NISG
AnmeldenKostenlos prüfen

NIS2-Strafen in Österreich: Bußgelder, Haftung und Aufsichtsmaßnahmen

NISG-Plattform-RedaktionStand Juni 20266 Min Lesezeit

In Kürze: Das NISG 2026 kennt ein zweistufiges Strafsystem. Für schwere Pflichtverstöße (z. B. fehlendes Risikomanagement nach § 32) drohen wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes, wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 % (jeweils der höhere Wert). Administrative Verstöße wie eine verspätete Registrierung fallen in die niedrigere Stufe: bis 50.000 €, im Wiederholungsfall 100.000 €. Hinzu kommt die Verantwortung der Geschäftsleitung — bei wesentlichen Einrichtungen bis hin zur vorübergehenden Untersagung von Leitungsfunktionen. Der wirksamste Schutz ist ein prüffest dokumentierter Compliance-Stand.

Strafen sind selten der erste Grund, Compliance ernst zu nehmen — aber bei NIS2 sind sie hoch genug, um auf Vorstands- und Geschäftsführungsebene Gehör zu finden. Dieser Beitrag erklärt, was droht, wen es trifft und wie Sie das Risiko senken.

Das zweistufige Strafsystem

Eine zentrale Klarstellung vorweg: Das NISG 2026 (§ 45) staffelt Verwaltungsstrafen in zwei Stufen — je nachdem, welche Pflicht verletzt wurde. Wer beide Stufen verwechselt, schätzt sein Risiko falsch ein.

Stufe 1 — schwere Pflichtverstöße (§ 45 Abs. 1)

Betroffen sind die inhaltlichen Kernpflichten: Schulung und Governance (§ 31), Risikomanagement (§ 32), Vorfallmeldung (§ 34) sowie die Nichtbefolgung einer Durchsetzungsanordnung (§ 39 Abs. 2).

Kategorie Strafobergrenze maßgeblich
Wesentliche Einrichtung (§ 45 Abs. 2) bis 10 Mio. € oder 2 % des gesamten weltweiten Vorjahresumsatzes der höhere Betrag
Wichtige Einrichtung (§ 45 Abs. 3) bis 7 Mio. € oder 1,4 % des gesamten weltweiten Vorjahresumsatzes der höhere Betrag

Die Größenordnung orientiert sich an der DSGVO — Cybersicherheit wird damit zur Chefsache mit existenzieller Dimension. Welche Kategorie für Sie gilt, hängt von Sektor und Größe ab. → Wesentliche vs. wichtige Einrichtungen

Stufe 2 — administrative Verstöße (§ 45 Abs. 4)

Formale Melde- und Registrierungspflichten werden milder, aber spürbar geahndet: bis 50.000 €, im Wiederholungsfall bis 100.000 €. Darunter fallen u. a.:

  • die nicht fristgerechte Registrierung oder wissentlich falsche Angaben (§ 29 Abs. 3),
  • die verspätete Änderungsmeldung zum Register (§ 29 Abs. 4),
  • die verspätete Selbstdeklaration oder ein verspäteter Prüfbericht (§ 33),
  • die Behinderung von Kontrollen oder Sicherheitsscans (§ 38).

Wichtig: Die viel zitierten 10 Mio. € gelten für inhaltliche Pflichtverstöße — nicht für eine vergessene Registrierung. Diese fällt in Stufe 2 (bis 50.000 € / 100.000 €). Wer „Nicht-Registrierung kostet 10 Mio. €" liest, sitzt einer Verkürzung auf.

Verantwortung der Geschäftsleitung

NIS2 nimmt die Leitungsorgane direkt in die Pflicht — das ist neu gegenüber früheren Regelungen. Konkret:

  • Das Leitungsorgan muss die Risikomanagementmaßnahmen nach § 32 sicherstellen und ihre Umsetzung beaufsichtigen (§ 31 Abs. 1). Eine vollständige Delegation „an die IT" ist nicht möglich.
  • Leitungsorgane müssen an Cybersicherheitsschulungen teilnehmen; Mitarbeitenden sind regelmäßig entsprechende Schulungen anzubieten (§ 31 Abs. 2).

Wie wirkt sich ein Verstoß aus? Hier lohnt Präzision:

  • Geldstrafen treffen primär die juristische Person. Sie können gegen das Unternehmen verhängt werden, wenn Führungspersonen gehandelt haben oder mangelnde Aufsicht den Verstoß ermöglicht hat (§ 44 Abs. 3/4). Eine pauschale „Geschäftsführer zahlen aus eigener Tasche"-Aussage trifft nicht zu.
  • Vorübergehende Untersagung der Leitungsfunktion: Als letztes Mittel kann die Behörde — nur bei wesentlichen Einrichtungen — Leitungsorganen (inkl. rechtlicher Vertreter) per Bescheid vorübergehend untersagen, Leitungsaufgaben wahrzunehmen; der Bescheid wird dem Firmenbuchgericht zur Eintragung übermittelt (§ 39 Abs. 4 Z 2). Die Maßnahme ist aufzuheben, sobald die Mängel nachweislich behoben sind (§ 39 Abs. 5).

