Die 7 § 29-Angaben für die NIS2-Registrierung
In Kürze: Für die Registrierung bei der Cybersicherheitsbehörde verlangt § 29 Abs. 2 NISG genau sieben Pflichtangaben — in fester Reihenfolge. Wer sie vorab strukturiert zusammenträgt, füllt die Einreichung zügig statt über Tage verteilt aus. Diese Übersicht zeigt alle Felder im Wortlaut, woher Sie die Daten bekommen und welche Änderungsfristen gelten.
Die Einreichung selbst ist überschaubar — die Datenbeschaffung ist der eigentliche Aufwand, besonders bei mehreren Standorten und Gesellschaften. Bereiten Sie die folgenden Angaben vor, dann ist die Anmeldung bis zum 31.12.2026 kein Engpass.
Die 7 Pflichtangaben nach § 29 Abs. 2
§ 29 Abs. 2 NISG zählt die einzureichenden Angaben abschließend auf. Halten Sie die Reihenfolge ein — die Felder werden in der Folgepflicht (Änderungsmeldungen) nach genau dieser Nummerierung referenziert.
| # | Pflichtangabe (§ 29 Abs. 2) | Woher / Hinweis |
|---|---|---|
| 1 | Name der Einrichtung | Firmenwortlaut lt. Firmenbuch |
| 2 | Anschrift und aktuelle Kontaktdaten sowie ggf. der nach § 28 Abs. 4 benannte Vertreter | dauerhaft gepflegte Kontaktdaten; ein Vertreter ist nur zu nennen, wenn die Einrichtung nicht in der EU niedergelassen ist |
| 3 | Sektor(en), Teilsektor(en) und Art(en) der Einrichtung nach Anlage 1 oder 2 | → NIS2-Sektoren; tatsächliche Tätigkeit sauber begründen |
| 4 | EU-Mitgliedstaaten, in denen die Einrichtung Dienste erbringt | für grenzüberschreitende Tätigkeit relevant |
| 5 | ggf. die IP-Adressbereiche der Einrichtung | von der IT-/Netzwerkabteilung bereitstellen lassen |
| 6 | Anschrift der Hauptniederlassung und sonstiger EU-Niederlassungen (bzw. des § 28 Abs. 4-Vertreters, falls nicht in der EU niedergelassen) | alle relevanten Standorte erfassen |
| 7 | Informationen zu den § 25-Schwellenwerten sowie ob wesentlich oder wichtig | → Schwellenwerte und wesentliche vs. wichtige Einrichtungen |
Felder 5 und 6 enthalten ein „ggf." bzw. eine Alternativregel: IP-Adressbereiche sind anzugeben, soweit vorhanden; bei Einrichtungen ohne EU-Niederlassung tritt der § 28 Abs. 4-Vertreter an die Stelle der Niederlassungsanschrift.
Wo und wie registriert wird
Registriert wird bei der Cybersicherheitsbehörde, und zwar elektronisch über einen sicheren Kommunikationskanal und in strukturierter Form (§ 29 Abs. 2). Das Gesetz benennt den elektronischen Weg, aber keine konkrete Portal-URL — wir verweisen daher bewusst auf „die Cybersicherheitsbehörde (elektronisch)" und nicht auf eine bestimmte Adresse. nis.gv.at dient als Informationsseite, nicht zwingend als benanntes Einreichportal.
Zusätzlich verlangt § 29 Abs. 6 eine Kontaktstelle mit mindestens einer Telefonnummer und einer E-Mail-Adresse. Hinterlegen Sie hier am besten eine Funktion oder Rolle, keine Einzelperson, die ausfallen kann.
So bereiten Sie die Angaben vor
- Standortliste konsolidieren: Hauptniederlassung plus alle EU-Niederlassungen (Feld 6).
- Kontaktstelle benennen — eine dauerhaft erreichbare Funktion mit Telefon und E-Mail (Feld 2 und § 29 Abs. 6).
- Sektorzuordnung belegen: tatsächliche Tätigkeit, Teilsektor und Art der Einrichtung nach Anlage 1 oder 2 (Feld 3). Unsicher? Der Scope-Wizard unterstützt Sie bei der detaillierten Einstufung.
- IP-Adressbereiche frühzeitig von der IT anfordern (Feld 5) — erfahrungsgemäß der größte Engpass.
- Einstufung dokumentieren: § 25-Schwellenwerte sowie die Einordnung als wesentlich oder wichtig festhalten (Feld 7).
