nisg26.at

NIS2 für Energieversorger: Pflichten, Fristen und Einstufung

In Kürze: Energie ist ein Anlage-1-Sektor (hohe Kritikalität) des NISG 2026. Versorger, Netzbetreiber und Erzeuger ab mittlerer Größe fallen voraussichtlich unter NIS2 — große Einrichtungen meist als wesentliche, mittlere als wichtige Einrichtung. Wegen der Versorgungssicherheit steht der Sektor besonders im Aufsichtsfokus. Die Erstregistrierung bei der Cybersicherheitsbehörde ist bis 31.12.2026 vorgesehen.

Die Energiewirtschaft ist das Rückgrat aller anderen kritischen Sektoren — fällt sie aus, fällt vieles aus. Entsprechend prominent adressiert das NISG 2026 (Umsetzung der EU-Richtlinie NIS2) diesen Bereich: Energie steht in Anlage 1 an erster Stelle.

Wer in der Energiewirtschaft ist betroffen?

Der Sektor Energie ist in Anlage 1 NISG 2026 in fünf Teilsektoren gegliedert. Die exakten Einrichtungstypen knüpfen an die bestehenden Branchengesetze an (u. a. ElWOG 2010, GWG 2011, EBG 2012) sowie an einschlägige EU-Verordnungen:

  • Elektrizität — Elektrizitäts-/Versorgungsunternehmen, Verteiler- und Übertragungsnetzbetreiber, Erzeuger (sofern gewerbliche oder berufliche Haupttätigkeit), nominierte Strommarktbetreiber, Marktteilnehmer mit Aggregierungs-, Laststeuerungs- oder Energiespeicherdiensten sowie Betreiber von Ladepunkten.
  • Erdgas — Versorgungsunternehmen („Versorger"), Verteiler- und Fernleitungsnetzbetreiber, Speicherunternehmen, LNG-Anlagenbetreiber, Erdgasunternehmen sowie Anlagen zur Raffination und Aufbereitung von Erdgas.
  • Fernwärme und -kälte — Betreiber von Fernwärme- oder Fernkälteanlagen.
  • Erdöl — Betreiber von Erdöl-Fernleitungen, Anlagen zur Produktion, Raffination und Aufbereitung, Erdöllager sowie zentrale Erdölbevorratungsstellen.
  • Wasserstoff — Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung.

Ob Ihre konkrete Tätigkeit unter einen dieser Teilsektoren fällt, hängt von der gesetzlichen Definition (z. B. „Versorger" nach ElWOG/GWG) ab. Eine detaillierte Einstufung erhalten Sie im Scope-Check; die Sektorübersicht finden Sie unter NIS2-Sektoren.

Wesentliche oder wichtige Einrichtung?

Innerhalb des Anlage-1-Sektors Energie entscheidet die Unternehmensgröße über die Kategorie. Maßgeblich ist die Größenklasse nach § 25 NISG (angelehnt an die EU-Empfehlung 2003/361/EG):

Größenklasse Schwelle (§ 25 NISG) Einstufung in Energie
Groß ≥ 250 Mitarbeitende — oder Jahresumsatz > 50 Mio. € und Bilanzsumme > 43 Mio. € wesentliche Einrichtung
Mittel ≥ 50 Mitarbeitende — oder Jahresumsatz > 10 Mio. € und Bilanzsumme > 10 Mio. € wichtige Einrichtung
Größenunabhängig behördliche Einstufung (§ 26) oder als kritisch identifiziert (CER-Richtlinie (EU) 2022/2557) wesentliche Einrichtung

Wichtig: Das finanzielle Kriterium ist kumulativ — Umsatz und Bilanzsumme müssen die jeweilige Schwelle überschreiten. Die verkürzte Formel „ab 50 Mitarbeitenden oder 10 Mio. € Umsatz" ist ungenau. Die vollständige Größenmatrix samt Konzern-Sonderregel (§ 25 Abs. 4: keine Zurechnung verbundener Unternehmen, wenn die Netz- und Informationssysteme organisatorisch, technisch und operativ unabhängig sind) erläutert der Beitrag Größenschwellen. Den Unterschied der beiden Kategorien beschreibt wesentlich vs. wichtig.

