Sind Sie von NIS2 betroffen? Geltungsbereich des NISG 2026 prüfen
In Kürze: Unter das österreichische NISG 2026 (Umsetzung der EU-NIS2-Richtlinie) fallen Unternehmen ab mittlerer Größe — das heißt ab 50 Mitarbeitern oder, davon unabhängig, ab mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme —, die in einem der 18 Sektoren der Anlagen 1 und 2 tätig sind. Schätzungen zufolge sind in Österreich rund 4.000 Unternehmen betroffen. Wer betroffen ist, muss sich bis 31.12.2026 bei der Cybersicherheitsbehörde registrieren. Mit dem kostenlosen Sofort-Check sehen Sie in zwei Minuten Ihre voraussichtliche Einstufung — die genaue, detaillierte Einstufung erfolgt anschließend im Scope-Wizard.
Das NISG 2026 wurde am 23.12.2025 im Bundesgesetzblatt kundgemacht (BGBl. I Nr. 94/2025) und tritt am 1. Oktober 2026 in Kraft. Anders als das alte NISG 2018, das nur Betreiber wesentlicher Dienste erfasste, vergrößert NIS2 den Kreis der betroffenen Unternehmen erheblich. Die zentrale Frage für jedes Unternehmen lautet daher zuerst: Bin ich überhaupt betroffen — und wenn ja, als „wesentliche" oder „wichtige" Einrichtung?
Dieser Leitfaden führt Sie durch die drei Prüfschritte, die über die Betroffenheit entscheiden: Sektor, Größe und Sonderfälle. Am Ende wissen Sie, ob Sie voraussichtlich im Geltungsbereich liegen und welche Fristen dann gelten.
Die Betroffenheit in drei Schritten
Die Grundregel des NISG 2026 ist eine Und-Verknüpfung aus zwei Bedingungen: Ein Unternehmen ist direkt betroffen, wenn es (1) in einem der gelisteten Sektoren tätig ist und (2) die Größenschwelle erreicht. Darüber hinaus gibt es (3) Sonderfälle, die diese einfache Logik durchbrechen — manche Einrichtungen fallen größenunabhängig unter das Gesetz, andere werden durch spezielleres Recht (DORA) verdrängt oder per Bescheid der Behörde eingestuft.
Wichtig: Die folgende Darstellung ist eine allgemeine Orientierung, keine individuelle Rechtsberatung. Sie ersetzt nicht die genaue Prüfung des Einzelfalls. Der Sofort-Check und der anschließende Scope-Wizard unterstützen Sie dabei, Ihre Einstufung nachvollziehbar herzuleiten und zu dokumentieren.
Schritt 1: Fällt Ihr Unternehmen in einen der 18 Sektoren?
NIS2 gliedert die betroffenen Tätigkeiten in zwei Anlagen. Anlage 1 umfasst 11 Sektoren mit hoher Kritikalität, Anlage 2 weitere 7 kritische Sektoren — zusammen 18 Sektoren.
| Anlage 1 (hohe Kritikalität, 11) | Anlage 2 (weitere kritische Sektoren, 7) |
|---|---|
| Energie | Post- und Kurierdienste |
| Verkehr | Abfallbewirtschaftung |
| Bankwesen | Chemie (Produktion, Handel) |
| Finanzmarktinfrastrukturen | Lebensmittel (Produktion, Verarbeitung, Vertrieb) |
| Gesundheitswesen | Verarbeitendes Gewerbe / Herstellung von Waren |
| Trinkwasser | Anbieter digitaler Dienste (Online-Marktplatz, -Suchmaschine, soziale Netzwerke) |
| Abwasser | Forschung |
| Digitale Infrastruktur | |
| Verwaltung von IKT-Diensten (B2B) | |
| Öffentliche Verwaltung | |
| Weltraum |
Maßgeblich ist Ihre tatsächliche Tätigkeit, nicht die Branchenbezeichnung im Firmenbuch. Ein Industriebetrieb, der Waren herstellt, fällt in der Regel unter „Verarbeitendes Gewerbe / Herstellung von Waren" (Anlage 2). Ein Krankenhaus oder ein größerer Arzneimittelhändler fällt unter „Gesundheitswesen" (Anlage 1). Viele Unternehmen sind in mehreren Sektoren oder Teilsektoren aktiv — dann ist jede Tätigkeit gesondert zu betrachten, und es zählt die jeweils strengere Einstufung.
Der Unterschied zwischen Anlage 1 und Anlage 2 ist kein Detail: Er wirkt sich später auf die Einstufung als wesentliche oder wichtige Einrichtung aus (siehe unten). Welche konkreten Einrichtungstypen und Teilsektoren in den Anlagen genau genannt sind, lesen Sie im Überblick NIS2-Sektoren: Anlage 1 & 2.
