. Dezember 2026 und Selbstdeklaration bis 1. Oktober 2027
Das gescheiterte NISG 2024 und der Neuanfang
Der erste Umsetzungsversuch, das NISG 2024, scheiterte am 3. Juli 2024, als es die erforderliche Zweidrittelmehrheit im Parlament verfehlte. Die Ablehnung beruhte auf verfassungsrechtlichen Streitigkeiten über die Zuständigkeit von Bund und Ländern in der Cybersicherheitsregulierung — nicht auf grundsätzlicher Ablehnung der NIS2-Richtlinie. Der Ministerrat genehmigte am 20. November 2025 einen überarbeiteten Entwurf, der die Kompetenzfragen klärte und die Verabschiedung ermöglichte.
Wesentliche Unterschiede zum NISG 2018
| Aspekt | NISG 2018 (bisher) | NISG 2026 (geltend) |
|---|---|---|
| Geltungsbereich | ca. 100 Einrichtungen (BDB+DSP) | ca. 4.000 Einrichtungen (wesentlich + wichtig) |
| Einrichtungsarten | Betreiber wesentlicher Dienste + digitale Diensteanbieter | Wesentliche + wichtige Einrichtungen |
| Zuständigkeit | Bundeskanzleramt (BKA) für DSP; Sektoraufsichtsbehörden für BDB | BMI / Bundesamt für Cybersicherheit (zentralisiert) |
| Leitungsverantwortlichkeit | Keine | Persönliche Haftung + mögliche Amtsenthebung |
| Höchststrafe | 100.000 Euro | Bis zu 10.000.000 Euro oder 2 % des weltweiten Umsatzes |
| Lieferkette | Begrenzt | Umfassendes Drittparteien-Risikomanagement erforderlich |
Zuständige Behörden
BMI und das neue Bundesamt für Cybersicherheit
Das BMI (Bundesministerium für Inneres) fungiert als zentrale Cybersicherheits-Zuständigkeitsbehörde und EU-Einheitskontaktstelle gemäß NIS2. Das NISG 2026 errichtet ein neues Bundesamt für Cybersicherheit als monokratische Behörde unter dem BMI, das nach der Operationalisierung zur zentralen Durchsetzungsbehörde wird.
Kontakt: Herrengasse 7, 1010 Wien | post@nis.gv.at | +43 59133 989480
CSIRT-Netzwerk
| CSIRT | Zuständigkeitsbereich |
|---|---|
| CERT.at | Nationales CSIRT für wesentliche und wichtige Einrichtungen. 24/7-NIS-Meldeportal unter nis.cert.at |
| GovCERT Austria | Einrichtungen der öffentlichen Verwaltung |
| Austrian Energy CERT (AEC) | Betreiber im Energiesektor |
Sektoriale Zusammenarbeit
Am 12. Dezember 2025 wurde ein formelles Memorandum of Understanding zwischen BMI, FMA (Finanzmarktaufsicht) und OeNB (Oesterreichische Nationalbank) unterzeichnet, das die behördenübergreifende Zusammenarbeit bei der Cybersicherheitsaufsicht im Finanzsektor gemäß NIS2-Artikel 13 regelt.
Einrichtungsklassifizierung
Größenschwellenwerte
Einrichtungen qualifizieren sich basierend auf beiden Kriterien — Mitarbeiterzahl UND finanzielle Schwellenwerte:
| Kategorie | Mitarbeiter | Finanzieller Schwellenwert |
|---|---|---|
| Mittleres Unternehmen | ≥ 50 | Jahresumsatz > 10 Mio. Euro ODER Bilanzsumme > 10 Mio. Euro |
| Großes Unternehmen | ≥ 250 | Jahresumsatz > 50 Mio. Euro ODER Bilanzsumme > 43 Mio. Euro |
Eine Konzernzusammenrechnung findet nicht statt, wenn organisatorische, technische und operative Unabhängigkeit besteht.
