NISG
AnmeldenKostenlos prüfen

NIS2 in der öffentlichen Verwaltung

NISG-Plattform-RedaktionStand Juni 20266 Min Lesezeit

In Kürze:

  • Die öffentliche Verwaltung ist ein Anlage-1-Sektor (hohe Kritikalität).
  • Einrichtungen der Bundesverwaltung gelten größenunabhängig als wesentliche Einrichtungen (§ 24 Abs. 4).
  • Einrichtungen der Landesverwaltung werden als wichtige Einrichtungen eingestuft (§ 24 Abs. 5).
  • Gemeinden und Gemeindeverbände sind vom Sektor ausgenommen (§ 24 Abs. 3); die Bezirkshauptmannschaften und die Ämter der Landesregierungen zählen dagegen als wichtige Einrichtungen dazu (§ 24 Abs. 5).
  • Ausgenommen sind u. a. nationale Sicherheit, Universitäten und Schulen, Gerichtsbarkeit, Gesetzgebung und die Österreichische Nationalbank (§ 24 Abs. 6) — außer, soweit sie als Vertrauensdiensteanbieter tätig sind.
  • Besonderheit: Bestimmte Durchsetzungsmaßnahmen der Behörde gelten nicht für die öffentliche Verwaltung (§ 39 Abs. 6).
  • Frist: Erstregistrierung bis 31.12.2026.

Die öffentliche Verwaltung erbringt unverzichtbare Leistungen und verarbeitet sensible Daten — entsprechend zählt sie zu den Sektoren mit hoher Kritikalität (Anlage 1) des NISG 2026 (Umsetzung der EU-Richtlinie NIS2). Anders als bei Unternehmen richtet sich die Einstufung hier nicht nach der Größenmatrix, sondern unmittelbar nach der Verwaltungsebene — mit klar definierten Ausnahmen.

Ist die öffentliche Verwaltung von NIS2 / NISG 2026 betroffen?

Ja. Die öffentliche Verwaltung ist einer der elf Anlage-1-Sektoren (siehe NIS2-Sektoren). Die Zuordnung erfolgt nach der Ebene der Einrichtung:

Ebene NIS2-Einstufung Rechtsgrundlage
Einrichtungen der Bundesverwaltung wesentliche Einrichtung (größenunabhängig) § 24 Abs. 4
Einrichtungen der Landesverwaltung wichtige Einrichtung § 24 Abs. 5

Was der Unterschied zwischen wesentlich und wichtig für Aufsicht und Pflichten bedeutet, erklärt der Beitrag Wesentliche und wichtige Einrichtungen.

Unterhalb von Bund und Ländern trifft das Gesetz eine klare Abgrenzung: Auf Landesebene zählen neben den Ämtern der Landesregierungen ausdrücklich auch die Bezirkshauptmannschaften (Bezirksverwaltungsbehörden) zum Sektor und gelten als wichtige Einrichtungen (§ 24 Abs. 5). Gemeinden und Gemeindeverbände sind dagegen vom Sektor öffentliche Verwaltung ausdrücklich ausgenommen (§ 24 Abs. 3). Eine Gemeinde kann gleichwohl betroffen sein, wenn sie Einrichtungen in einem anderen Sektor der Anlage 1 oder 2 betreibt (etwa kommunale Trinkwasser-, Abwasser- oder Energieversorgung) und dort die Schwellenwerte erfüllt, oder wenn die Cybersicherheitsbehörde sie größenunabhängig einstuft (§ 26).

Größenunabhängige Einstufung durch die Behörde (§ 26)

Ergänzend kann die Cybersicherheitsbehörde einzelne Einrichtungen der Anlagen 1 oder 2 größenunabhängig als wesentlich oder wichtig einstufen (§ 26). Eine solche verbindliche Anordnung der Behörde ergeht per Bescheid. Für die Verwaltung ergibt sich die Einstufung jedoch in erster Linie unmittelbar aus dem Gesetz (§ 24 Abs. 4/5), nicht erst aus einem Bescheid.

Wer ist ausgenommen? (§ 24 Abs. 6)

Nicht jede Stelle des öffentlichen Bereichs fällt unter das NISG 2026. Ausgenommen sind insbesondere:

  • Einrichtungen im Bereich der nationalen Sicherheit,
  • Universitäten und Schulen,
  • die Gerichtsbarkeit,
  • die Gesetzgebung,
  • die Österreichische Nationalbank (ÖNB).

Wichtiger Vorbehalt: Diese Ausnahme greift nicht, soweit eine solche Stelle als Vertrauensdiensteanbieter tätig ist — dann gelten die NISG-Pflichten unabhängig von der Ausnahme.

Welche Pflichten gelten?

Für betroffene Verwaltungseinrichtungen gelten dieselben NIS2-Kernpflichten wie für Unternehmen. Den Gesamtüberblick bietet der Beitrag NIS2-Pflichten.

Pflicht Rechtsgrundlage Frist / Takt
Registrierung bei der Cybersicherheitsbehörde (7 Pflichtangaben, elektronisch) § 29 Erstregistrierung bis 31.12.2026
Governance & Schulung der Leitungsorgane § 31 laufend
Risikomanagementmaßnahmen (mind. Inhalte a–j) § 32 laufend, nach dem Stand der Technik
Selbstdeklaration (Wirksamkeitsnachweis) § 33 Abs. 1 bis 30.09.2027
Vorfallmeldung an das zuständige CSIRT § 34 / § 35 24 h Frühwarnung, 72 h Meldung, 1 Monat Abschlussbericht

Hinweise zur Einordnung:

