In Kürze: NIS2 ist eine EU-Richtlinie für Cybersicherheit, in Österreich umgesetzt durch das NISG 2026 (BGBl. I Nr. 94/2025). Betroffen sind Unternehmen in einem von 18 Sektoren, die eine Größenschwelle erreichen (ab 50 Mitarbeitern oder über 10 Mio. € Umsatz und Bilanzsumme). Wer betroffen ist, muss sich bis 31.12.2026 registrieren, ein Risikomanagement aufbauen, Vorfälle melden und die Leitung einbinden. Das Gesetz tritt am 1.10.2026 in Kraft. Ob Sie betroffen sind, klären Sie in 2 Minuten: kostenloser Check.
NIS2 klingt nach einem Thema für IT-Abteilungen großer Konzerne. Tatsächlich betrifft das österreichische NISG 2026 Schätzungen zufolge rund 4.000 Unternehmen quer durch die Wirtschaft — viele davon mittelständisch. Hier das Wichtigste ohne Paragrafen-Dschungel.
Was ist NIS2 — in einem Satz
NIS2 (EU-Richtlinie 2022/2555) verpflichtet wichtige Teile der Wirtschaft, ihre IT-Sicherheit auf ein angemessenes Niveau zu heben und Cybervorfälle zu melden. Österreich setzt das mit dem NISG 2026 in nationales Recht um — dort stehen die konkreten Pflichten, Fristen und Strafen. Den vollständigen Überblick gibt unser NISG-2026-Leitfaden.
Wen betrifft es?
Zwei Bedingungen müssen zusammen erfüllt sein:
- Sektor: Tätigkeit in einem der 18 Sektoren (11 aus Anlage 1 — etwa Energie, Gesundheit, Trinkwasser, digitale Infrastruktur; 7 aus Anlage 2 — etwa Post, Abfall, Lebensmittel, verarbeitendes Gewerbe).
- Größe: ab 50 Mitarbeitern — oder, davon unabhängig, ab mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme (beide Werte gemeinsam).
Einige Einrichtungen sind größenunabhängig erfasst (z. B. bestimmte Vertrauensdienste- und DNS-Anbieter). Details: NIS2-Betroffenheit und Schwellenwerte.
Betroffene werden in wesentliche und wichtige Einrichtungen eingeteilt — gleiche inhaltliche Pflichten, aber unterschiedliche Aufsicht und Strafobergrenzen.
Was müssen betroffene Unternehmen tun?
Fünf Kernpflichten:
| Pflicht | Worum es geht | § |
|---|---|---|
| Registrieren | bei der Cybersicherheitsbehörde anmelden (7 Pflichtangaben) | § 29 |
| Risiko managen | mindestens 10 Sicherheitsmaßnahmen umsetzen | § 32 |
| Vorfälle melden | 24 h Frühwarnung / 72 h Meldung / 1 Monat Abschluss | § 34 |
| Leitung einbinden | Geschäftsleitung schult, stellt sicher, beaufsichtigt | § 31 |
| Selbst deklarieren | umgesetzte Maßnahmen melden (bis 30.9.2027) | § 33 |
Was das im Detail bedeutet, steht im Überblick NIS2-Pflichten.
Welche Fristen gelten?
- 1.10.2026 — NISG 2026 tritt in Kraft.
- 31.12.2026 — Registrierung abgeschlossen.
- 30.9.2027 — erste Selbstdeklaration.
Die knappste und wichtigste Frist ist der 31.12.2026. Alle Termine im Detail: NIS2-Fristen.
Was passiert bei Verstößen?
Das System ist zweistufig: Schwere inhaltliche Verstöße (z. B. fehlendes Risikomanagement) können wesentliche Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes kosten (wichtige: bis 7 Mio. € / 1,4 %). Formale Versäumnisse wie eine verspätete Registrierung fallen in die niedrigere Stufe: bis 50.000 € (Wiederholung: 100.000 €). Panik ist unnötig — ein geordneter, dokumentierter Umsetzungsstand ist der beste Schutz.
Die nächsten Schritte
- Betroffenheit prüfen — Sektor + Größe. Kostenloser Check
- Bei Betroffenheit: Registrierung vorbereiten und § 32-Maßnahmen planen.
- Früh anfangen — vor dem Jahresend-Stau 2026.
Sind Sie betroffen? Finden Sie es in 2 Minuten heraus
Prüfen Sie kostenlos und ohne Anmeldung Ihre voraussichtliche NIS2-Einstufung. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Was bedeutet NIS2 einfach gesagt? NIS2 ist eine EU-Richtlinie, die wichtige Wirtschaftsbereiche zu besserer IT-Sicherheit und zur Meldung von Cybervorfällen verpflichtet. In Österreich gilt sie über das NISG 2026.
Ist NIS2 dasselbe wie das NISG 2026? NIS2 ist die EU-Richtlinie, das NISG 2026 ist das österreichische Gesetz, das sie umsetzt. Maßgeblich für Unternehmen in Österreich ist das NISG 2026 (BGBl. I Nr. 94/2025).
Betrifft NIS2 auch kleine Unternehmen? Kleinst- und Kleinunternehmen (unter 50 Mitarbeitern und höchstens 10 Mio. € Umsatz und Bilanzsumme) sind grundsätzlich ausgenommen — außer in größenunabhängig erfassten Sonderfällen. Mittlere Unternehmen in einem betroffenen Sektor sind dagegen erfasst.
Was ist die wichtigste Frist? Der 31.12.2026 — bis dahin muss die Registrierung erfolgen. Das Gesetz tritt am 1.10.2026 in Kraft.
Wo fange ich an? Mit der Betroffenheitsprüfung: erst klären, ob und wie Sie betroffen sind, dann gezielt umsetzen.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.