NIS2 und NISG 2026 für österreichische KMU: Was bis zur Deadline wirklich zu tun ist
TL;DR
- NIS2 ist die EU-Richtlinie für Cybersicherheit. In Österreich wird sie durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) umgesetzt.
- Betroffen sind rund 4.000 österreichische Unternehmen in 18 Sektoren — plus deren Lieferanten, die über Vertragsketten indirekt mitziehen müssen.
- Harte Fristen: NISG 2026 gilt ab 01.10.2026, die Registrierung beim Bundesministerium für Inneres muss bis 31.12.2026 erfolgt sein.
- Strafen bei Verstoß: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen), 7 Mio. € / 1,4 % für wichtige Einrichtungen.
- Auf der technischen Seite betrifft NIS2 u. a. Website- und App-Sicherheit, Patch-Management, Zugriffskontrolle, Vorfallmeldung innerhalb 24/72 h, Lieferkettensicherheit und Business Continuity.
Was ist NIS2 — und warum heißt es in Österreich NISG 2026?
NIS2 ist die Nachfolgerin der ersten NIS-Richtlinie (2016). Sie wurde 2022 auf EU-Ebene beschlossen und hätte bereits bis Oktober 2024 in nationales Recht überführt werden müssen. Österreich hat diese Frist — wie mehrere andere Mitgliedstaaten — verfehlt. Das NISG 2026 ist die österreichische Umsetzung und tritt planmäßig zum 01. Oktober 2026 in Kraft.
Während NIS1 nur wenige hundert Betreiber „wesentlicher Dienste" erfasste, wird der Kreis der Betroffenen unter NIS2 deutlich erweitert. Statt einer Einzelfallprüfung gibt es jetzt feste Größen- und Sektor-Kriterien.
Offizielle Quellen zur Umsetzung:
- nis.gv.at — Anlaufstelle NIS2 des BMI
- WKO — NIS2-Übersicht für Unternehmen
- WIFI — NIS2 / NISG 2026 Erklärartikel
Sind Sie betroffen? Der Schnelltest
NIS2 unterscheidet zwei Kategorien: wesentliche Einrichtungen („essential entities") und wichtige Einrichtungen („important entities"). Die Einordnung hängt von Sektor und Unternehmensgröße ab.
Größenkriterien (kumulative Alternativen)
Ein Unternehmen fällt in den Scope, wenn es:
- mindestens 50 Mitarbeiter hat, oder
- einen Jahresumsatz über 10 Mio. € und eine Bilanzsumme über 10 Mio. € hat.
Kleinere Unternehmen können zusätzlich erfasst sein, wenn sie als kritischer Dienstleister in einer regulierten Lieferkette auftauchen. Das ist der wichtigste Punkt für KMU: Auch wenn Sie selbst unter der Schwelle liegen, können Verträge mit NIS2-Pflichtigen Sie faktisch miteinbeziehen.
Betroffene Sektoren (Auszug)
NIS2 listet 18 Sektoren. Die häufigsten bei österreichischen KMU:
- Energieversorgung, Wasser, Abwasser
- Transport und Logistik
- Gesundheitswesen (inkl. Arztpraxen-Verbünde, Labore, Medizintechnik)
- Digitale Infrastruktur (Rechenzentren, DNS, Cloud, Managed Service Provider)
- IKT-Dienstleister und Softwarehäuser
- Post- und Kurierdienste
- Produktion (Chemie, Lebensmittel, Maschinenbau)
- Öffentliche Verwaltung
Die vollständige Sektorliste finden Sie auf nis.gv.at.
Der 3-Punkte-Schnelltest
- Fällt Ihr Sektor unter Anhang I oder II der Richtlinie?
- Haben Sie ≥ 50 Mitarbeiter oder > 10 Mio. € Umsatz?
- Sind Sie direkter Lieferant eines Unternehmens, das ja zu 1 und 2 sagt?
Ein „Ja" bei 1 + 2 bedeutet: direkt betroffen. Ein „Ja" bei 3 bedeutet: vertraglich wird man Sie mit hoher Wahrscheinlichkeit in die Pflicht ziehen — meist mit eigenen Sicherheits- und Audit-Klauseln.
Die Fristen im Überblick
| Datum | Pflicht |
|---|---|
| 01.10.2026 | Inkrafttreten des NISG 2026. Alle Mindestanforderungen gelten ab diesem Tag. |
| 31.12.2026 | Registrierungsfrist beim Bundesministerium für Inneres (Selbstidentifikation). |
| Laufend | Vorfallmeldung: Erstmeldung innerhalb 24 h, Update 72 h, Abschlussbericht 1 Monat. |
| Regelmäßig | Auditpflicht für wesentliche Einrichtungen (alle 2 Jahre extern). |
Wer die Registrierung versäumt, riskiert bereits unabhängig von einem Vorfall Geldstrafen und Organhaftung der Geschäftsführung.
