NISG
AnmeldenKostenlos prüfen

NIS2 für Anbieter digitaler Dienste

NISG-Plattform-RedaktionStand Juni 20263 Min Lesezeit

In Kürze: Anbieter digitaler Dienste sind ein Anlage-2-Sektor des NISG 2026. Erfasst sind drei Typen: Online-Marktplätze (§ 1 Abs. 4 Z 10 UWG), Online-Suchmaschinen (VO (EU) 2019/1150) und Dienste sozialer Netzwerke. Mittlere und große Anbieter gelten als wichtige Einrichtung (§ 24 Abs. 2). Nicht zu verwechseln mit „Digitale Infrastruktur" (Anlage 1: Cloud, Rechenzentren, DNS) — das ist ein anderer, höher kritischer Sektor. Erstregistrierung bis 31.12.2026. → Betroffenheit prüfen.

Wer ist als „digitaler Dienst" betroffen?

Das NISG 2026 listet in Anlage 2 den Sektor „Anbieter digitaler Dienste" mit drei klar umrissenen Typen:

Typ Definition (Anlage 2)
Online-Marktplatz Anbieter i. S. d. § 1 Abs. 4 Z 10 UWG (Plattform, die Verbrauchern den Abschluss von Verträgen mit Unternehmern/Verbrauchern ermöglicht)
Online-Suchmaschine Anbieter i. S. d. Art. 2 Z 5 der Verordnung (EU) 2019/1150
Dienste sozialer Netzwerke Plattform, auf der Endnutzer in Kontakt treten, kommunizieren und Inhalte teilen/entdecken (Chats, Posts, Videos, Empfehlungen)

Maßgeblich ist der Wortlaut der Anlage 2; die genaue Zuordnung nehmen Sie im Geltungsbereichs-Check vor.

Wichtige Abgrenzungdigitale Dienste ≠ digitale Infrastruktur

Diese beiden Sektoren werden häufig verwechselt:

  • Anbieter digitaler Dienste (Anlage 2, dieser Beitrag): Online-Marktplätze, Suchmaschinen, soziale Netzwerke — endnutzer-/plattformorientiert.
  • Digitale Infrastruktur (Anlage 1, höhere Kritikalität): Rechenzentren, Cloud, CDN, IXP, DNS, Vertrauensdienste — die technische Grundschicht. Wer solche Dienste betreibt, fällt unter den höher kritischen Anlage-1-Sektor → siehe NIS2 für IT-Dienstleister.

Welche Größe ist erfasst?

Für Anlage-2-Sektoren gilt (Schwellenwerte):

  • Mittlere und große Anbieter → voraussichtlich wichtige Einrichtung (§ 24 Abs. 2): ab 50 Mitarbeitern — oder, davon unabhängig, ab > 10 Mio. € Jahresumsatz und > 10 Mio. € Bilanzsumme (kumulativ).
  • Kleinstanbieter bleiben in der Regel außerhalb — sofern keine größenunabhängige Einstufung der Behörde (§ 26) greift.

Anlage-2-Einrichtungen sind — ob mittel oder groß — wichtige Einrichtungen; „wesentlich" kann nur über § 26 hinzutreten.

Welche Pflichten gelten?

Dieselben Pflichtblöcke wie für alle Einrichtungen (NIS2-Pflichten):

  1. Registrierung bei der Cybersicherheitsbehörde — bis 31.12.2026 (§ 29). Zu den § 29-Angaben gehören u. a. die EU-Mitgliedstaaten, in denen Sie Dienste erbringen, und ggf. IP-Adressbereiche.
  2. Risikomanagement mit den Mindestinhalten a–j (§ 32) — bei Plattformen mit Schwerpunkt auf Zugriffskontrolle (lit. i), Authentifizierung (lit. j) und Lieferkette/Subdienstleister (lit. d).
  3. Vorfallmeldung an das zuständige CSIRT: 24 h / 72 h / 1 Monat (§ 34/§ 35); bei beeinträchtigter Diensterbringung sind Nutzer unverzüglich zu unterrichten (§ 34 Abs. 3).
  4. Governance & Schulung des Leitungsorgans (§ 31).
  5. Wirksamkeitsnachweis — Selbstdeklaration bis 30.09.2027 (§ 33).

Erste Schritte

  1. Diensttyp + Größe klärenkostenloser Check.
  2. Registrierung vorbereiten (inkl. Mitgliedstaaten der Diensterbringung) → bis 31.12.2026.
  3. Risikomanagement mit Plattform-Schwerpunkt aufsetzen (§ 32).

Die Plattform unterstützt Sie bei Einstufung, § 29-Paket und prüffesten Nachweisen — die rechtliche Bewertung und die Einreichung verbleiben bei Ihnen.

Betreiben Sie einen digitalen Dienst?

Wählen Sie „Anbieter digitaler Dienste" und Ihre Größe und sehen Sie Ihre voraussichtliche Einstufung. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Sind Online-Marktplätze von NIS2 betroffen? Ja, als Anlage-2-Sektor „Anbieter digitaler Dienste" — sofern die Größenschwelle erreicht wird (mittel oder groß → wichtige Einrichtung, § 24 Abs. 2). Erfasst sind Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerke.

Was ist der Unterschied zu „Digitale Infrastruktur"? „Anbieter digitaler Dienste" (Anlage 2) meint Plattformen (Marktplatz/Suchmaschine/soziales Netzwerk). „Digitale Infrastruktur" (Anlage 1) meint die technische Grundschicht (Cloud, Rechenzentren, DNS) und ist höher kritisch → IT-Dienstleister.

Sind kleine Plattformen betroffen? In der Regel nicht: Kleinstanbieter (< 50 Mitarbeiter und ≤ 10 Mio. €) bleiben meist außerhalb, sofern keine Einstufung nach § 26 greift.

Welche Frist gilt? Die Erstregistrierung ist bis 31.12.2026 vorzunehmen (§ 29 Abs. 3); die Selbstdeklaration bis 30.09.2027 (§ 33 Abs. 1).

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.