NISG
AnmeldenKostenlos prüfen

NIS2-Registrierung in Österreich: Schritt für Schritt bis 31.12.2026

NISG-Plattform-RedaktionStand Juni 20267 Min Lesezeit

In Kürze: Wer als wesentliche oder wichtige Einrichtung unter das NISG 2026 fällt, muss sich bei der Cybersicherheitsbehörde registrieren — elektronisch und bis spätestens 31. Dezember 2026. Das Gesetz tritt am 1.10.2026 in Kraft; danach bleiben drei Monate Zeit (§ 29 Abs. 3). Für die Registrierung brauchen Sie die in § 29 Abs. 2 geforderten sieben Pflichtangaben (Name, Niederlassungen, Kontaktstelle, Sektor, betroffene Mitgliedstaaten, IP-Bereiche, Schwellenwert-/Einstufungsangaben). Unsicher, ob Sie betroffen sind? → Erst Geltungsbereich prüfen.

Die Registrierung ist die erste konkrete Pflicht aus dem NISG 2026 (BGBl. I Nr. 94/2025) — und die mit der knappsten Frist. Wer sie versäumt, riskiert ein Verwaltungsstrafverfahren und gerät früh ins Visier der Aufsicht. Diese Anleitung beantwortet die fünf Fragen, die in der Praxis zählen: Wer, bis wann, wo, womit — und was danach?

Wer muss sich registrieren?

Registrierungspflichtig sind alle Einrichtungen, die in den Geltungsbereich des NISG 2026 fallen — also in einem der 18 Sektoren (Anlage 1 oder 2) tätig sind und die Größenschwellen erreichen, sowie bestimmte größenunabhängige Einrichtungen (z. B. qualifizierte Vertrauensdiensteanbieter, DNS-Dienste, Anbieter öffentlicher Kommunikationsnetze).

Die Größenschwelle greift ab 50 Mitarbeitern — oder, davon unabhängig, ab mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme. Das Umsatz- und das Bilanzkriterium müssen also gemeinsam (kumulativ) erfüllt sein — die verbreitete Kurzformel „ab 10 Mio. € Umsatz" ist zu ungenau. Die genauen Stufen (mittel/groß, wesentlich/wichtig) erklären wir unter NIS2-Schwellenwerte.

Die Registrierungspflicht trifft wesentliche und wichtige Einrichtungen gleichermaßen. Sie ist eine Selbstidentifikations-Pflicht: Die Behörde schreibt Sie in der Regel nicht an — Sie selbst müssen erkennen, dass Sie betroffen sind, und sich aktiv melden. Genau deshalb ist der erste Schritt immer die saubere Betroffenheits- und Geltungsbereichsprüfung.

Sonderfall Finanzsektor (DORA): Für Einrichtungen im Anwendungsbereich der DORA-Verordnung (EU) 2022/2554 gehen deren Bestimmungen vor (§ 24 Abs. 7 NISG). IKT-Drittdienstleister des Finanzsektors unterliegen jedoch auch dem NISG (§ 24 Abs. 8). Mehr zur Abgrenzung: NIS2 und DORA.

Bis wann? Die Fristen im Überblick

Frist Was ist zu tun Rechtsgrundlage
1.10.2026 NISG 2026 tritt in Kraft — die Registrierungspflicht entsteht § 51 (Inkrafttreten)
31.12.2026 Erstregistrierung abgeschlossen (binnen 3 Monaten ab Inkrafttreten) § 29 Abs. 3
binnen 2 Wochen Änderung der Angaben Z 1–5 (Name, Kontakt, Sektor, Mitgliedstaaten, IP-Bereiche) melden § 29 Abs. 4 Z 1
binnen 3 Monaten Änderung der Angaben Z 6–7 (Niederlassungen, Schwellenwert-/Einstufungsangaben) melden § 29 Abs. 4 Z 2
bis 30.9.2027 Selbstdeklaration der Risikomanagementmaßnahmen (§ 32) § 33 Abs. 1

Die harte Deadline ist der 31.12.2026. Da die Registrierung Daten aus dem gesamten Unternehmen bündelt (Niederlassungen, Kontaktstellen, technische Angaben), sollten Sie nicht bis Dezember warten — Datenbeschaffung und interne Abstimmung dauern erfahrungsgemäß länger als gedacht.