Was müssen Sie technisch und organisatorisch umsetzen?
NIS2 verlangt ein dokumentiertes Risikomanagement für Informationssicherheit — kein ISO-27001-Zertifikat zwingend, aber faktisch sehr nah dran. Die zehn Mindestmaßnahmen aus Artikel 21 NIS2:
- Risikoanalyse und Informationssicherheitsrichtlinien
- Vorfallbehandlung (Detection, Response, Recovery)
- Business Continuity / Backup-Konzept
- Lieferkettensicherheit (Verträge, Audits bei Dienstleistern)
- Sicherheit bei Beschaffung, Entwicklung und Wartung von IT-Systemen
- Verfahren zur Wirksamkeitsprüfung der Maßnahmen
- Grundlegende Cyberhygiene und Schulungen
- Kryptographie und Verschlüsselung
- Zugriffskontrolle, MFA und Asset-Management
- Sichere Kommunikation (z. B. verschlüsselte Notfall-Kanäle)
Das klingt abstrakt — hier sind die konkreten Auswirkungen auf Website und Apps.
Website- und Hosting-Ebene
- TLS ≥ 1.2, HSTS, sichere Cookies, aktuelle Cipher-Suites.
- Patch-Management mit SLA: kritische Patches innerhalb weniger Tage, nachweisbar dokumentiert.
- Monitoring und Logging mit Aufbewahrungsfrist (empfohlen 6–12 Monate).
- Backups mit Wiederherstellungstest mindestens jährlich.
- Security Headers (CSP, X-Frame-Options, Referrer-Policy) — technisch klein, prüfungsrelevant.
- Vulnerability-Scans und, je nach Sektor, Penetrationstests.
Applikations- und Code-Ebene
- Secure Development Lifecycle mit Code-Review, Abhängigkeits-Scans (SCA), statische Analyse.
- Zugriffs- und Rechteverwaltung mit dem Prinzip der geringsten Rechte.
- MFA für alle administrativen Zugänge — nicht verhandelbar.
- Dokumentation der Architektur, der Schnittstellen und der verwendeten Third-Party-Services (Datenflussdiagramme).
Organisatorische Ebene
- Benanntes Informationssicherheits-Verantwortlicher (IT-Sicherheitsbeauftragter).
- Incident-Response-Plan mit klaren Eskalationspfaden und geprobten Kontakten zum NIS-Büro (BMI).
- Lieferantenverträge mit Sicherheits- und Meldeklauseln.
- Schulungsnachweise für Mitarbeiter (Phishing, Passwörter, Zwischenfälle melden).
Der indirekte Lieferketten-Effekt für kleinere Unternehmen
Selbst wenn Ihre 15-Personen-Agentur nicht direkt im Scope ist: Sobald Sie Websites oder Software für einen Spital-Verbund, einen Energieversorger oder einen großen Logistiker betreuen, wird der Kunde Ihnen vertraglich NIS2-Pflichten weiterreichen. Typische Klauseln:
- Audit-Rechte: Kunde darf Ihre Umgebung jährlich prüfen lassen.
- Vorfallmeldung innerhalb 24 h an den Kunden (parallel zu dessen BMI-Meldung).
- Subunternehmer-Offenlegung und Weitergabe der Pflichten.
- Service Level Agreements mit Verfügbarkeit und Wiederherstellungszeiten.
Wer hier nicht vorbereitet ist, verliert Aufträge an vorbereitete Wettbewerber — das ist der realistischere Business-Risiko-Fall als die Strafzahlung.
5 Schritte, um bis Oktober 2026 bereit zu sein
- Scope-Analyse (April–Mai 2026): Sind Sie direkt oder indirekt betroffen? Dokumentieren Sie die Entscheidung.
- Gap-Assessment (Mai–Juni 2026): Vergleich Ihres Ist-Zustands mit den zehn Artikel-21-Anforderungen. Eine tabellarische Darstellung reicht — entscheidend ist, dass sie existiert.
- Roadmap und Budget (Juni 2026): Priorisieren Sie Quick Wins (MFA, Patch-Management, Backups) vor langfristigen Themen (ISMS, externes Audit).
- Umsetzung (Juli–September 2026): Technische Maßnahmen, Verträge, Schulungen.
- Registrierung (bis 31.12.2026): Anmeldung beim BMI, Benennung der Kontaktperson.
