NIS2-Compliance-Leitfaden Österreich: NISG 2026-Anforderungen, BMI-Zuständigkeit und DACH-Rahmenwerk für 2026

Umfassender Leitfaden zur NIS2-Compliance in Österreich. Behandelt das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz), die Zuständigkeit des BMI/Bundesamts für Cybersicherheit, Einrichtungsklassifizierung, Sektorenanforderungen, CERT.at-Meldepflicht, Geldstrafen bis zu 10 Mio. Euro und die Inkrafttretensfrist am 1. Oktober 2026.

Umfassender Leitfaden zur NIS2-Compliance in Österreich. Behandelt das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz), die Zuständigkeit des BMI/Bundesamts für Cybersicherheit, Einrichtungsklassifizierung, Sektorenanforderungen, CERT.at-Meldepflicht, Geldstrafen bis zu 10 Mio. Euro und die Inkrafttretensfrist am 1. Oktober 2026.

Der Weg Österreichs zur NIS2-Compliance gehört zu den dramatischsten in der gesamten EU. Das ursprüngliche NISG 2024 wurde im Juli 2024 vom Parlament abgelehnt — aufgrund verfassungsrechtlicher Kompetenzstreitigkeiten zwischen Bund und Ländern. Dieses seltene Scheitern führte dazu, dass Österreich die Umsetzungsfrist der EU vom 17. Oktober 2024 verpasste. Die Europäische Kommission erließ am 7. Mai 2025 eine förmliche mit Gründen versehene Stellungnahme. Ein überarbeitetes NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) wurde schließlich am 12. Dezember 2025 verabschiedet und tritt am 1. Oktober 2026 in Kraft.

Für österreichische Organisationen — und die Cyberversicherungs-Fachleute, die sie betreuen — behandelt dieser Leitfaden alles Wichtige: den Rechtsrahmen nach dem NISG 2026, das neu zu gründende Bundesamt für Cybersicherheit, die Einrichtungsklassifizierung, sektorspezifische Pflichten, Sanktionen einschließlich persönlicher Haftung der Leitungsorgane sowie die entscheidenden Compliance-Fristen bis 2030.

Der NIS2-Rechtsrahmen in Österreich

NISG 2026 — Das Netz- und Informationssystemsicherheitsgesetz

Österreich hat die NIS2-Richtlinie durch das NISG 2026 (BGBl. I Nr. 94/2025) umgesetzt, das nach der parlamentarischen Verabschiedung am 12. Dezember 2025 am 23. Dezember 2025 kundgemacht wurde. Das Gesetz tritt am 1. Oktober 2026 in Kraft und ersetzt das bisherige NISG 2018, das lediglich etwa 100 österreichische Einrichtungen erfasste.

Zentrale Merkmale des NISG 2026:

  • Erweiterung des Geltungsbereichs von ca. 100 auf rund 4.000 österreichische Organisationen mit NIS2-Pflichten
  • Errichtung eines neuen Bundesamts für Cybersicherheit unter dem Bundesministerium für Inneres (BMI)
  • Übernahme der EU-NIS2-Zweistufenklassifizierung: Wesentliche (wesentliche Einrichtungen) und Wichtige Einrichtungen (wichtige Einrichtungen)
  • Einführung der persönlichen Haftung von Leitungsorganen wesentlicher Einrichtungen
  • Registrierungspflicht bis 31. Dezember 2026 und Selbstdeklaration bis 1. Oktober 2027

Das gescheiterte NISG 2024 und der Neuanfang

Der erste Umsetzungsversuch, das NISG 2024, scheiterte am 3. Juli 2024, als es die erforderliche Zweidrittelmehrheit im Parlament verfehlte. Die Ablehnung beruhte auf verfassungsrechtlichen Streitigkeiten über die Zuständigkeit von Bund und Ländern in der Cybersicherheitsregulierung — nicht auf grundsätzlicher Ablehnung der NIS2-Richtlinie. Der Ministerrat genehmigte am 20. November 2025 einen überarbeiteten Entwurf, der die Kompetenzfragen klärte und die Verabschiedung ermöglichte.