Zusätzlich überprüft die Cybersicherheitsbehörde das Register mindestens alle zwei Jahre (§ 29 Abs. 1). Das ist eine Pflicht der Behörde, kein Zwang zur Neu-Registrierung — Ihre Aufgabe ist es, die Angaben über die Änderungsmeldung aktuell zu halten.

Wo und wie registriere ich?

Die Registrierung erfolgt bei der Cybersicherheitsbehörde, und zwar elektronisch über einen sicheren Kommunikationskanal und in strukturierter Form (§ 29 Abs. 2). Die zentrale offizielle Informationsquelle ist nis.gv.at. Die genaue Bezeichnung des Einreich-Portals und der technische Zugang werden über die Behörde bereitgestellt — bestätigen Sie den konkreten Einreichweg vor der Registrierung anhand der dann aktuellen Behördenangaben.

Der Ablauf ist im Kern:

  1. Zugang/Identifikation der meldenden Einrichtung über die von der Behörde vorgesehenen Identifikationswege.
  2. Eingabe der Pflichtangaben nach § 29 Abs. 2 (siehe unten).
  3. Benennung der Kontaktstelle(n) für die Behördenkommunikation (mindestens Telefonnummer und E-Mail-Adresse, § 29 Abs. 6).
  4. Absenden und Bestätigung — bewahren Sie die Registrierungsbestätigung als Nachweis auf.

💡 Tipp: Halten Sie eine interne, prüffeste Kopie der eingereichten Angaben vor. Ändert sich später etwas, müssen Sie die Aktualisierung fristgerecht melden — und im Audit nachweisen können, was Sie wann gemeldet haben.

Welche Angaben brauche ich? (§ 29 Abs. 2)

§ 29 Abs. 2 verlangt einen festen Satz von sieben Pflichtangaben — in dieser Reihenfolge:

  1. Name der Einrichtung.
  2. Anschrift und aktuelle Kontaktdaten — inklusive eines etwaigen in der EU benannten Vertreters (§ 28 Abs. 4).
  3. Sektor(en), Teilsektor(en) und Art(en) der Einrichtung gemäß Anlage 1 oder 2.
  4. EU-Mitgliedstaaten, in denen die Einrichtung Dienste erbringt.
  5. IP-Adressbereiche der Einrichtung (sofern vorhanden).
  6. Anschrift der Hauptniederlassung und sonstiger Niederlassungen in der EU (bzw. des benannten Vertreters, falls nicht in der EU niedergelassen).
  7. Angaben zu den § 25-Schwellenwerten sowie die Einstufung als wesentlich oder wichtig.

Die NISG-Plattform bündelt alle sieben Pflichtfelder in einem unveränderlichen § 29-Snapshot und verknüpft sie mit dem Fristen-Tracking. Die vollständige, feldgenaue Aufstellung finden Sie unter Die 7 § 29-Pflichtangaben im Detail.

Nach der RegistrierungPflichten halten

Mit der Registrierung ist es nicht getan — sie ist der Startpunkt laufender Pflichten:

  • Angaben aktuell halten (§ 29 Abs. 4): Neue Niederlassung, geänderte Kontaktstelle, neue IP-Bereiche → Änderungen der Angaben Z 1–5 binnen 2 Wochen, der Angaben Z 6–7 binnen 3 Monaten melden.
  • Register-Überprüfung durch die Behörde (§ 29 Abs. 1): Die Cybersicherheitsbehörde prüft den Datenbestand mindestens alle zwei Jahre — halten Sie Ihre Angaben deshalb durchgehend aktuell.
  • Selbstdeklaration bis 30.9.2027 (§ 33 Abs. 1): Information über die umgesetzten Risikomanagementmaßnahmen (§ 32) an die Behörde. → Was nach der Registrierung kommt.

Eine Plattform, die aus jeder Einstufung datierte Aufgaben ableitet und rechtzeitig erinnert, unterstützt Sie bei genau diesem Fristen-Management.

Was passiert, wenn ich mich nicht registriere?

