NIS2 für KMU in Österreich: Was Sie jetzt wissen und tun müssen

Stellen Sie sich folgende Situation vor: Sie führen einen kleinen Handel mit 15 Mitarbeitern oder eine Steuerberatungskanzlei. IT-Sicherheit ist für Sie wichtig, aber bisher haben Sie sich darauf verlassen, dass Ihr IT-Dienstleister alles im Griff hat. Plötzlich erhalten Sie von einem Ihrer größten Kunden einen mehrseitigen Fragebogen zur Cybersicherheit. Warum? Wegen der NIS2-Richtlinie der EU und deren österreichische Umsetzung, das NISG 2026.

Die NIS2-Richtlinie ist das bisher umfassendste europäische Gesetz zur Cybersicherheit. In Österreich betrifft es direkt rund 4.000 Unternehmen, also fast 40-mal so viele wie zuvor mit der ursprünglichen NIS-Richtlinie. Doch auch viele kleinere Betriebe sind indirekt betroffen, weil sie als Zulieferer oder Dienstleister für regulierte Unternehmen arbeiten. Das Thema geht also weit über Großkonzerne hinaus.

In diesem Artikel erfahren Sie, was die NIS2-Richtlinie für Ihr Unternehmen bedeutet, ob Sie betroffen sind, welche Pflichten auf Sie zukommen und welche konkreten Schritte Sie jetzt setzen sollten. Alles verständlich erklärt.

Was ist die NIS2-Richtlinie?

NIS2 steht für „Network and Information Security 2“ und ist eine EU-Richtlinie, die einheitliche Mindeststandards für Cybersicherheit in ganz Europa schaffen soll. Sie ist die Nachfolgerin der ersten NIS-Richtlinie aus dem Jahr 2016 und wurde im Dezember 2022 vom Europäischen Parlament verabschiedet.

Einfach gesagt: Die EU hat erkannt, dass Cyberangriffe auf Unternehmen und öffentliche Einrichtungen in den letzten Jahren stark zugenommen haben. Gleichzeitig waren die bisherigen Regeln lückenhaft. Viele Unternehmen in wichtigen Bereichen wie Energie, Gesundheit oder Lebensmittelproduktion hatten keine verbindlichen Vorgaben für ihre IT-Sicherheit. NIS2 schließt diese Lücken.

Die wichtigsten Ziele von NIS2

• Mehr Unternehmen in die Pflicht nehmen: Der Kreis der betroffenen Betriebe wird deutlich größer. Statt weniger Großkonzerne müssen jetzt auch mittlere Unternehmen in 18 Sektoren Mindeststandards erfüllen.

• Verbindliche Sicherheitsmaßnahmen: Unternehmen müssen ein Risikomanagement aufbauen, Vorfälle melden und ihre Lieferkette absichern.

• Persönliche Verantwortung der Geschäftsführung: Erstmals haften Geschäftsführer persönlich dafür, dass Cybersicherheit im Unternehmen ernst genommen wird.

• Empfindliche Strafen: Bei Verstößen drohen Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

NISG 2026: Die österreichische Umsetzung

Jeder EU-Mitgliedstaat muss die NIS2-Richtlinie in nationales Recht umsetzen. In Österreich geschieht das durch das Netz- und Informationssystemsicherheitsgesetz 2026, kurz NISG 2026. Die Umsetzung war politisch nicht einfach. Ein erster Entwurf (NISG 2024) wurde im Juli 2024 vom Nationalrat abgelehnt. Erst am 12. Dezember 2025 wurde das überarbeitete NISG 2026 beschlossen.

Die wichtigsten Eckdaten

Datum	Ereignis
12. Dezember 2025	Nationalrat beschließt das NISG 2026
1. Oktober 2026	NISG 2026 tritt in Kraft
31. Dezember 2026	Frist für die Registrierung bei der Behörde
30. September 2027	Frist für die Selbstdeklaration
1. Oktober 2028	Frühester Zeitpunkt für behördliche Prüfungen

Als neue Aufsichtsbehörde wird ein Bundesamt für Cybersicherheit beim Bundesministerium für Inneres eingerichtet. Dieses ist für die Überwachung und Durchsetzung der neuen Regeln zuständig.

Ist Ihr Unternehmen betroffen?

Ob Ihr Unternehmen direkt unter das NISG 2026 fällt, hängt von zwei Faktoren ab: der Branche und der Unternehmensgröße. Beide Voraussetzungen müssen gleichzeitig erfüllt sein.

Die Größenschwelle

Direkt betroffen sind grundsätzlich mittlere und große Unternehmen. Als mittleres Unternehmen gelten Betriebe mit mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Bilanzsumme von jeweils über 10 Millionen Euro. Kleine Unternehmen unter diesen Schwellenwerten sind in der Regel nicht direkt betroffen.