Wesentliche Unterschiede zum NISG 2018

AspektNISG 2018 (bisher)NISG 2026 (geltend)
Geltungsbereichca. 100 Einrichtungen (BDB+DSP)ca. 4.000 Einrichtungen (wesentlich + wichtig)
EinrichtungsartenBetreiber wesentlicher Dienste + digitale DiensteanbieterWesentliche + wichtige Einrichtungen
ZuständigkeitBundeskanzleramt (BKA) für DSP; Sektoraufsichtsbehörden für BDBBMI / Bundesamt für Cybersicherheit (zentralisiert)
LeitungsverantwortlichkeitKeinePersönliche Haftung + mögliche Amtsenthebung
Höchststrafe100.000 EuroBis zu 10.000.000 Euro oder 2 % des weltweiten Umsatzes
LieferketteBegrenztUmfassendes Drittparteien-Risikomanagement erforderlich

Zuständige Behörden

BMI und das neue Bundesamt für Cybersicherheit

Das BMI (Bundesministerium für Inneres) fungiert als zentrale Cybersicherheits-Zuständigkeitsbehörde und EU-Einheitskontaktstelle gemäß NIS2. Das NISG 2026 errichtet ein neues Bundesamt für Cybersicherheit als monokratische Behörde unter dem BMI, das nach der Operationalisierung zur zentralen Durchsetzungsbehörde wird.

Kontakt: Herrengasse 7, 1010 Wien | post@nis.gv.at | +43 59133 989480

CSIRT-Netzwerk

CSIRTZuständigkeitsbereich
CERT.atNationales CSIRT für wesentliche und wichtige Einrichtungen. 24/7-NIS-Meldeportal unter nis.cert.at
GovCERT AustriaEinrichtungen der öffentlichen Verwaltung
Austrian Energy CERT (AEC)Betreiber im Energiesektor

Sektoriale Zusammenarbeit

Am 12. Dezember 2025 wurde ein formelles Memorandum of Understanding zwischen BMI, FMA (Finanzmarktaufsicht) und OeNB (Oesterreichische Nationalbank) unterzeichnet, das die behördenübergreifende Zusammenarbeit bei der Cybersicherheitsaufsicht im Finanzsektor gemäß NIS2-Artikel 13 regelt.

Einrichtungsklassifizierung

Größenschwellenwerte

Einrichtungen qualifizieren sich basierend auf beiden Kriterien — Mitarbeiterzahl UND finanzielle Schwellenwerte:

KategorieMitarbeiterFinanzieller Schwellenwert
Mittleres Unternehmen≥ 50Jahresumsatz > 10 Mio. Euro ODER Bilanzsumme > 10 Mio. Euro
Großes Unternehmen≥ 250Jahresumsatz > 50 Mio. Euro ODER Bilanzsumme > 43 Mio. Euro

Eine Konzernzusammenrechnung findet nicht statt, wenn organisatorische, technische und operative Unabhängigkeit besteht.

Wesentliche Einrichtungen

Als wesentlich eingestuft werden:

  • Größenunabhängig: Qualifizierte Vertrauensdiensteanbieter, TLD-Namensregister, DNS-Diensteanbieter
  • Größenabhängig (große Unternehmen): Einrichtungen in Anhang-1-Sektoren (Energie, Transport, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum)
  • Mittlere Unternehmen: Anbieter öffentlicher elektronischer Kommunikationsnetze/-dienste
  • Aufsicht: Proaktiv, ex ante — regelmäßige Prüfungen erwartet

Wichtige Einrichtungen

  • Anbieter öffentlicher elektronischer Kommunikationsnetze/-dienste (soweit nicht bereits wesentlich)
  • Einrichtungen der Staatsverwaltung
  • Große oder mittlere Unternehmen in Anhang-1- und Anhang-2-Sektoren, die nicht als wesentlich eingestuft sind
  • Aufsicht: Reaktiv, ad hoc ex post — Prüfungen nur im Notfall oder aufgrund einer Risikobewertung

Manuelle Einstufungsbefugnis

Die Cybersicherheitsbehörde kann Einrichtungen unabhängig von Größenschwellenwerten manuell als wesentlich oder wichtig einstufen, wenn bestimmte Kritikalitätsbedingungen erfüllt sind. Dies verhindert, dass Einrichtungen ihre Pflichten durch Umstrukturierung umgehen.