Fristen: Erstregistrierung und Änderungen
| Vorgang | Frist | Fundstelle |
|---|---|---|
| Erstregistrierung | innerhalb 3 Monaten ab Inkrafttreten → ab 01.10.2026, also bis 31.12.2026 | § 29 Abs. 3 |
| Neu qualifizierte Einrichtungen | innerhalb 3 Monaten ab Erfüllung der Voraussetzungen | § 29 Abs. 3 |
| Änderung der Felder 1–5 (Name, Anschrift/Kontaktdaten, Sektor/Teilsektor/Art, Mitgliedstaaten, IP-Bereiche) | ehestmöglich, längstens 2 Wochen ab Änderungstag | § 29 Abs. 4 Z 1 |
| Änderung der Felder 6–7 (Niederlassungen, § 25-Schwellenwerte/Einstufung) | ehestmöglich, längstens 3 Monate | § 29 Abs. 4 Z 2 |
| Überprüfung des Registers | längstens alle 2 Jahre (Pflicht der Behörde) | § 29 Abs. 1 |
Wichtig: Die Zwei-Jahres-Überprüfung ist eine Pflicht der Cybersicherheitsbehörde, kein Auftrag, sich alle zwei Jahre neu zu registrieren. Halten Sie Ihre eingereichten Angaben deshalb prüffest vor, damit Sie Änderungen innerhalb der jeweiligen Frist nachweisbar melden können.
Was droht bei Verspätung? Eine nicht fristgerechte Registrierung, wissentlich falsche Angaben (§ 29 Abs. 3) oder eine verspätete Änderungsmeldung (§ 29 Abs. 4) sind Verwaltungsübertretungen nach § 45 Abs. 4 — bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 €. Das ist die zweite Sanktionsstufe und nicht die 10-Mio.-Schlagzeile, die nur für inhaltliche Pflichten (§ 31/§ 32/§ 34) gilt. Mehr dazu unter NIS2-Strafen.
Registrierungspaket statt Zettelwirtschaft
Sammeln Sie alle § 29-Angaben strukturiert, lassen Sie offene Felder per Scope-Wizard ergänzen und frieren Sie den Stand in einem unveränderlichen Snapshot ein — inklusive Fristen-Tracking und manipulationssicherem Audit-Ledger. → Betroffenheit prüfen und starten
Häufige Fragen (FAQ)
Welche Angaben verlangt § 29 Abs. 2 für die NIS2-Registrierung? Genau sieben: (1) Name der Einrichtung, (2) Anschrift und aktuelle Kontaktdaten samt ggf. § 28 Abs. 4-Vertreter, (3) Sektor(en), Teilsektor(en) und Art(en) nach Anlage 1 oder 2, (4) EU-Mitgliedstaaten, in denen Dienste erbracht werden, (5) ggf. die IP-Adressbereiche, (6) Anschrift der Hauptniederlassung und sonstiger EU-Niederlassungen, (7) Informationen zu den § 25-Schwellenwerten sowie ob wesentlich oder wichtig.
In welcher Reihenfolge sind die Angaben einzureichen? In der gesetzlichen Reihenfolge der Z 1 bis 7 (siehe Tabelle oben). Die Nummerierung ist relevant, weil die Änderungsfristen daran anknüpfen: Felder 1–5 sind binnen 2 Wochen, Felder 6–7 binnen 3 Monaten zu aktualisieren.
Wo und wie registriert man sich?
Bei der Cybersicherheitsbehörde, elektronisch über einen sicheren Kommunikationskanal und in strukturierter Form (§ 29 Abs. 2). Das Gesetz nennt keine konkrete Portal-URL; nis.gv.at ist die Informationsseite.
Bis wann muss ich mich registrieren? Innerhalb von 3 Monaten ab Inkrafttreten (01.10.2026), also voraussichtlich bis zum 31.12.2026. Neu qualifizierte Einrichtungen haben ab Erfüllung der Voraussetzungen ebenfalls 3 Monate Zeit.
Was ist die Kontaktstelle? Eine dauerhaft erreichbare Stelle für die Kommunikation mit der Behörde mit mindestens Telefonnummer und E-Mail-Adresse (§ 29 Abs. 6) — am besten eine Funktion oder Rolle, kein einzelner Name.
Was, wenn sich die Angaben ändern? Änderungen der Felder 1–5 sind ehestmöglich, längstens binnen 2 Wochen zu melden (§ 29 Abs. 4 Z 1); Änderungen der Felder 6–7 längstens binnen 3 Monaten (§ 29 Abs. 4 Z 2).
Was droht bei verspäteter Registrierung? Eine Verwaltungsstrafe nach § 45 Abs. 4 — bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 €. Die höheren Rahmen (bis 10 Mio. € bzw. 7 Mio. €) betreffen inhaltliche Pflichten, nicht die Registrierung als solche.
Stand: Juni 2026. Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025), § 29. Quellen: RIS/BGBl. I Nr. 94/2025, nis.gv.at, WKO.