Wesentliche Einrichtungen
Als wesentlich eingestuft werden:
- Größenunabhängig: Qualifizierte Vertrauensdiensteanbieter, TLD-Namensregister, DNS-Diensteanbieter
- Größenabhängig (große Unternehmen): Einrichtungen in Anhang-1-Sektoren (Energie, Transport, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum)
- Mittlere Unternehmen: Anbieter öffentlicher elektronischer Kommunikationsnetze/-dienste
- Aufsicht: Proaktiv, ex ante — regelmäßige Prüfungen erwartet
Wichtige Einrichtungen
- Anbieter öffentlicher elektronischer Kommunikationsnetze/-dienste (soweit nicht bereits wesentlich)
- Einrichtungen der Staatsverwaltung
- Große oder mittlere Unternehmen in Anhang-1- und Anhang-2-Sektoren, die nicht als wesentlich eingestuft sind
- Aufsicht: Reaktiv, ad hoc ex post — Prüfungen nur im Notfall oder aufgrund einer Risikobewertung
Manuelle Einstufungsbefugnis
Die Cybersicherheitsbehörde kann Einrichtungen unabhängig von Größenschwellenwerten manuell als wesentlich oder wichtig einstufen, wenn bestimmte Kritikalitätsbedingungen erfüllt sind. Dies verhindert, dass Einrichtungen ihre Pflichten durch Umstrukturierung umgehen.
Erfasste Sektoren
Sektoren wesentlicher Einrichtungen (Anhang 1)
| Sektor | Geltungsbereich |
|---|---|
| Energie | Strom, Fernwärme/-kälte, Öl, Gas, Wasserstoff |
| Transport | Luft-, Schienen-, Schifffahrts- und Straßenverkehrsunternehmen |
| Bankwesen | Kreditinstitute (DORA-regulierte Einrichtungen haben separate Anforderungen) |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Gesundheitsdienstleister, EU-Referenzlabore, Pharma-/Medizinproduktehersteller |
| Trinkwasser | Versorgung und Verteilung |
| Abwasser | Sammlung, Entsorgung, Behandlung |
| Digitale Infrastruktur | IXPs, DNS-Anbieter, TLD-Register, Clouddienste, Rechenzentren, CDNs, Vertrauensdiensteanbieter |
| ICT-Dienstmanagement | MSPs, MSSPs |
| Öffentliche Verwaltung | Zentrale staatliche Einrichtungen |
| Weltraum | Betreiber bodengestützter Infrastruktur |
Sektoren wichtiger Einrichtungen (Anhang 2)
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Herstellung, Produktion und Vertrieb
- Lebensmittelherstellung, -verarbeitung und Großhandel
- Verarbeitendes Gewerbe (Medizinprodukte, Computer/Elektronik, Elektrotechnik, Maschinenbau, Kraftfahrzeuge)
- Digitale Diensteanbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) Forschungseinrichtungen
Zentrale Compliance-Anforderungen
Sicherheitsmaßnahmen (Artikel-21-Äquivalent)
Alle wesentlichen und wichtigen Einrichtungen müssen angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umsetzen. Diese müssen auf einem All-Gefahren-Ansatz basieren und Folgendes umfassen:
- Risikoanalyse und Richtlinien zur Informationssystemsicherheit
- Vorfallsmanagement — Erkennungs-, Reaktions- und Wiederherstellungsverfahren
- Lieferkettensicherheit — Risikobewertungen von Lieferanten und Dienstleistern
- Netzwerksicherheit — Segmentierung, Zugriffskontrolle, Verschlüsselung
- Betriebskontinuität — Krisenkommunikation und Disaster-Recovery-Pläne
- Schulung — Obligatorische Cybersicherheitsschulungen für alle Mitarbeiter und Leitungsorgane
- Schwachstellenmanagement und Offenlegungsrichtlinien
- Multi-Faktor-Authentifizierung und sichere Kommunikationskanäle
Vorfallmeldung über CERT.at
Alle erheblichen Vorfälle müssen über das 24/7-NIS-Meldeportal (nis.cert.at) an CERT.at gemeldet werden:
| Meldungsart | Frist |
|---|---|
| Frühwarnung | Innerhalb von 24 Stunden nach Kenntnisnahme |
| Vorfallmitteilung | Innerhalb von 72 Stunden nach Kenntnisnahme |
| Abschlussbericht | Innerhalb von 1 Monat nach Vorfallmeldung |
Die Meldungen müssen Folgendes enthalten: anfängliche Kompromittierungsindikatoren, Schweregradeinschätzung, mögliche grenzüberschreitende Auswirkungen und ergriffene Korrekturmaßnahmen.