Erfasste Sektoren

Sektoren wesentlicher Einrichtungen (Anhang 1)

SektorGeltungsbereich
EnergieStrom, Fernwärme/-kälte, Öl, Gas, Wasserstoff
TransportLuft-, Schienen-, Schifffahrts- und Straßenverkehrsunternehmen
BankwesenKreditinstitute (DORA-regulierte Einrichtungen haben separate Anforderungen)
FinanzmarktinfrastrukturHandelsplätze, zentrale Gegenparteien
GesundheitKrankenhäuser, Gesundheitsdienstleister, EU-Referenzlabore, Pharma-/Medizinproduktehersteller
TrinkwasserVersorgung und Verteilung
AbwasserSammlung, Entsorgung, Behandlung
Digitale InfrastrukturIXPs, DNS-Anbieter, TLD-Register, Clouddienste, Rechenzentren, CDNs, Vertrauensdiensteanbieter
ICT-DienstmanagementMSPs, MSSPs
Öffentliche VerwaltungZentrale staatliche Einrichtungen
WeltraumBetreiber bodengestützter Infrastruktur

Sektoren wichtiger Einrichtungen (Anhang 2)

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Herstellung, Produktion und Vertrieb
  • Lebensmittelherstellung, -verarbeitung und Großhandel
  • Verarbeitendes Gewerbe (Medizinprodukte, Computer/Elektronik, Elektrotechnik, Maschinenbau, Kraftfahrzeuge)
  • Digitale Diensteanbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) Forschungseinrichtungen

Zentrale Compliance-Anforderungen

Sicherheitsmaßnahmen (Artikel-21-Äquivalent)

Alle wesentlichen und wichtigen Einrichtungen müssen angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Bewältigung von Cybersicherheitsrisiken umsetzen. Diese müssen auf einem All-Gefahren-Ansatz basieren und Folgendes umfassen:

  • Risikoanalyse und Richtlinien zur Informationssystemsicherheit
  • Vorfallsmanagement — Erkennungs-, Reaktions- und Wiederherstellungsverfahren
  • Lieferkettensicherheit — Risikobewertungen von Lieferanten und Dienstleistern
  • Netzwerksicherheit — Segmentierung, Zugriffskontrolle, Verschlüsselung
  • Betriebskontinuität — Krisenkommunikation und Disaster-Recovery-Pläne
  • Schulung — Obligatorische Cybersicherheitsschulungen für alle Mitarbeiter und Leitungsorgane
  • Schwachstellenmanagement und Offenlegungsrichtlinien
  • Multi-Faktor-Authentifizierung und sichere Kommunikationskanäle

Vorfallmeldung über CERT.at

Alle erheblichen Vorfälle müssen über das 24/7-NIS-Meldeportal (nis.cert.at) an CERT.at gemeldet werden:

MeldungsartFrist
FrühwarnungInnerhalb von 24 Stunden nach Kenntnisnahme
VorfallmitteilungInnerhalb von 72 Stunden nach Kenntnisnahme
AbschlussberichtInnerhalb von 1 Monat nach Vorfallmeldung

Die Meldungen müssen Folgendes enthalten: anfängliche Kompromittierungsindikatoren, Schweregradeinschätzung, mögliche grenzüberschreitende Auswirkungen und ergriffene Korrekturmaßnahmen.

Lieferketten-Risikomanagement

Das NISG 2026 legt besonderes Gewicht auf die Lieferkettensicherheit — Einrichtungen müssen Cybersicherheitsrisiken von direkten Lieferanten und Dienstleistern bewerten und steuern. Dies ist besonders relevant für den österreichischen Industrie- und Fertigungssektor mit seinen komplexen DACH-Lieferketten.