Damit wird Cybersicherheit zu einer nicht delegierbaren Führungsaufgabe. Wer im Leitungsorgan sitzt, sollte auf einen nachweisbaren Umsetzungsstand bestehen. → Schulung & Verantwortung der Geschäftsleitung

Weitere Aufsichtsmaßnahmen

Geldbußen sind nicht das einzige Instrument. Die Behörde kann u. a.:

  • verbindliche Anordnungen und Verwarnungen aussprechen,
  • die Umsetzung konkreter Sicherheitsmaßnahmen anordnen,
  • bei wesentlichen Einrichtungen als letztes Mittel Zertifizierungen oder Genehmigungen aussetzen (§ 39 Abs. 4 Z 1),
  • eine Einrichtung per Bescheid verpflichten, einzelne Aspekte ihrer festgestellten Verstöße öffentlich bekannt zu machen, wenn dies zur Reduktion des Risikos erforderlich ist (§ 39 Abs. 3 Z 1 lit. b) — mit entsprechendem Reputationsschaden („naming and shaming").

Zuständig für die Verhängung von Geldstrafen sind die Bezirksverwaltungsbehörden (§ 44 Abs. 1). Die Durchsetzungsmaßnahmen nach § 39 Abs. 4 — sowohl die Aussetzung von Zertifizierung/Genehmigung (Z 1) als auch die Untersagung von Leitungsfunktionen (Z 2) — gelten nicht für Behörden und sonstige Stellen der öffentlichen Verwaltung (§ 39 Abs. 6); für diese sieht § 46 ein eigenes Verfahren (Feststellungsbescheid, ggf. Veröffentlichung) vor.

Kein doppeltes Bußgeld mit der DSGVO

Überschneidet sich ein Vorfall mit dem Datenschutz, greift ein Doppelbestrafungsverbot: Hat die Datenschutzbehörde für dasselbe Verhalten bereits eine Geldbuße nach der DSGVO (Art. 58 Abs. 2 lit. i) verhängt, wird keine zusätzliche NISG-Geldstrafe verhängt (§ 44 Abs. 7). Andere Aufsichtsmaßnahmen nach dem NISG bleiben davon unberührt.

Was passiert bei Nicht-Registrierung?

Die Registrierung bis 31.12.2026 (§ 29 Abs. 3) ist die erste und am leichtesten kontrollierbare Pflicht. Wer sie versäumt, begeht eine klar nachweisbare Pflichtverletzung — sie fällt in Stufe 2 (bis 50.000 €, im Wiederholungsfall 100.000 €) und liefert der Aufsicht den einfachsten denkbaren Anknüpfungspunkt. Die Registrierung sollte deshalb niemals die offene Baustelle sein. → Registrierung Schritt für Schritt

Wie Sie sich absichern

Strafen setzen Pflichtverletzungen voraus — und die wirksamste Vorsorge ist ein nachvollziehbar dokumentierter Compliance-Stand:

  1. Einstufung dokumentieren (warum betroffen/nicht betroffen, welche Kategorie). Die genaue Einstufung nehmen Sie im Scope-Wizard vor. → Betroffenheit prüfen
  2. Fristgerecht registrieren und die Registrierung prüffest aufbewahren.
  3. Risikomanagement (§ 32) umsetzen und die Wirksamkeit nachweisen. → NIS2-Pflichten im Überblick
  4. Leitungsorgan einbinden — Sicherstellung und Beaufsichtigung dokumentieren (§ 31).
  5. Vorfälle fristgerecht melden (24 h Frühwarnung / 72 h Meldung / 1 Monat Abschlussbericht). → Meldepflichten

Entscheidend ist die Nachweisbarkeit: Im Aufsichtsfall zählt vor allem, was Sie belegen können. Dabei unterstützt Sie die Plattform mit unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger.

Reduzieren Sie Ihr Strafrisiko — beginnen Sie bei der Einstufung

Klären Sie in wenigen Minuten Ihre voraussichtliche Einstufung und schließen Sie die erste, am leichtesten prüfbare Lücke: die Registrierung bis 31.12.2026. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Wie hoch sind die NIS2-Strafen in Österreich? Das NISG 2026 ist zweistufig. Für schwere Pflichtverstöße (z. B. Risikomanagement nach § 32) drohen wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes, wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 % (jeweils der höhere Wert). Administrative Verstöße wie eine verspätete Registrierung werden mit bis zu 50.000 €, im Wiederholungsfall 100.000 € geahndet.

Haftet die Geschäftsführung persönlich? Geldstrafen treffen primär die juristische Person; sie können gegen das Unternehmen verhängt werden, wenn Führungspersonen gehandelt oder die Aufsicht vernachlässigt haben (§ 44 Abs. 3/4). Das Leitungsorgan muss die Risikomanagementmaßnahmen sicherstellen und beaufsichtigen (§ 31). Bei wesentlichen Einrichtungen kann die Behörde zusätzlich die Leitungsfunktion vorübergehend untersagen.

Kann mir die Leitungsfunktion wegen NIS2 entzogen werden? Als letztes Mittel kann die Behörde — nur bei wesentlichen Einrichtungen — die Wahrnehmung von Leitungsaufgaben vorübergehend untersagen (§ 39 Abs. 4 Z 2). Die Maßnahme ist aufzuheben, sobald die Mängel behoben sind.

Was droht, wenn ich mich nicht registriere? Die verspätete oder unterlassene Registrierung fällt unter § 45 Abs. 4 (Stufe 2): bis zu 50.000 €, im Wiederholungsfall 100.000 € — nicht unter die 10-Mio.-Obergrenze, die für inhaltliche Pflichtverstöße gilt.

Werde ich doppelt bestraft, wenn schon eine DSGVO-Geldbuße verhängt wurde? Nein. Hat die Datenschutzbehörde für dasselbe Verhalten bereits eine DSGVO-Geldbuße verhängt, wird keine zusätzliche NISG-Geldstrafe verhängt (Doppelbestrafungsverbot, § 44 Abs. 7).

Stand: Juni 2026. Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.