Parallel dazu lohnt sich ein Blick auf Förderungen: Cybersicherheit ist in mehreren Modulen von KMU.DIGITAL und in den aws-Digi-Schienen förderfähig.
Häufige Fragen
Wir sind ein 20-Personen-Unternehmen — sind wir betroffen?
Direkt nur, wenn Sie unter die Sonderfälle fallen (z. B. DNS-Provider, Vertrauensdiensteanbieter). Indirekt sehr wahrscheinlich, sobald einer Ihrer Kunden unter NIS2 fällt. Prüfen Sie Ihre drei größten Kundenverträge auf die Sektorfrage.
Brauchen wir eine ISO-27001-Zertifizierung?
Nein, NIS2 verlangt keine spezifische Zertifizierung. Wer bereits ISO 27001 hat, erfüllt die meisten Punkte automatisch. Für KMU reicht oft ein „leichtgewichtiges" ISMS mit klaren Verantwortlichkeiten und Dokumentation.
Was kostet die Umsetzung für ein mittelständisches Unternehmen?
Abhängig vom Reifegrad. Wer Passwort-Manager, MFA, Backups, Patch-Prozess und dokumentierte Verantwortlichkeiten bereits hat, kommt mit 5.000–15.000 € für Dokumentation und Gap-Schluss aus. Wer bei null startet, sollte 20.000–50.000 € für Erstumsetzung plus laufende Kosten einplanen. Externe Audits (wesentliche Einrichtungen) rechnen Sie zusätzlich.
Wie melde ich einen Vorfall?
Meldungen gehen an das Bundesministerium für Inneres über die von nis.gv.at bereitgestellten Kanäle. Die Fristen sind eng: 24 h Erstmeldung, 72 h Update, 1 Monat Abschlussbericht. Üben Sie den Meldeweg einmal proaktiv — nicht erst im Ernstfall.
Wir lassen unsere Website von einer Agentur betreuen — wer haftet?
Grundsätzlich Sie als Betreiber. Sie können die Agentur über den Vertrag in die Pflicht nehmen (Sicherheits-SLAs, Meldepflicht an Sie, dokumentiertes Patch-Management). Das sollte Teil jedes Website-Betreuungsvertrags ab 2026 sein.
Fazit
NIS2 ist keine Formalität und kein reines Großunternehmens-Thema. Die wirklich wichtige Frage für die meisten österreichischen KMU ist nicht „Bin ich direkt betroffen?", sondern „Welche meiner Kunden sind betroffen — und kann ich ihnen glaubhaft nachweisen, dass ich ihre Sicherheitsanforderungen erfülle?". Wer bis Oktober 2026 ein nachvollziehbares Sicherheitskonzept, dokumentierte Maßnahmen und eine gelebte Incident-Response hat, verliert nicht nur keine Aufträge — er gewinnt welche hinzu.
Wenn Sie Unterstützung bei der technischen Umsetzung auf Website- und App-Ebene brauchen: Wir bieten Website-Betreuung mit NIS2-tauglichem Patch-Management und Monitoring an. Erstgespräch vereinbaren →
Weiterführende Artikel:
- EU AI Act für KMU — was 2026 gilt
- Digitalisierungsförderungen 2026
- Website-Relaunch-Checkliste
- Leistung: Website-Betreuung & Hosting
Stand: April 2026. Dieser Artikel ist kein Rechtsrat. Für die verbindliche Auslegung wenden Sie sich an einen spezialisierten Rechtsanwalt oder direkt an die Anlaufstelle unter nis.gv.at.
Weitere Artikel
EU AI Act für KMU: Was österreichische Unternehmen 2026 wissen müssen
Der EU AI Act betrifft auch KMU — aber die gute Nachricht: Die meisten Anwendungen fallen unter minimales Risiko. Wir erklären die 4 Risikostufen und was Sie konkret tun müssen.
Digitalisierung für KMU in Österreich: Der Praxisleitfaden 2026
Der Schritt-für-Schritt-Plan für KMU, die nicht wissen, wo sie anfangen sollen. Wir zeigen Ihnen die 5 Stufen der Digitalisierung, welche Quick Wins sofort Wirkung zeigen und wie Sie Förderungen nutzen, um Kosten zu senken.
Website Relaunch Checkliste 2026: So gelingt der Neustart ohne SEO-Verluste
Ein Relaunch kann Ihre Rankings über Nacht zerstören — das passiert häufiger als Sie denken. Unsere Checkliste mit über 40 Punkten führt Sie sicher durch Planung, Umsetzung und die kritischen ersten Wochen nach dem Go-Live.