Achtung bei Konzernzugehörigkeit: Gehört Ihr Betrieb zu einer größeren Unternehmensgruppe, werden Mitarbeiter, Umsatz und Bilanzsumme der verbundenen Unternehmen zusammengerechnet. Ein Betrieb mit nur 30 Mitarbeitern kann so trotzdem die Schwellenwerte erreichen.

Die 18 betroffenen Sektoren

Das NISG 2026 unterscheidet zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren. Große Unternehmen in den hochkritischen Sektoren gelten als „wesentliche Einrichtungen“, die übrigen als „wichtige Einrichtungen“. Die Pflichten sind nahezu identisch, der Unterschied liegt vor allem in der Aufsichtsintensität und der Höhe der Strafen.

Sektoren mit hoher Kritikalität	Sonstige kritische Sektoren
Energie	Post- und Kurierdienste
Verkehr	Abfallbewirtschaftung
Bankwesen	Chemie
Finanzmarktinfrastrukturen	Lebensmittel
Gesundheitswesen	Verarbeitendes Gewerbe
Trinkwasser	Digitale Dienste
Abwasser	Forschungseinrichtungen
Digitale Infrastruktur
IKT-Dienste (B2B)
Öffentliche Verwaltung
Weltraum

Praxisbeispiel: Ein Lebensmittelgroßhändler mit 60 Mitarbeitern und 15 Millionen Euro Umsatz fällt direkt unter das NISG 2026, da er im Sektor Lebensmittel tätig ist und die Größenschwelle überschreitet. Eine Bäckerei mit 10 Mitarbeitern hingegen ist nicht direkt betroffen.

Indirekte Betroffenheit: Die Lieferkette als Schlüsselfaktor

Auch wenn Ihr Unternehmen nicht direkt unter das NISG 2026 fällt, können Sie trotzdem betroffen sein. Das Gesetz verpflichtet alle regulierten Unternehmen, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten. In der Praxis bedeutet das: Wenn einer Ihrer Kunden unter das NISG 2026 fällt, wird er seine Sicherheitsanforderungen vertraglich an Sie als Lieferanten oder Dienstleister weitergeben.

Konkret könnte das für Sie Folgendes bedeuten:

• Ihr Kunde sendet Ihnen einen Fragebogen zur IT-Sicherheit, den Sie ausfüllen müssen.

• In neuen Verträgen werden konkrete Sicherheitsanforderungen festgeschrieben.

• Sie müssen nachweisen, dass Ihre IT-Systeme bestimmte Mindeststandards erfüllen.

• Im schlimmsten Fall verlieren Sie Aufträge, wenn Sie die Anforderungen nicht erfüllen können.

Praxisbeispiel: Eine kleine Werbeagentur mit 8 Mitarbeitern betreut einen regionalen Energieversorger. Dieser fällt als „wesentliche Einrichtung“ unter das NISG 2026. Im Zuge der Compliance-Umsetzung verlangt der Energieversorger von all seinen Dienstleistern einen Nachweis über grundlegende IT-Sicherheitsmaßnahmen. Die Agentur muss nun dokumentieren, wie sie mit Kundendaten umgeht, ob sie Multi-Faktor-Authentifizierung nutzt und wie ihre Backup-Strategie aussieht.

Laut Wirtschaftskammer Österreich (WKO) wird die indirekte Betroffenheit über die Lieferkette voraussichtlich noch deutlich mehr KMU betreffen als die direkte Regulierung. Es lohnt sich daher für jedes Unternehmen, sich mit dem Thema auseinanderzusetzen.

Die wichtigsten Pflichten im Überblick

Das NISG 2026 verlangt von betroffenen Unternehmen eine ganze Reihe von Maßnahmen. Diese klingen auf den ersten Blick nach Großkonzern-Themen, lassen sich aber in angemessenem Umfang auch in mittelständischen Betrieben umsetzen.

Risikomanagement

Im Kern geht es darum, IT-Risiken systematisch zu erkennen und zu behandeln. Dazu gehören:

• Eine regelmäßige Risikoanalyse: Welche IT-Systeme sind für Ihr Unternehmen kritisch? Welche Bedrohungen gibt es?

• Sicherheitskonzepte und Richtlinien: Wer darf auf welche Daten zugreifen? Wie werden Passwörter verwaltet?

• Technische Schutzmaßnahmen: Firewalls, Virenschutz, Verschlüsselung, Multi-Faktor-Authentifizierung.

• Backup-Management: Regelmäßige Datensicherungen und ein funktionierender Wiederherstellungsplan.

• Schulungen: Alle Mitarbeiterinnen und Mitarbeiter, einschließlich der Geschäftsführung, müssen regelmäßig in Cybersicherheit geschult werden.