Registrierung und Compliance-Zeitplan

DatumMeilenstein
1. Oktober 2026NISG 2026 tritt in Kraft — NISG 2018 wird ersetzt; Risikomanagementpflichten gelten vollumfänglich
31. Dezember 2026Registrierungsfrist — alle wesentlichen und wichtigen Einrichtungen müssen sich bei der Cybersicherheitsbehörde registrieren
1. Oktober 2027Selbstdeklarationsfrist — Einrichtungen müssen Beschreibungen ihrer Risikomanagementmaßnahmen und Ergebnisse der Risikoanalyse einreichen
Oktober 2028Frühstmöglicher Zeitpunkt für die Anforderung von Compliance-Nachweisen durch die Behörde bei wesentlichen Einrichtungen
November 2028Wesentliche Einrichtungen müssen Compliance-Nachweise innerhalb von 2 Monaten nach Anforderung vorlegen
30. September 2030Wirksamkeitsnachweis per unterzeichnetem Prüfbericht erforderlich

Registrierungsverfahren

  1. Klassifizierung ermitteln — Einrichtungsart (wesentlich oder wichtig) basierend auf Sektor, Größe und Tätigkeiten bestimmen
  2. Registrieren — bei der Cybersicherheitsbehörde (BMI / Bundesamt für Cybersicherheit) bis 31. Dezember 2026
  3. Umsetzen — Risikomanagementmaßnahmen implementieren und Sicherheitsrichtlinien dokumentieren
  4. Selbstdeklaration einreichen — bis 1. Oktober 2027 mit Beschreibung der Risikomanagementmaßnahmen und Risikoanalyse
  5. Nachweise vorbereiten — für mögliche Compliance-Prüfung (frühestens Oktober 2028)
  6. Prüfbericht einholen — bis 30. September 2030

Sanktionen und Durchsetzung

Geldstrafen

EinrichtungsartHöchststrafeUmsatzobergrenze
Wesentliche EinrichtungenBis zu 10.000.000 Euro2 % des weltweiten Jahresumsatzes (jeweils der höhere Betrag)
Wichtige EinrichtungenBis zu 7.000.000 Euro1,4 % des weltweiten Jahresumsatzes (jeweils der höhere Betrag)
BehördenKeine Geldstrafen, jedoch Naming and Shaming möglich

Zusätzliche Sanktionen

VerstoßSanktion
Registrierungsverzug (erstmalig)Bis zu 50.000 Euro
Registrierungsverzug (wiederholt)Bis zu 100.000 Euro
Naming and ShamingBMI kann unzureichende Cybersicherheitsmaßnahmen öffentlich bekannt machen
FunktionsuntersagungLeitungsorgane wesentlicher Einrichtungen können bei schweren Verstößen vorübergehend von der Ausübung von Leitungsfunktionen ausgeschlossen werden

Typische Zielverstöße

  • Keine obligatorische Cybersicherheitsschulung für Mitarbeiter und Leitungsorgane
  • Unzureichende Risikomanagementmaßnahmen
  • Nichtmeldung erheblicher Vorfälle an CERT.at
  • Keine Registrierung bei der Cybersicherheitsbehörde
  • Fehlende Lieferketten-Sicherheitsbewertungen

Wichtig: Gleichzeitige Verstöße gegen die DSGVO und das NISG 2026 führen nicht zu Doppelstrafen — Österreich hat einen Verhältnismäßigkeitsansatz gewählt.

Cyberversicherungsaspekte für österreichische Einrichtungen

Das NISG 2026 schafft eine erhebliche neue Haftungsbelastung für österreichische Organisationen. Die Kombination aus persönlicher Leitungsverantwortlichkeit, Geldstrafen bis zu 10 Mio. Euro und Lieferketten-Risikopflichten macht die Cyberversicherung zu einem zentralen Risikotransferinstrument.