Lieferketten-Risikomanagement
Das NISG 2026 legt besonderes Gewicht auf die Lieferkettensicherheit — Einrichtungen müssen Cybersicherheitsrisiken von direkten Lieferanten und Dienstleistern bewerten und steuern. Dies ist besonders relevant für den österreichischen Industrie- und Fertigungssektor mit seinen komplexen DACH-Lieferketten.
Registrierung und Compliance-Zeitplan
| Datum | Meilenstein |
|---|---|
| 1. Oktober 2026 | NISG 2026 tritt in Kraft — NISG 2018 wird ersetzt; Risikomanagementpflichten gelten vollumfänglich |
| 31. Dezember 2026 | Registrierungsfrist — alle wesentlichen und wichtigen Einrichtungen müssen sich bei der Cybersicherheitsbehörde registrieren |
| 1. Oktober 2027 | Selbstdeklarationsfrist — Einrichtungen müssen Beschreibungen ihrer Risikomanagementmaßnahmen und Ergebnisse der Risikoanalyse einreichen |
| Oktober 2028 | Frühstmöglicher Zeitpunkt für die Anforderung von Compliance-Nachweisen durch die Behörde bei wesentlichen Einrichtungen |
| November 2028 | Wesentliche Einrichtungen müssen Compliance-Nachweise innerhalb von 2 Monaten nach Anforderung vorlegen |
| 30. September 2030 | Wirksamkeitsnachweis per unterzeichnetem Prüfbericht erforderlich |
Registrierungsverfahren
- Klassifizierung ermitteln — Einrichtungsart (wesentlich oder wichtig) basierend auf Sektor, Größe und Tätigkeiten bestimmen
- Registrieren — bei der Cybersicherheitsbehörde (BMI / Bundesamt für Cybersicherheit) bis 31. Dezember 2026
- Umsetzen — Risikomanagementmaßnahmen implementieren und Sicherheitsrichtlinien dokumentieren
- Selbstdeklaration einreichen — bis 1. Oktober 2027 mit Beschreibung der Risikomanagementmaßnahmen und Risikoanalyse
- Nachweise vorbereiten — für mögliche Compliance-Prüfung (frühestens Oktober 2028)
- Prüfbericht einholen — bis 30. September 2030
Sanktionen und Durchsetzung
Geldstrafen
| Einrichtungsart | Höchststrafe | Umsatzobergrenze |
|---|---|---|
| Wesentliche Einrichtungen | Bis zu 10.000.000 Euro | 2 % des weltweiten Jahresumsatzes (jeweils der höhere Betrag) |
| Wichtige Einrichtungen | Bis zu 7.000.000 Euro | 1,4 % des weltweiten Jahresumsatzes (jeweils der höhere Betrag) |
| Behörden | Keine Geldstrafen, jedoch Naming and Shaming möglich |
Zusätzliche Sanktionen
| Verstoß | Sanktion |
|---|---|
| Registrierungsverzug (erstmalig) | Bis zu 50.000 Euro |
| Registrierungsverzug (wiederholt) | Bis zu 100.000 Euro |
| Naming and Shaming | BMI kann unzureichende Cybersicherheitsmaßnahmen öffentlich bekannt machen |
| Funktionsuntersagung | Leitungsorgane wesentlicher Einrichtungen können bei schweren Verstößen vorübergehend von der Ausübung von Leitungsfunktionen ausgeschlossen werden |
Typische Zielverstöße
- Keine obligatorische Cybersicherheitsschulung für Mitarbeiter und Leitungsorgane
- Unzureichende Risikomanagementmaßnahmen
- Nichtmeldung erheblicher Vorfälle an CERT.at
- Keine Registrierung bei der Cybersicherheitsbehörde
- Fehlende Lieferketten-Sicherheitsbewertungen
Wichtig: Gleichzeitige Verstöße gegen die DSGVO und das NISG 2026 führen nicht zu Doppelstrafen — Österreich hat einen Verhältnismäßigkeitsansatz gewählt.
Cyberversicherungsaspekte für österreichische Einrichtungen
Das NISG 2026 schafft eine erhebliche neue Haftungsbelastung für österreichische Organisationen. Die Kombination aus persönlicher Leitungsverantwortlichkeit, Geldstrafen bis zu 10 Mio. Euro und Lieferketten-Risikopflichten macht die Cyberversicherung zu einem zentralen Risikotransferinstrument.