Liegt keine Ihrer Tätigkeiten in diesen Sektoren, sind Sie grundsätzlich nicht direkt betroffen — beachten Sie aber den Abschnitt zur Lieferkette weiter unten, denn als Zulieferer können Sie indirekt in die Pflicht genommen werden.
Schritt 2: Erreichen Sie die Größenschwellen?
NIS2 betrifft grundsätzlich Unternehmen ab mittlerer Größe. Die Größe wird nach der EU-Definition für Kleinst-, kleine und mittlere Unternehmen (Empfehlung 2003/361/EG) bestimmt. Entscheidend sind drei Kennzahlen: Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme.
Wichtig ist die Verknüpfung dieser Kennzahlen, die in vereinfachten Darstellungen oft falsch wiedergegeben wird:
- Das Mitarbeiter-Kriterium und das finanzielle Kriterium stehen im Verhältnis „oder" zueinander — es genügt, wenn eines erfüllt ist.
- Das finanzielle Kriterium selbst ist jedoch kumulativ: Es verlangt, dass Jahresumsatz und Jahresbilanzsumme gemeinsam über der jeweiligen Schwelle liegen.
| Größenklasse | Mitarbeiter | Finanzkriterium (kumulativ) | NIS2-Relevanz |
|---|---|---|---|
| Klein / Kleinst | < 50 | und Umsatz ≤ 10 Mio. € und Bilanzsumme ≤ 10 Mio. € | grundsätzlich außerhalb |
| Mittel | ≥ 50 | oder Umsatz > 10 Mio. € und Bilanzsumme > 10 Mio. € | betroffen (meist „wichtig") |
| Groß | ≥ 250 | oder Umsatz > 50 Mio. € und Bilanzsumme > 43 Mio. € | betroffen (in Anlage 1 meist „wesentlich") |
So lesen Sie die Tabelle: Ein Unternehmen ist mittel, sobald es 50 Mitarbeiter erreicht — oder, völlig unabhängig von der Mitarbeiterzahl, sobald sein Jahresumsatz über 10 Mio. € und zugleich die Bilanzsumme über 10 Mio. € liegt. Ein Unternehmen mit 30 Mitarbeitern, 12 Mio. € Umsatz, aber nur 6 Mio. € Bilanzsumme erfüllt das finanzielle Kriterium nicht (weil die Bilanzsumme unter 10 Mio. € bleibt) und ist über die Größe damit zunächst nicht erfasst.
Die genaue Berechnung berücksichtigt grundsätzlich auch verbundene und Partnerunternehmen — bei Konzernstrukturen kann die Schwelle dadurch früher erreicht werden, als die Einzelgesellschaft vermuten lässt. Das NISG sieht hierzu allerdings eine Ausnahme vor: Daten verbundener oder Partnerunternehmen werden nicht hinzugerechnet, wenn die Einrichtung hinsichtlich ihrer Netz- und Informationssysteme organisatorisch, technisch und operativ unabhängig ist (§ 25 Abs. 4). Wie diese Berechnung im Detail funktioniert und welche Rechenbeispiele es gibt, zeigt NIS2-Schwellenwerte: Ab wann betroffen?.
Schritt 3: Greift ein Sonderfall?
Drei Konstellationen durchbrechen die einfache „Sektor + Größe"-Logik:
- Größenunabhängige Einrichtungen. Bestimmte Tätigkeiten fallen unabhängig von der Größe unter NIS2 — etwa Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, qualifizierte Vertrauensdiensteanbieter (qTSP), TLD-Namenregister und DNS-Diensteanbieter sowie Teile der Bundesverwaltung. Hier zählt die Größenschwelle nicht — selbst ein kleines Unternehmen kann erfasst sein.
- Finanzsektor / DORA-Vorrang (§ 24 Abs. 7). Für Einrichtungen im Anwendungsbereich der DORA-Verordnung (VO (EU) 2022/2554) gehen deren Bestimmungen als spezielleres Recht vor. Ob NIS2 oder DORA gilt, ist im Einzelfall zu prüfen — unser Check markiert solche Fälle zur manuellen Prüfung. Achtung: IKT-Drittdienstleister des Finanzsektors können trotz DORA zusätzlich dem NISG unterliegen (§ 24 Abs. 8). Mehr dazu: NIS2 vs. DORA.
- Einstufung per Bescheid (§ 26). Die Cybersicherheitsbehörde kann Einrichtungen der Anlagen 1 oder 2 größenunabhängig als wesentlich oder wichtig einstufen — etwa Einrichtungen der öffentlichen Verwaltung oder solche, deren Ausfall erhebliche Auswirkungen hätte. Eine solche verbindliche Anordnung der Behörde ist im Geltungsbereich rechtlich maßgeblich.
