NISG
AnmeldenKostenlos prüfen

NIS2 für Forschungseinrichtungen

NISG-Plattform-RedaktionStand Juni 20263 Min Lesezeit

In Kürze: Forschung ist ein Anlage-2-Sektor des NISG 2026 — allerdings eng gefasst: Erfasst sind Forschungseinrichtungen, deren primäres Ziel angewandte Forschung oder experimentelle Entwicklung zur kommerziellen Nutzung ist. Bildungseinrichtungen (Universitäten, Hochschulen, Schulen) sind ausdrücklich nicht erfasst. Mittlere und große Forschungseinrichtungen gelten als wichtige Einrichtung (§ 24 Abs. 2). Erstregistrierung bis 31.12.2026. → Betroffenheit prüfen.

Wer im Bereich Forschung ist betroffen?

Das NISG 2026 definiert den Anlage-2-Sektor „Forschung" eng: erfasst sind Einrichtungen, deren primäres Ziel es ist, angewandte Forschung oder experimentelle Entwicklung im Hinblick auf die kommerzielle Nutzung der Ergebnisse durchzuführen — der Gesetzeswortlaut schließt Bildungseinrichtungen ausdrücklich nicht ein („Forschungseinrichtung").

Entscheidend ist also die kommerzielle Ausrichtung der angewandten Forschung — nicht jede Einrichtung, die forscht, fällt darunter.

Abgrenzung: Universitäten und Schulen

Universitäten, Hochschulen und Schulen sind hier nicht erfasst — und auch über den Sektor öffentliche Verwaltung ausdrücklich ausgenommen (§ 24 Abs. 6, siehe öffentliche Verwaltung). Universitäre Grundlagenforschung fällt damit in aller Regel nicht unter das NISG. Eine kommerziell ausgerichtete, eigenständige Forschungsgesellschaft hingegen kann erfasst sein.

Größe

Für Anlage-2-Sektoren gilt (Schwellenwerte):

  • Mittlere und große Forschungseinrichtungen → voraussichtlich wichtige Einrichtung (§ 24 Abs. 2): ab 50 Mitarbeitern — oder, davon unabhängig, ab > 10 Mio. € Jahresumsatz und > 10 Mio. € Bilanzsumme (kumulativ).
  • Kleinsteinrichtungen bleiben in der Regel außerhalb — sofern keine größenunabhängige Einstufung der Behörde (§ 26) greift.

Anlage-2-Einrichtungen sind — ob mittel oder groß — wichtige Einrichtungen; „wesentlich" kann nur über § 26 hinzutreten.

Welche Pflichten gelten?

Dieselben Pflichtblöcke wie für alle Einrichtungen (NIS2-Pflichten):

  1. Registrierung bei der Cybersicherheitsbehörde — bis 31.12.2026 (§ 29).
  2. Risikomanagement mit den Mindestinhalten a–j (§ 32) — mit Augenmerk auf den Schutz von Forschungsdaten und geistigem Eigentum.
  3. Vorfallmeldung an das zuständige CSIRT: 24 h / 72 h / 1 Monat (§ 34/§ 35).
  4. Governance & Schulung des Leitungsorgans (§ 31).
  5. Wirksamkeitsnachweis — Selbstdeklaration bis 30.09.2027 (§ 33).

Erste Schritte

  1. Ausrichtung + Größe klären (kommerziell ausgerichtete angewandte Forschung?) → kostenloser Check.
  2. Registrierung vorbereiten → bis 31.12.2026.
  3. Risikomanagement mit Datenschutz-/IP-Schwerpunkt aufsetzen (§ 32).

Die Plattform unterstützt Sie bei Einstufung, § 29-Paket und prüffesten Nachweisen — die rechtliche Bewertung und die Einreichung verbleiben bei Ihnen.

Ist Ihre Forschungseinrichtung betroffen?

Wählen Sie „Forschung" und Ihre Größe und sehen Sie Ihre voraussichtliche Einstufung. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Sind Forschungseinrichtungen von NIS2 betroffen? Ja, sofern es sich um Einrichtungen handelt, deren primäres Ziel angewandte Forschung oder experimentelle Entwicklung zur kommerziellen Nutzung ist und die die Größenschwelle erreichen — als wichtige Einrichtung (§ 24 Abs. 2).

Sind Universitäten von NIS2 betroffen? In der Regel nein. Der Sektor „Forschung" schließt Bildungseinrichtungen ausdrücklich aus, und Universitäten/Hochschulen/Schulen sind zudem über § 24 Abs. 6 ausgenommen (Ausnahme: soweit sie als Vertrauensdiensteanbieter tätig sind).

Welche Frist gilt? Die Erstregistrierung ist bis 31.12.2026 vorzunehmen (§ 29 Abs. 3); die Selbstdeklaration bis 30.09.2027 (§ 33 Abs. 1).

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.