Das NISG 2026 kennt ein zweistufiges Verwaltungsstrafsystem — und die Nicht-Registrierung fällt in die administrative Stufe, nicht in die oft zitierte Millionen-Schlagzeile:

  • Verspätete oder unterlassene Registrierung sowie wissentlich falsche Angaben (§ 29 Abs. 3) und verspätete Änderungsmeldungen (§ 29 Abs. 4) gelten als administrativer Verstoß: Geldstrafe bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 € (§ 45 Abs. 4).
  • Die höheren Rahmen — bis zu 10 Mio. € bzw. 2 % des weltweiten Vorjahresumsatzes (wesentliche Einrichtung) bzw. 7 Mio. € bzw. 1,4 % (wichtige Einrichtung) — gelten für inhaltliche Pflichtverstöße, etwa fehlende Risikomanagementmaßnahmen (§ 32), Governance/Schulung (§ 31) oder versäumte Vorfallmeldungen (§ 34) — nicht für die bloße Nicht-Registrierung.

Unabhängig vom Bußgeld gilt: Wer sich nicht registriert, hat die nachgelagerten Pflichten (Risikomanagement, Meldewesen) meist nicht im Griff — und rückt damit in die schwerere Sanktionsstufe. Details und die Rolle des Leitungsorgans: NIS2-Strafen & Verantwortung der Leitung.

In 4 Schritten registrierungsbereit

  1. Geltungsbereich prüfen → wesentlich / wichtig / außerhalb. Kostenloser Check
  2. § 29-Angaben zusammentragen (Niederlassungen, Kontaktstellen, IP-Bereiche, Schwellenwert-/Einstufungsangaben).
  3. Registrierungspaket erstellen und einfrieren (prüffester, unveränderlicher Snapshot).
  4. Bei der Cybersicherheitsbehörde einreichen — vor dem 31.12.2026.

Werden Sie registrierungsbereit — vor dem 31.12.2026

Erstellen Sie das vollständige § 29-Registrierungspaket mit allen sieben Pflichtfeldern, eingefroren in einem unveränderlichen Snapshot, inklusive automatischem Fristen-Tracking. Die Plattform unterstützt Ihre Registrierungs-Vorbereitung — die Einreichung bei der Behörde nehmen Sie selbst vor. Jetzt starten

Häufige Fragen (FAQ)

Bis wann muss ich mich nach NIS2 registrieren? Bis spätestens 31. Dezember 2026. Das NISG 2026 tritt am 1.10.2026 in Kraft, die Erstregistrierung hat binnen drei Monaten zu erfolgen (§ 29 Abs. 3).

Wo registriere ich mein Unternehmen? Elektronisch über einen sicheren Kommunikationskanal bei der Cybersicherheitsbehörde (§ 29 Abs. 2). nis.gv.at ist die offizielle Informationsseite; die konkrete Bezeichnung des Einreich-Portals bestätigen Sie vor der Einreichung anhand der aktuellen Behördenangaben.

Schreibt mich die Behörde an, wenn ich betroffen bin? In der Regel nicht. NIS2 verlangt Selbstidentifikation — Sie müssen selbst erkennen, dass Sie betroffen sind, und sich aktiv registrieren.

Welche Angaben brauche ich für die Registrierung? Die sieben Pflichtangaben nach § 29 Abs. 2: Name; Anschrift/Kontaktdaten (ggf. EU-Vertreter); Sektor/Teilsektor/Art nach Anlage 1 oder 2; betroffene EU-Mitgliedstaaten; IP-Adressbereiche; Anschrift der Haupt- und EU-Niederlassungen; Angaben zu den § 25-Schwellenwerten samt Einstufung als wesentlich oder wichtig.

Was kostet eine versäumte Registrierung? Die nicht fristgerechte Registrierung oder wissentlich falsche Angaben gelten als administrativer Verstoß: bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 € (§ 45 Abs. 4). Die höheren Rahmen (bis 10 Mio. € / 2 % bzw. 7 Mio. € / 1,4 %) betreffen inhaltliche Pflichtverstöße, nicht die Registrierung selbst.

Was passiert nach der Registrierung? Laufende Pflichten: Änderungen der Registerangaben melden (Z 1–5 binnen zwei Wochen, Z 6–7 binnen drei Monaten) und die Selbstdeklaration der Risikomanagementmaßnahmen bis 30.9.2027. Die Behörde überprüft das Register mindestens alle zwei Jahre (§ 29 Abs. 1).

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – NISG 2026, BGBl. I Nr. 94/2025, nis.gv.at, WKO.