⚠️ Wichtig: Auch wer „voraussichtlich außerhalb" liegt, sollte die Begründung dokumentieren. Wachstum, Zukäufe oder neue Tätigkeiten können die Einstufung jederzeit ändern — und im Zweifel sollten Sie nachvollziehbar belegen können, warum Sie sich (noch) nicht registriert haben. Die Plattform hält Ihre Einstufung als unveränderlichen Snapshot samt nachvollziehbarer Regel-Spur fest.
Wesentliche oder wichtige Einrichtung — was ist der Unterschied?
Sind Sie betroffen, teilt NIS2 Sie in eine von zwei Kategorien ein. Die Kategorie bestimmt vor allem die Aufsichtsintensität und die Strafobergrenzen — die inhaltlichen Pflichten sind weitgehend identisch.
| Wesentliche Einrichtung | Wichtige Einrichtung | |
|---|---|---|
| Typisch | große Unternehmen in Anlage-1-Sektoren + größenunabhängige Sonderfälle (qTSP, DNS, TLD, Bundesverwaltung) | mittlere Unternehmen (Anlage 1) sowie große/mittlere Unternehmen in Anlage-2-Sektoren |
| Aufsicht | proaktiv (auch anlasslose Prüfungen) | reaktiv (im Anlassfall) |
| Strafrahmen (inhaltliche Pflichten) | bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (der höhere Betrag) | bis zu 7 Mio. € oder 1,4 % des weltweiten Vorjahresumsatzes (der höhere Betrag) |
| Pflichten | Registrierung, Risikomanagement, Meldepflichten, Nachweise | im Kern dieselben Pflichten |
Beide Kategorien haben dieselben inhaltlichen Pflichten — der Unterschied liegt in Kontrolle und Sanktionshöhe. Eine ausführliche Gegenüberstellung finden Sie unter Wesentliche vs. wichtige Einrichtungen.
Sonderthema Lieferkette: Bin ich als Zulieferer betroffen?
NIS2 verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu steuern (§ 32 Abs. 4 lit. d). In der Praxis heißt das: Ihre betroffenen Kunden werden Ihnen vertragliche Sicherheitsanforderungen stellen, Audits verlangen und Nachweise einfordern — selbst wenn Sie als Zulieferer die Größenschwelle gar nicht erreichen.
Wichtig zur Klarstellung: Diese Kundenanforderungen machen Sie nicht automatisch selbst registrierungspflichtig. Direkt unter das NISG fallen Sie nur, wenn Sie selbst Sektor und Größenschwelle erfüllen. Faktisch wirkt der Marktdruck aber wie eine indirekte Betroffenheit — wer hier vorbereitet ist, verschafft sich einen Vorsprung bei Ausschreibungen und Bestandskunden. Mehr dazu: NIS2 & Lieferkette.
Die wichtigsten Fristen im Überblick
Steht Ihre Betroffenheit fest, gelten gesetzliche Fristen, die sich aus dem Inkrafttreten ableiten:
| Datum | Ereignis | Grundlage |
|---|---|---|
| 23.12.2025 | Kundmachung im Bundesgesetzblatt (BGBl. I Nr. 94/2025) | — |
| 01.10.2026 | Inkrafttreten des NISG 2026 | § 51 |
| 31.12.2026 | Frist für die Erstregistrierung (3 Monate ab Inkrafttreten) | § 29 Abs. 3 |
| 30.09.2027 | Frist für die Selbstdeklaration (12 Monate ab Inkrafttreten) | § 33 Abs. 1 |
Bei späteren Änderungen Ihrer Registrierungsdaten gelten kurze Meldefristen: Änderungen der Kernangaben sind ehestmöglich, längstens binnen zwei Wochen zu melden, weitere Angaben binnen drei Monaten (§ 29 Abs. 4).
Sie sind betroffen — was jetzt?
Steht Ihre Einstufung fest, beginnt die Vorbereitung. Die wichtigsten Schritte:
- Registrieren Sie sich bis 31.12.2026 bei der Cybersicherheitsbehörde (elektronisch, über einen sicheren Kommunikationskanal). Die Registrierung umfasst sieben Pflichtangaben nach § 29 Abs. 2 — darunter Name, Kontaktdaten, Sektor(en) nach Anlage 1/2, betroffene EU-Mitgliedstaaten und die Angabe, ob Sie wesentlich oder wichtig sind. → Schritt-für-Schritt-Anleitung
- Risikomanagement nach § 32 einführen: zehn technische, operative und organisatorische Mindestinhalte (a–j), von der Risikoanalyse über Incident Handling und Lieferkettensicherheit bis zu Kryptografie und Multi-Faktor-Authentifizierung.
