In Kürze: IT-Dienstleister sind von NIS2 doppelt betroffen. Erstens direkt: Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) bilden den Anlage-1-Sektor „Verwaltung von IKT-Diensten (B2B)", Cloud- und Rechenzentrumsanbieter fallen unter „Digitale Infrastruktur" — je nach Größe als wichtige (mittel) oder wesentliche (groß) Einrichtung. DNS-Diensteanbieter sind sogar größenunabhängig erfasst (§ 24 Abs. 1). Zweitens indirekt: Über die Lieferkettenpflicht ihrer betroffenen Kunden (§ 32 Abs. 4 lit. d) werden auch nicht direkt erfasste Dienstleister vertraglich in die Pflicht genommen. Erstregistrierung der direkt Betroffenen bis 31.12.2026. → Eigene Betroffenheit prüfen.
Kaum eine Branche steht so im Zentrum von NIS2 wie die IT-Dienstleistung: Wer fremde Systeme betreibt, absichert oder hostet, ist ein attraktives Angriffsziel und ein kritisches Glied in der Lieferkette vieler anderer. Dieser Beitrag trennt die zwei Ebenen sauber — eigene Betroffenheit und Kunden-getriebene Anforderungen.
Sind IT-Dienstleister selbst von NIS2 betroffen?
Ja — mehrere IT-Dienstleistungstypen sind ausdrücklich in Anlage 1 (hohe Kritikalität) genannt. Maßgeblich ist die konkrete Tätigkeit:
| Dienstleistungstyp | Sektor (Anlage 1) | Einstufung |
|---|---|---|
| MSP (Anbieter verwalteter Dienste) | Verwaltung von IKT-Diensten, B2B (Nr. 9) | größenabhängig: mittel → wichtig, groß → wesentlich |
| MSSP (verwaltete Sicherheitsdienste) | Verwaltung von IKT-Diensten, B2B (Nr. 9) | größenabhängig: mittel → wichtig, groß → wesentlich |
| Cloud-, Rechenzentrums-, CDN-Anbieter | Digitale Infrastruktur (Nr. 8) | größenabhängig: mittel → wichtig, groß → wesentlich |
| DNS-Diensteanbieter | Digitale Infrastruktur | größenunabhängig wesentlich (§ 24 Abs. 1 Z 1 lit. c) |
| Qualifizierte Vertrauensdiensteanbieter | Digitale Infrastruktur | größenunabhängig wesentlich (§ 24 Abs. 1 Z 1 lit. a) |
Für die größenabhängigen Typen gilt die übliche Schwelle: ab 50 Mitarbeitern — oder, davon unabhängig, ab > 10 Mio. € Jahresumsatz und > 10 Mio. € Bilanzsumme (kumulativ). Ein MSP mit 80 Mitarbeitern ist damit voraussichtlich eine wichtige Einrichtung; ein großer Cloud-Anbieter (≥ 250 MA bzw. > 50 Mio. € Umsatz und > 43 Mio. € Bilanz) eine wesentliche. Die Sonderfälle DNS und qualifizierte Vertrauensdienste sind unabhängig von der Größe erfasst.
Hinweis: Klassische IT-Systemhäuser, Software-Entwickler oder Reseller ohne verwalteten Betrieb fallen nicht automatisch unter Nr. 8/9 — entscheidend ist, ob Sie verwaltete Dienste erbringen oder digitale Infrastruktur betreiben. Die genaue Zuordnung nehmen Sie im Geltungsbereichs-Check vor.
Der Lieferketten-Effektbetroffen über Ihre Kunden
Auch wer nicht direkt unter Anlage 1/2 fällt, spürt NIS2 — über die Kunden. Betroffene Unternehmen müssen die Sicherheit ihrer Lieferkette in ihr Risikomanagement einbeziehen, einschließlich der Beziehungen zu ihren unmittelbaren Dienstleistern (§ 32 Abs. 4 lit. d). In der Praxis heißt das für IT-Dienstleister:
- Vertragliche Sicherheitsanforderungen (Security-SLAs, Mindeststandards, Audit-Rechte) wandern in Ihre Verträge.
- Nachweise werden eingefordert: Zertifikate, Risikobewertungen, Vorfall-Meldewege.
- Meldeketten müssen zusammenpassen: Ein Vorfall bei Ihnen kann beim Kunden eine 24-h-/72-h-Meldung auslösen.
Mehr zu dieser Mechanik: NIS2 & Lieferkette. Für IT-Dienstleister ist das ein doppelter Grund, früh aktiv zu werden — die eigene Betroffenheit und die der Kunden treffen denselben Zeitplan.
