Do you want to switch the language?
IT Security, Red Team 9. Februar 20261 min Lesezeit

Wer ist betroffen? Die NIS2 Anforderungen und betroffenen Unternehmen im Detail.

Die NIS 2 in Österreich (NISG 2026) ist da. Für tausende Unternehmen in Österreich wird Cybersicherheit nun zur gesetzlichen Pflicht. Doch wer genau fällt unter die Regulierung und was müssen Betriebe jetzt tun? Wir werfen einen Blick auf das NISG 2026 und die spezifischen Kriterien für die Betroffenheit.

Wann fällt man unter NIS2?

Die Frage nach der Betroffenheit lässt sich meist über zwei Faktoren beantworten: den Sektor und die Unternehmensgröße. Grundsätzlich fallen Unternehmen unter die NIS 2 Regulierung, wenn sie:

  1. In einem der 18 definierten kritischen oder wichtigen Sektoren tätig sind (z. B. Energie, Transport, Bankwesen, Gesundheit, digitale Infrastruktur, aber auch Abfallwirtschaft oder Lebensmittel). Mehr dazu finden Sie hier.
  2. Mindestens 50 Mitarbeiter:innen beschäftigen oder einen Jahresumsatz/eine Jahresbilanzsumme von über 10 Millionen Euro erzielen (sogenannter „Size-Cap“-Mechanismus).

Wer ist von der NIS-2-Richtlinie betroffen?

Es wird zwischen zwei Kategorien unterschieden:

  • Wesentliche Einrichtungen: Große Unternehmen aus hochkritischen Sektoren (z. B. Stromversorger). Sie unterliegen einer proaktiven Aufsicht.
  • Wichtige Einrichtungen: Mittlere und große Unternehmen aus Sektoren wie Post, Chemie oder verarbeitendes Gewerbe. Hier erfolgt die Aufsicht meist reaktiv, also nach einem Vorfall.

Wichtig für KMU in der NIS 2 Österreich Landschaft: Auch wenn Sie selbst die Größenschwellen nicht erreichen, können Sie indirekt betroffen sein, wenn Sie als Zulieferer für ein reguliertes Unternehmen tätig sind.

Welche Unternehmen sind von NIS2 betroffen?

Neben den klassischen Infrastrukturbetreibern umfasst die Liste nun auch:

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder -diensten.
  • Managed Service Provider (MSPs) und Anbieter von Rechenzentrumsdiensten.
  • Hersteller bestimmter kritischer Produkte (z. B. Pharmazeutika oder IT).
  • Online-Marktplätze und Suchmaschinen.
Was ändert sich durch NIS2?

Durch das NISG 2026 ändern sich vor allem die Haftungsfragen und die Dokumentationspflichten:

  • Management-Verantwortung: Die Geschäftsführung kann für Versäumnisse bei der Cybersicherheit persönlich haftbar gemacht werden und muss verpflichtende Schulungen absolvieren.
  • Lieferkettensicherheit: Unternehmen müssen die Sicherheit ihrer Partner und Dienstleister prüfen.
  • Meldepflichten: Ein erheblicher Sicherheitsvorfall muss innerhalb von 24 Stunden vorab und innerhalb von 72 Stunden detailliert gemeldet werden.

Was NIS2 konkret bedeutet und ab wann die Richtlinie in Österreich gilt, erläutern wir im Artikel "NIS 2 in Österreich – Der ultimative Guide zum neuen Cybersicherheitsgesetz".

Was sind NIS2 Anforderungen?

Die konkreten NIS 2 Anforderungen verlangen ein ganzheitliches Risikomanagement. Dazu gehören unter anderem:

  • Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme.
  • Bewältigung von Zwischenfällen (Incident Management).
  • Business Continuity Management (Backup-Strategien, Notfallpläne).
  • Kryptografie und Verschlüsselung.
  • Sicherheit des Personals und Zugriffskontrolle (z. B. Multi-Faktor-Authentifizierung etc.).

Die Umsetzung des NISG 2026 ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Unternehmen, die jetzt handeln, sichern sich nicht nur rechtlich ab, sondern stärken auch das Vertrauen ihrer Kunden und Partner in einem zunehmend digitalen Markt.

Passende Themen

NIS 2 in Österreich – Der ultimative Guide zum neuen Cybersicherheitsgesetz!

Was bedeutet NIS2? Der Begriff NIS2 steht für die zweite Fassung der EU-weiten Richtlinie über die Sicherheit von Netz- und Informationssystemen. Während die erste NIS-Richtlinie aus dem Jahr 2016…

Read more
Wie kann ich Ihnen helfen?
Unter diesem Link finden Sie unsere Datenschutzerklärung.