- Meldeprozesse für Sicherheitsvorfälle aufsetzen: 24 h Frühwarnung, 72 h Meldung und Abschlussbericht spätestens 1 Monat nach der Meldung. Empfänger ist das zuständige CSIRT, das unverzüglich an die Cybersicherheitsbehörde weiterleitet.
- Leitungsorgan einbinden und schulen (§ 31): Das Leitungsorgan muss die Risikomanagement-Maßnahmen sicherstellen und beaufsichtigen und selbst an Cybersicherheitsschulungen teilnehmen; Mitarbeitern sind regelmäßig Schulungen anzubieten.
Was bei Versäumnissen droht, hängt von der Art des Verstoßes ab. Das NISG kennt ein zweistufiges Strafsystem: Verstöße gegen die inhaltlichen Pflichten (Risikomanagement, Meldung, Governance) können bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes kosten (jeweils der höhere Betrag), bei wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 %. Administrative Verstöße — etwa eine versäumte oder verspätete Registrierung — fallen dagegen in eine niedrigere Stufe von bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 €. Bei wesentlichen Einrichtungen kann die Behörde Leitungsorganen zudem vorübergehend die Leitungsfunktion untersagen. Die verbreitete Verkürzung „Geschäftsführer haften persönlich mit 10 Mio. €" trifft die Rechtslage nicht — Details lesen Sie unter NIS2-Strafen & Verantwortung der Leitung.
Die NISG-Plattform unterstützt Ihre Compliance-Vorbereitung über den gesamten Weg: vom Scope-Wizard mit nachvollziehbarer Regel-Spur über prüffeste Nachweise bis zu unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger.
In zwei Minuten zur Einstufung
Wählen Sie Sektor und Unternehmensgröße — und sehen Sie sofort Ihre voraussichtliche NISG-Einstufung samt nachvollziehbarer Regel-Spur. → Jetzt kostenlos prüfen: Sind Sie im Geltungsbereich?
Häufige Fragen (FAQ)
Ab wie vielen Mitarbeitern gilt NIS2? Grundsätzlich ab 50 Mitarbeitern — oder, davon unabhängig, ab einem Jahresumsatz über 10 Mio. € und einer Bilanzsumme über 10 Mio. € (beide Werte gemeinsam), sofern Sie in einem der 18 Sektoren tätig sind. Einzelne Sonderfälle (z. B. DNS-Diensteanbieter, qualifizierte Vertrauensdiensteanbieter) gelten größenunabhängig.
Bin ich als KMU von NIS2 betroffen? Kleinst- und kleine Unternehmen (unter 50 Mitarbeitern und höchstens 10 Mio. € Umsatz und Bilanzsumme) sind grundsätzlich ausgenommen. Mittlere Unternehmen in einem betroffenen Sektor sind dagegen erfasst — meist als „wichtige Einrichtung". Ausnahmen gelten für größenunabhängige Sektoren und für Einstufungen per Bescheid (§ 26).
Was ist der Unterschied zwischen wesentlicher und wichtiger Einrichtung? Beide haben dieselben inhaltlichen Pflichten. „Wesentliche" Einrichtungen unterliegen einer proaktiven Aufsicht und höheren Strafobergrenzen (bis 10 Mio. € / 2 %), „wichtige" einer reaktiven Aufsicht (bis 7 Mio. € / 1,4 %).
Bis wann muss ich mich registrieren? Die Registrierung bei der Cybersicherheitsbehörde muss bis 31. Dezember 2026 erfolgen (drei Monate nach Inkrafttreten am 1. Oktober 2026). Neu qualifizierte Einrichtungen registrieren sich binnen drei Monaten ab Erfüllung der Voraussetzungen.
Ich bin nur Zulieferer — muss ich mich registrieren? Nur, wenn Sie selbst Sektor und Größenschwelle erfüllen. Unabhängig davon werden betroffene Kunden vertragliche Sicherheitsanforderungen an Sie stellen, da diese ihre Lieferkette absichern müssen.
Gilt für mein Finanzunternehmen NIS2 oder DORA? Für Einrichtungen im Anwendungsbereich der DORA-Verordnung gehen deren Vorgaben vor (§ 24 Abs. 7). IKT-Drittdienstleister des Finanzsektors können jedoch zusätzlich dem NISG unterliegen (§ 24 Abs. 8). Solche Fälle markiert der Check zur manuellen Prüfung.
Stand: Juni 2026. Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.