Zentrale Underwriting-Gesichtspunkte

  1. Leitungshaftungsdeckung — Die persönliche Haftungsregelung des NISG 2026 für Leitungsorgane wesentlicher Einrichtungen schafft Nachfrage nach D&O- und Managementhaftpflichtversicherungen, die Cybersicherheits-Governance-Fehler ausdrücklich abdecken
  2. NIS2-Compliance-Lücke — Versicherer werden prüfen, ob Organisationen mit ihrer NISG-2026-Compliance begonnen haben; fehlende Compliance kann die Deckungsbedingungen beeinflussen
  3. Kaskadenrisiken in der Lieferkette — Der österreichische Industrie- und Fertigungssektor ist durch vernetzte DACH-Lieferketten erhöht exponiert
  4. Vorfallmelde-Compliance — Verspätete Meldung an CERT.at kann sowohl die regulatorische Stellung als auch Versicherungsansprüche gefährden
  5. Grenzüberschreitende DACH-Exposition — Österreichische Einrichtungen mit Aktivitäten in Deutschland und der Schweiz unterliegen zusätzlichen NIS2- bzw. NIS/MSIT-Regulierungsanforderungen

Eine detaillierte Analyse, wie NIS2-Compliance die Cyberversicherungsprämien beeinflusst, finden Sie in unserem Leitfaden Wie NIS2-Compliance die Cyberversicherungsprämien senkt.

Zusammenfassung

Österreichs NISG 2026 bedeutet eine 40-fache Ausweitung der Cybersicherheitsregulierung — von rund 100 Einrichtungen nach NISG 2018 auf etwa 4.000 Organisationen im neuen Rahmen. Das Gesetz tritt am 1. Oktober 2026 in Kraft, die Registrierung ist bis Jahresende erforderlich, die Selbstdeklaration bis Oktober 2027.

Für österreichische Organisationen ist der Weg klar: Einrichtung klassifizieren, bei der Cybersicherheitsbehörde registrieren, NIS2-konforme Risikomanagementmaßnahmen umsetzen, CERT.at-Meldeverfahren einrichten und die Lieferkettensicherheit adressieren. Die persönliche Haftung der Leitungsorgane bedeutet: Dies ist kein IT-Projekt — es ist ein Governance-Thema auf Vorstandsebene.

Für einen umfassenderen NIS2-Compliance-Rahmen, der für alle EU-Mitgliedstaaten gilt, beginnen Sie mit unserem NIS2-Compliance-Leitfaden und dem IT-Leiter-Maßnahmenplan. Zu den Pflichten im Lieferketten-Risikomanagement siehe unseren NIS2-Lieferkettensicherheitsleitfaden. Zur方法论 der Lückenanalyse siehe unseren NIS2-Gap-Analyse-Leitfaden.

Verwandte NIS2-Länderleitfäden:


Resiliently bietet Cyberversicherungsintelligenz für EU-Risikofachleute. Nutzen Sie unsere Tools zur Compliance-Kostenbewertung und zum Deckungsvergleich, um fundierte Entscheidungen über Ihre Cybersicherheitsinvestitionen zu treffen.

Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.

Get the full picture with premium access

In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.

Starter

€199 /month

Unlimited scans, submission packets, PDF downloads, NIS2/DORA

View Plans →
Best Value

Professional

€490 /month

Full platform — continuous monitoring, API access, white-label reports

Everything in Starter plus professional tools

Upgrade Now →
30-day money-back
Secure via Stripe
Cancel anytime

Free NIS2 Compliance Checklist

Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.

No spam. Unsubscribe anytime. Privacy Policy

blog.featured

WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks

Cyber Risk ·

5 min read

WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks

Cyber Risk ·

6 min read

Premium Report

2026 Cyber Risk Landscape Report

24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.

View Reports →

Verwandte Artikel

DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask
AI Agents · · 20 min read

DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask

Google DeepMind researchers classified six categories of AI agent attacks — from invisible web content that hijacks perception to cascading multi-agent failures. Coverage gaps emerge at every layer. Here is the underwriting playbook.