  • Registrierung (§ 29): Die Anmeldung erfolgt bei der Cybersicherheitsbehörde auf elektronischem Weg über einen sicheren, strukturierten Kommunikationskanal und umfasst die im Gesetz vorgesehenen sieben Pflichtangaben (u. a. Name, Kontaktdaten, Sektor/Teilsektor nach Anlage 1/2, betroffene EU-Mitgliedstaaten, Schwellenwert-Informationen sowie die Angabe „wesentlich oder wichtig").
  • Risikomanagement (§ 32): Die Maßnahmen a–j (von Risikoanalyse über Lieferketten- und Personalsicherheit bis Mehr-Faktor-Authentifizierung) sind Mindestinhalte, kein abschließender Haken-Katalog.
  • Meldung (§ 34/35): Vorfälle werden an das zuständige sektorspezifische CSIRT (ersatzweise an das nationale CSIRT) gemeldet — nicht direkt an die Cybersicherheitsbehörde. Maßgeblich ist die Erheblichkeitsschwelle des § 35 (schwerwiegende Betriebsstörung/finanzielle Verluste oder erhebliche Schäden bei Dritten).

BesonderheitAufsicht und Durchsetzung (§ 39 Abs. 6)

Eine Eigenheit der öffentlichen Verwaltung betrifft die Durchsetzungsmaßnahmen der Behörde: Nach § 39 Abs. 6 finden die in § 39 Abs. 4 vorgesehenen Maßnahmen — insbesondere die vorübergehende Untersagung von Leitungsfunktionen sowie die Aussetzung von Zertifizierungen oder Genehmigungen — auf Stellen der öffentlichen Verwaltung keine Anwendung.

Davon unberührt bleiben die inhaltlichen Pflichten (Registrierung, Risikomanagement, Meldung, Governance) sowie die behördliche Aufsicht. Allgemeine Informationen zu möglichen Sanktionen finden Sie im Beitrag NIS2-Strafen.

Erste Schritte

  1. Ebene und Betroffenheit klären — Bund (wesentlich, § 24 Abs. 4) oder Land (wichtig, § 24 Abs. 5), Ausnahme nach § 24 Abs. 6 prüfen → kostenloser Check.
  2. Registrierung vorbereiten — die sieben Pflichtangaben zusammentragen → bis 31.12.2026.
  3. Risikomanagement & Meldeprozesse etablieren — Maßnahmen nach § 32 sowie 24-h-/72-h-Meldewege an das CSIRT aufsetzen.
  4. Wirksamkeitsnachweis einplanen — Selbstdeklaration nach § 33 Abs. 1 bis 30.09.2027.

Die NISG-Plattform unterstützt Sie dabei, Ihre Einstufung im Scope-Wizard detailliert herzuleiten und nachvollziehbar zu dokumentieren — mit prüffesten Nachweisen, unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger. Die endgültige Beurteilung im Einzelfall bleibt Sache der zuständigen Stellen.

Ist Ihre Einrichtung betroffen?

Verschaffen Sie sich einen ersten Überblick zur voraussichtlichen Einstufung Ihrer Verwaltungseinrichtung. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Ist die öffentliche Verwaltung von NIS2 betroffen? Ja. Die öffentliche Verwaltung ist ein Anlage-1-Sektor des NISG 2026. Einrichtungen der Bundesverwaltung gelten größenunabhängig als wesentliche Einrichtungen (§ 24 Abs. 4), Einrichtungen der Landesverwaltung als wichtige Einrichtungen (§ 24 Abs. 5).

Gilt NIS2 für alle Behörden? Nein. Ausgenommen sind nach § 24 Abs. 6 unter anderem Stellen im Bereich der nationalen Sicherheit, Universitäten und Schulen, die Gerichtsbarkeit, die Gesetzgebung sowie die Österreichische Nationalbank — außer, soweit eine dieser Stellen als Vertrauensdiensteanbieter tätig ist.

Sind Gemeinden von NIS2 betroffen? Vom Sektor öffentliche Verwaltung sind Gemeinden und Gemeindeverbände ausdrücklich ausgenommen (§ 24 Abs. 3 NISG 2026). Betroffen sein können sie dennoch, wenn sie Einrichtungen in einem anderen Sektor der Anlage 1 oder 2 betreiben (z. B. kommunale Trinkwasser-, Abwasser- oder Energieversorgung) und dort die Schwellenwerte erfüllen, oder wenn die Cybersicherheitsbehörde sie größenunabhängig einstuft (§ 26). Auf Landesebene zählen die Ämter der Landesregierungen und die Bezirkshauptmannschaften dagegen ausdrücklich zum Sektor (§ 24 Abs. 5, wichtige Einrichtung).

Werden Verwaltungseinrichtungen per Bescheid eingestuft? Für Bund und Länder ergibt sich die Einstufung unmittelbar aus dem Gesetz (§ 24 Abs. 4/5). Zusätzlich kann die Cybersicherheitsbehörde einzelne Einrichtungen größenunabhängig per Bescheid als wesentlich oder wichtig einstufen (§ 26).

Welche Pflichten gelten für betroffene Verwaltungsstellen? Dieselben Kernpflichten wie für Unternehmen: Registrierung (§ 29) bis 31.12.2026, Governance und Schulung der Leitungsorgane (§ 31), Risikomanagement (§ 32), Wirksamkeitsnachweis/Selbstdeklaration (§ 33) bis 30.09.2027 sowie Vorfallmeldung an das zuständige CSIRT (§ 34/35).

Kann der Behörde-Leitung die Leitungsfunktion untersagt werden? Nein. Nach § 39 Abs. 6 gelten die Durchsetzungsmaßnahmen des § 39 Abs. 4 — etwa die vorübergehende Untersagung von Leitungsfunktionen oder die Aussetzung von Zertifizierungen — nicht für Stellen der öffentlichen Verwaltung. Die übrigen Pflichten und die Aufsicht bleiben bestehen.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.