Meldepflichten bei Sicherheitsvorfällen

Wenn es zu einem erheblichen Sicherheitsvorfall kommt, etwa einem erfolgreichen Hackerangriff oder einem größeren Datenverlust, müssen Sie diesen innerhalb strenger Fristen an die Behörde melden:

Frist	Was ist zu melden?
24 Stunden	Frühwarnung: Verdacht auf rechtswidrige Handlung und mögliche grenzübergreifende Auswirkungen
72 Stunden	Erste Einschätzung: Schwere des Vorfalls, betroffene Systeme, Indikatoren
1 Monat	Abschlussbericht: Detaillierte Beschreibung, Ursachen, Gegenmaßnahmen

Für KMU ohne eigene IT-Abteilung bedeutet das: Sie brauchen einen klaren Notfallplan und einen Ansprechpartner, der im Ernstfall schnell handeln kann. Ihr IT-Dienstleister sollte hier eine zentrale Rolle spielen.

Registrierung und Selbstdeklaration

Betroffene Unternehmen müssen sich selbstständig beim neuen Bundesamt für Cybersicherheit registrieren. Es gibt keine individuelle Benachrichtigung durch die Behörde. Die Registrierung muss bis 31. Dezember 2026 erfolgen. Zusätzlich müssen Sie bis spätestens 30. September 2027 eine Selbstdeklaration einreichen, in der Sie darlegen, welche Sicherheitsmaßnahmen Sie umgesetzt haben.

Geschäftsführerhaftung: Cybersicherheit wird Chefsache

Eine der einschneidendsten Neuerungen des NISG 2026 betrifft die Geschäftsführung direkt. Cybersicherheit kann nicht mehr einfach an die IT-Abteilung oder einen externen Dienstleister delegiert werden. Die Geschäftsführung trägt die persönliche Verantwortung.

Konkret bedeutet das:

• Die Geschäftsführung muss die Sicherheitsmaßnahmen aktiv genehmigen, also nicht bloß passiv dulden, sondern bewusst freigeben.

• Sie muss die Umsetzung überwachen und regelmäßig kontrollieren, ob die Maßnahmen greifen.

• Geschäftsführer müssen persönlich an Cybersicherheitsschulungen teilnehmen, und zwar noch bevor das Gesetz in Kraft tritt.

Bei Verstößen drohen persönliche Haftung und im Extremfall sogar ein Verbot der Geschäftsführungstätigkeit. Ein Haftungsverzicht durch Gesellschaftervertrag ist nicht zulässig.

Praxisbeispiel: Der Geschäftsführer eines mittelständischen Transportunternehmens kann sich nicht damit verteidigen, dass „der IT-Mann sich darum kümmert“. Er muss nachweisen, dass er die Maßnahmen genehmigt hat, sich regelmäßig über den Stand informiert und selbst an Schulungen teilgenommen hat.

Strafen und Sanktionen

Das NISG 2026 sieht empfindliche Geldbußen vor, die je nach Einstufung des Unternehmens variieren:

Einstufung	Maximale Geldbuße
Wesentliche Einrichtungen	Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen	Bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes

Es gilt jeweils der höhere Betrag. Zusätzlich zu den Geldbußen kann die Behörde verbindliche Anweisungen erteilen, Vor-Ort-Kontrollen durchführen und im Ernstfall Zertifizierungen oder Genehmigungen aussetzen.

Auch wenn diese Höchststrafen vor allem auf größere Unternehmen abzielen: Die Signalwirkung ist klar. Cybersicherheit ist kein freiwilliges Thema mehr, sondern eine rechtliche Pflicht mit spürbaren Konsequenzen.

Was KMU jetzt konkret tun sollten

Unabhängig davon, ob Ihr Unternehmen direkt oder indirekt betroffen ist: Gute IT-Sicherheit ist kein Luxus, sondern eine Investition in die Zukunftsfähigkeit Ihres Betriebs. Die folgenden Schritte helfen Ihnen, sich systematisch vorzubereiten.

Schritt 1: Betroffenheit prüfen

• Prüfen Sie, ob Ihr Unternehmen in einem der 18 NIS-Sektoren tätig ist.

• Überprüfen Sie die Größenschwellen, auch unter Berücksichtigung verbundener Unternehmen.

• Nutzen Sie den Online-Ratgeber der Wirtschaftskammer Österreich (WKO) unter wko.at/it-sicherheit/nis2-uebersicht.

• Klären Sie, ob Sie als Zulieferer oder Dienstleister eines betroffenen Unternehmens arbeiten.

Schritt 2: Ist-Zustand erheben

• Lassen Sie sich von Ihrem IT-Dienstleister eine Bestandsaufnahme Ihrer aktuellen Sicherheitsmaßnahmen erstellen.