Besonderheiten für den Sektor

  • Leit- und Steuerungssysteme (OT/SCADA): Netzleittechnik ist hochkritisch und gehört zu den am stärksten zu schützenden Komponenten — Segmentierung gegenüber der Office-IT ist zentral.
  • Versorgungssicherheit & Betriebskontinuität: Ausfälle haben weitreichende Folgen — Notfall-, Krisen- und Wiederanlaufpläne (§ 32 Maßnahme c) sind besonders relevant.
  • Lieferkette: Steuerungstechnik, Fernwartung und IT-Dienstleister gehören in die Lieferkettensicherheit (§ 32 Maßnahme d).
  • Überschneidung mit weiteren Vorgaben: Energieunternehmen unterliegen oft schon sektorspezifischen Sicherheitsanforderungen; NIS2 kommt als allgemeine Cybersicherheitsbasis hinzu.

Welche Pflichten gelten?

Für alle betroffenen Einrichtungen gelten dieselben fünf Pflichtblöcke. Den Gesamtüberblick gibt der Beitrag NIS2-Pflichten:

  1. Registrierung (§ 29) — sieben Pflichtangaben, elektronisch bei der Cybersicherheitsbehörde, voraussichtlich bis 31.12.2026.
  2. Risikomanagement (§ 32) — zehn Mindestinhalte (a–j), u. a. Incident Handling, Betriebskontinuität, Lieferkette, Kryptografie und Multi-Faktor-Authentifizierung.
  3. Wirksamkeitsnachweis (§ 33) — Selbstdeklaration und, auf Aufforderung, Prüfung durch eine unabhängige Stelle.
  4. Vorfallmeldung (§ 34/35) — erhebliche Vorfälle werden an das zuständige CSIRT gemeldet: 24 h Frühwarnung, 72 h Meldung, Abschlussbericht spätestens 1 Monat nach der 72-h-Meldung.
  5. Governance (§ 31) — das Leitungsorgan muss die Risikomanagementmaßnahmen sicherstellen und beaufsichtigen und an Cybersicherheitsschulungen teilnehmen.

Als wesentliche Einrichtung müssen große Versorger mit proaktiver Aufsicht rechnen (auch ohne konkreten Anlass), während wichtige Einrichtungen anlassbezogen geprüft werden.

Wie nisg26.at unterstützt

Die Plattform unterstützt Ihre Compliance-Vorbereitung: vom Scope-Check über die Abbildung Ihrer Standorte, Dienste und Lieferanten bis zu prüffesten Nachweisen und unveränderlichen Snapshots Ihres Registrierungs- und Maßnahmenstands — abgesichert durch ein manipulationssicheres Audit-Ledger. Sie reichen die Registrierung und Meldungen selbst ein; die Plattform bereitet die Artefakte dafür strukturiert auf.

Erste Schritte

  1. Betroffenheit & Kategorie klärenkostenloser Check
  2. OT-/Leittechnik-Inventar und Segmentierung prüfen
  3. Registrierung vorbereiten → voraussichtlich bis 31.12.2026
  4. Risikomanagement mit Schwerpunkt Versorgungssicherheit nach § 32 aufsetzen

Sind Sie als Energieversorger betroffen?

Wählen Sie „Energie" und Ihre Größe und sehen Sie sofort Ihre voraussichtliche Einstufung. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Sind Energieversorger von NIS2 betroffen? Ja. Energie ist ein Anlage-1-Sektor des NISG 2026; Versorger, Netzbetreiber und Erzeuger ab mittlerer Größe fallen voraussichtlich unter NIS2 — große Einrichtungen meist als wesentliche, mittlere als wichtige Einrichtung.

Fällt die Netzleittechnik (OT/SCADA) unter NIS2? Ja. Leit- und Steuerungssysteme gehören zu den am stärksten zu schützenden Komponenten und sind Teil des Risikomanagements nach § 32 — von Zugriffskontrolle bis Segmentierung gegenüber der Office-IT.

Bin ich wesentliche oder wichtige Einrichtung? In Anlage-1-Sektoren wie Energie werden große Unternehmen in der Regel als wesentliche, mittlere als wichtige Einrichtung eingestuft. Das finanzielle Kriterium ist kumulativ (Umsatz und Bilanzsumme). Die genaue Einstufung ergibt sich im Scope-Check.

Sind kleine Energiegemeinschaften betroffen? Unter den Größenschwellen sind sie in der Regel nicht direkt erfasst. Die Behörde kann einzelne Einrichtungen aber größenunabhängig einstufen (§ 26), und als kritisch identifizierte Betreiber (CER-Richtlinie (EU) 2022/2557) gelten unabhängig von der Größe als wesentlich. Maßgeblich sind die tatsächliche Tätigkeit und eine etwaige Konzernzurechnung.

Bis wann müssen sich Energieversorger registrieren? Die Erstregistrierung erfolgt elektronisch bei der Cybersicherheitsbehörde, voraussichtlich bis 31.12.2026 — drei Monate nach dem Inkrafttreten am 01.10.2026.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.