Was betroffene IT-Dienstleister umsetzen müssen
Direkt erfasste IT-Dienstleister erfüllen dieselben Pflichtblöcke wie alle Einrichtungen (NIS2-Pflichten) — mit branchentypischen Schwerpunkten:
- Registrierung bei der Cybersicherheitsbehörde, elektronisch und strukturiert — Erstregistrierung bis 31.12.2026 (§ 29).
- Risikomanagement (§ 32) mit Fokus auf das, was IT-Dienstleister besonders betrifft: Zugriffskontrolle und Asset-Management für Kundenumgebungen (lit. i), Multi-Faktor-Authentifizierung (lit. j), Lieferkettensicherheit der eigenen Subdienstleister (lit. d) und Mandantentrennung.
- Vorfallmeldung (§ 34/35) an das zuständige CSIRT — 24 h / 72 h / 1 Monat; bei beeinträchtigter Diensterbringung sind betroffene Kunden unverzüglich zu unterrichten (§ 34 Abs. 3).
- Governance & Schulung (§ 31) — das Leitungsorgan stellt die Maßnahmen sicher und nimmt an Schulungen teil.
NIS2 als Geschäftschance
Die Kehrseite der Pflicht ist die Nachfrage: Tausende österreichische Unternehmen suchen gerade Unterstützung bei genau diesen Themen. IT-Dienstleister, die ihre eigene NIS2-Hausaufgabe gemacht haben, sind als Partner für ihre Kunden glaubwürdig — von der Absicherung der betreuten Systeme bis zur Meldekette. Wer das prüffest dokumentiert, hat ein Verkaufsargument.
Erste Schritte
- Eigene Betroffenheit klären — erbringen Sie verwaltete Dienste (Nr. 9) oder digitale Infrastruktur (Nr. 8)? Größe prüfen → kostenloser Check.
- Kundenanforderungen antizipieren — rechnen Sie mit Security-Klauseln und Nachweis-Anfragen (§ 32 lit. d).
- Registrierung vorbereiten (falls direkt betroffen) → bis 31.12.2026.
- Risikomanagement mit Schwerpunkt Zugriffskontrolle, MFA, Mandantentrennung und Subdienstleister aufsetzen.
Die Plattform unterstützt Sie bei der Einstufung im Scope-Wizard, beim § 29-Paket und bei prüffesten Nachweisen — die rechtliche Bewertung und die Einreichung verbleiben bei Ihnen.
Sind Sie als IT-Dienstleister betroffen?
Wählen Sie „Verwaltung von IKT-Diensten" oder „Digitale Infrastruktur" und Ihre Größe und sehen Sie Ihre voraussichtliche Einstufung. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Sind Managed Service Provider (MSP) von NIS2 betroffen? MSP bilden den Anlage-1-Sektor „Verwaltung von IKT-Diensten (B2B)". Ein mittleres Unternehmen (ab 50 MA bzw. kumulativ > 10 Mio. € Umsatz und Bilanzsumme) gilt als wichtige, ein großes als wesentliche Einrichtung. Kleinstanbieter bleiben in der Regel außerhalb — sofern keine größenunabhängige Einstufung (§ 26) greift.
Gilt NIS2 auch für Cloud- und Rechenzentrumsanbieter? Ja, über den Sektor „Digitale Infrastruktur" (Anlage 1) — größenabhängig (mittel → wichtig, groß → wesentlich). DNS-Diensteanbieter und qualifizierte Vertrauensdiensteanbieter sind sogar unabhängig von der Größe erfasst (§ 24 Abs. 1).
Bin ich betroffen, obwohl ich klein bin, aber NIS2-Kunden habe? Möglicherweise indirekt: Ihre betroffenen Kunden müssen ihre Lieferkette absichern (§ 32 Abs. 4 lit. d) und geben Sicherheitsanforderungen vertraglich an Sie weiter — auch ohne dass Sie selbst registrierungspflichtig sind.
Was bedeutet die Meldepflicht für IT-Dienstleister? Erhebliche Vorfälle gehen an das zuständige CSIRT (24 h / 72 h / 1 Monat). Ist die Diensterbringung für Kunden beeinträchtigt, sind diese zusätzlich unverzüglich zu unterrichten (§ 34 Abs. 3). Details: Meldepflicht.
Welche § 32-Maßnahmen sind für IT-Dienstleister besonders wichtig? Zugriffskontrolle und Asset-Management (lit. i), Multi-Faktor-Authentifizierung (lit. j), Lieferkettensicherheit der Subdienstleister (lit. d) sowie eine saubere Mandantentrennung — flankiert von den übrigen Mindestinhalten a–j.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.