• Vergleichen Sie den aktuellen Stand mit den zehn Risikomanagement-Anforderungen des NISG 2026.

• Identifizieren Sie die größten Lücken und priorisieren Sie diese nach Risiko.

Schritt 3: Grundlegende Maßnahmen umsetzen

Viele der geforderten Maßnahmen gehören ohnehin zur guten IT-Praxis:

• Multi-Faktor-Authentifizierung (MFA) für E-Mail und wichtige Geschäftsanwendungen aktivieren, also zusätzlich zum Passwort etwa eine Bestätigung am Smartphone.

• Regelmäßige, automatische Backups einrichten und die Wiederherstellung testen.

• Software und Betriebssysteme aktuell halten, Updates zeitnah einspielen.

• Zugriffsrechte prüfen: Nur wer bestimmte Daten für seine Arbeit braucht, sollte Zugang haben.

• Mitarbeiter regelmäßig für Phishing und andere Bedrohungen sensibilisieren.

Schritt 4: Notfallplan erstellen

• Definieren Sie, was bei einem Sicherheitsvorfall passiert: Wer wird informiert? Wer entscheidet?

• Hinterlegen Sie die Kontaktdaten Ihres IT-Dienstleisters und des nationalen CERT (cert.at) an einem bekannten Ort.

• Dokumentieren Sie den Ablauf, damit Sie im Ernstfall die Meldefristen von 24 und 72 Stunden einhalten können.

Schritt 5: Geschäftsführung einbinden

• Die Geschäftsführung muss das Thema aktiv übernehmen und die Sicherheitsmaßnahmen formal genehmigen.

• Planen Sie noch vor Oktober 2026 eine Cybersicherheitsschulung für die Geschäftsführung ein.

• Richten Sie einen regelmäßigen Berichtsprozess ein, damit die Geschäftsführung über den Stand der IT-Sicherheit informiert bleibt.

Schritt 6: Dokumentation aufbauen

Dokumentation ist entscheidend, denn im Falle einer Prüfung müssen Sie nachweisen können, welche Maßnahmen Sie umgesetzt haben. Dazu gehören:

• Sicherheitsrichtlinien und Risikoanalysen

• Protokolle über durchgeführte Schulungen

• Nachweise über Backup-Tests und Softwareaktualisierungen

• Verträge mit IT-Dienstleistern, die Sicherheitsanforderungen enthalten

Wichtige Anlaufstellen in Österreich

Sie müssen sich nicht allein durch die neuen Anforderungen kämpfen. In Österreich gibt es mehrere offizielle Stellen, die Informationen und Unterstützung bieten:

• NIS Anlaufstelle (nis.gv.at): Die offizielle Informationsseite zum NISG mit häufig gestellten Fragen und Erläuterungen.

• Wirtschaftskammer Österreich (WKO): Bietet einen umfassenden Online-Ratgeber zur Betroffenheitsprüfung und Umsetzung.

• CERT.at: Das nationale Computer Emergency Response Team, Ihre erste Anlaufstelle bei Sicherheitsvorfällen.

• KMU DIGITAL: Förderprogramm der WKO für Digitalisierung und IT-Sicherheit in kleinen und mittleren Unternehmen.

Häufige Fragen (FAQ)

Gilt NIS2 auch für kleine Unternehmen in Österreich?

Grundsätzlich nicht. Kleine Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz unter 10 Millionen Euro sind nicht direkt betroffen. Es gibt wenige Ausnahmen, etwa für Anbieter öffentlicher Kommunikationsnetze. Allerdings sind viele KMU indirekt betroffen, weil ihre Kunden unter das NISG 2026 fallen und Sicherheitsanforderungen an ihre Lieferanten stellen.

Bis wann muss ich die Anforderungen erfüllen?

Das NISG 2026 tritt am 1. Oktober 2026 in Kraft. Ab diesem Zeitpunkt müssen die Risikomanagementmaßnahmen umgesetzt und die Meldepflichten eingehalten werden. Für die Registrierung haben Sie bis Ende Dezember 2026 Zeit, für die Selbstdeklaration bis September 2027.

Was kostet die Umsetzung für ein KMU?

Die Kosten hängen stark vom aktuellen Stand Ihrer IT-Sicherheit ab. Wenn Sie bereits grundlegende Maßnahmen wie regelmäßige Backups, aktuelle Software und eine Firewall haben, ist der zusätzliche Aufwand überschaubar. Größere Investitionen können nötig sein, wenn bisher wenig in IT-Sicherheit investiert wurde. Die WKO bietet über das Programm KMU DIGITAL auch Förderungen für Beratung und Umsetzung.

In der Steiermark werden außerdem auch über die SFG IT-Sicherheitsprojekte gefördert.