Zentrale Underwriting-Gesichtspunkte
- Leitungshaftungsdeckung — Die persönliche Haftungsregelung des NISG 2026 für Leitungsorgane wesentlicher Einrichtungen schafft Nachfrage nach D&O- und Managementhaftpflichtversicherungen, die Cybersicherheits-Governance-Fehler ausdrücklich abdecken
- NIS2-Compliance-Lücke — Versicherer werden prüfen, ob Organisationen mit ihrer NISG-2026-Compliance begonnen haben; fehlende Compliance kann die Deckungsbedingungen beeinflussen
- Kaskadenrisiken in der Lieferkette — Der österreichische Industrie- und Fertigungssektor ist durch vernetzte DACH-Lieferketten erhöht exponiert
- Vorfallmelde-Compliance — Verspätete Meldung an CERT.at kann sowohl die regulatorische Stellung als auch Versicherungsansprüche gefährden
- Grenzüberschreitende DACH-Exposition — Österreichische Einrichtungen mit Aktivitäten in Deutschland und der Schweiz unterliegen zusätzlichen NIS2- bzw. NIS/MSIT-Regulierungsanforderungen
Eine detaillierte Analyse, wie NIS2-Compliance die Cyberversicherungsprämien beeinflusst, finden Sie in unserem Leitfaden Wie NIS2-Compliance die Cyberversicherungsprämien senkt.
Zusammenfassung
Österreichs NISG 2026 bedeutet eine 40-fache Ausweitung der Cybersicherheitsregulierung — von rund 100 Einrichtungen nach NISG 2018 auf etwa 4.000 Organisationen im neuen Rahmen. Das Gesetz tritt am 1. Oktober 2026 in Kraft, die Registrierung ist bis Jahresende erforderlich, die Selbstdeklaration bis Oktober 2027.
Für österreichische Organisationen ist der Weg klar: Einrichtung klassifizieren, bei der Cybersicherheitsbehörde registrieren, NIS2-konforme Risikomanagementmaßnahmen umsetzen, CERT.at-Meldeverfahren einrichten und die Lieferkettensicherheit adressieren. Die persönliche Haftung der Leitungsorgane bedeutet: Dies ist kein IT-Projekt — es ist ein Governance-Thema auf Vorstandsebene.
Für einen umfassenderen NIS2-Compliance-Rahmen, der für alle EU-Mitgliedstaaten gilt, beginnen Sie mit unserem NIS2-Compliance-Leitfaden und dem IT-Leiter-Maßnahmenplan. Zu den Pflichten im Lieferketten-Risikomanagement siehe unseren NIS2-Lieferkettensicherheitsleitfaden. Zur方法论 der Lückenanalyse siehe unseren NIS2-Gap-Analyse-Leitfaden.
Verwandte NIS2-Länderleitfäden:
- NIS2 Frankreich (ANSSI) | NIS2 Deutschland (BSI) | NIS2 Italien (ACN) | NIS2 Niederlande (NCSC-NL) | NIS2 Spanien (INCIBE) | NIS2 Polen (NCSA) | NIS2 Belgien (CCB) | NIS2 Schweden (MCF) | NIS2 Dänemark (CFCS) | NIS2 Tschechien (NÚKIB) | NIS2 Portugal (CNCS) | NIS2 Irland (NCSC) | NIS2 Finnland (Traficom) | NIS2 Rumänien (ANSI)
Resiliently bietet Cyberversicherungsintelligenz für EU-Risikofachleute. Nutzen Sie unsere Tools zur Compliance-Kostenbewertung und zum Deckungsvergleich, um fundierte Entscheidungen über Ihre Cybersicherheitsinvestitionen zu treffen.
Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.
Get the full picture with premium access
In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.
Professional
Full platform — continuous monitoring, API access, white-label reports
Everything in Starter plus professional tools
Upgrade Now →Free NIS2 Compliance Checklist
Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.
No spam. Unsubscribe anytime. Privacy Policy
blog.featured
WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims
6 min read
WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks
5 min read
WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims
6 min read
WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks
6 min read
Premium Report
2026 Cyber Risk Landscape Report
24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.
View Reports →Verwandte Artikel
DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask
Google DeepMind researchers classified six categories of AI agent attacks — from invisible web content that hijacks perception to cascading multi-agent failures. Coverage gaps emerge at every layer. Here is the underwriting playbook.