Kontakt
Inhaltsverzeichnis
Blog-Übersicht

Artikel teilen:

NIS2 / NISG in Österreich: Was KMU 2026 konkret tun müssen

Inhaltsverzeichnis

Kurzzusammenfassung

Die NIS2-Richtlinie der EU wurde in Österreich durch das NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) in nationales Recht überführt. Ab 2026 sind auch viele österreichische KMU verpflichtet, konkrete Cybersicherheitsmaßnahmen umzusetzen und Meldepflichten einzuhalten – bei Verstößen drohen empfindliche Bußgelder.

Einleitung

NIS2 und das österreichische NISG betreffen 2026 deutlich mehr Unternehmen als bisher – und viele KMU in Österreich unterschätzen noch immer den Handlungsbedarf. Mit der Umsetzung der EU-Richtlinie 2022/2555 durch das NISG 2024 hat der österreichische Gesetzgeber die Anforderungen an Cybersicherheit erheblich ausgeweitet. Waren bisher vor allem Betreiber kritischer Infrastruktur betroffen, greift NIS2 nun tief in den Mittelstand hinein: Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in bestimmten Sektoren müssen Sicherheitspflichten erfüllen, die bislang Großkonzernen vorbehalten waren.

Für viele Geschäftsführer und IT-Verantwortliche österreichischer KMU stellt sich jetzt die entscheidende Frage: Bin ich betroffen – und was muss ich bis wann konkret tun? Dieser Beitrag gibt klare Antworten, erklärt die wichtigsten Pflichten und zeigt, wie Sie die Umsetzung strukturiert angehen.

[toc]

Bin ich als österreichisches KMU von NIS2 / NISG betroffen?

Die Frage der Betroffenheit ist der erste und wichtigste Schritt. Das NISG 2024 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen – und die Schwellenwerte sind deutlich niedriger als viele erwarten.

Größenschwellen und Sektoren

Als wichtige Einrichtung gilt grundsätzlich, wer:

  • mindestens 50 Mitarbeitende beschäftigt oder
  • einen Jahresumsatz bzw. eine Jahresbilanzsumme von mindestens 10 Millionen Euro aufweist

und in einem der definierten Sektoren tätig ist. Dazu zählen unter anderem:

  • Digitale Infrastruktur und IT-Dienstleister (Managed Service Provider, Rechenzentren)
  • Verarbeitendes Gewerbe und Maschinenbau
  • Post- und Kurierdienste
  • Lebensmittelverarbeitung und -vertrieb
  • Chemische Industrie
  • Abfallwirtschaft
  • Forschungseinrichtungen

Wesentliche Einrichtungen – mit strengeren Anforderungen – sind größere Unternehmen in besonders kritischen Bereichen wie Energie, Gesundheit, Verkehr oder Wasserversorgung.

Selbstregistrierung ist Pflicht

Ein häufig übersehenes Detail: Betroffene Unternehmen müssen sich eigenständig beim nationalen CSIRT (cert.at) registrieren. Die Registrierung ist keine Einmalaufgabe, sondern muss bei wesentlichen Änderungen aktualisiert werden. Wer die Registrierung versäumt, riskiert bereits damit Sanktionen.

Kleinstunternehmen: Vorsicht bei Ausnahmen

Unternehmen unter 50 Mitarbeitenden und unter 10 Millionen Euro Umsatz sind grundsätzlich ausgenommen – es sei denn, sie zählen zu den definierten kritischen Ausnahmen (z. B. alleiniger Anbieter eines wesentlichen Dienstes). Im Zweifelsfall empfiehlt sich eine rechtliche und technische Prüfung.

Die wichtigsten Pflichten nach NISG 2024 im Überblick

Wer unter das NISG fällt, muss ein breites Spektrum an organisatorischen und technischen Maßnahmen nachweislich umsetzen. Die Anforderungen orientieren sich am Stand der Technik – ein Begriff, der regelmäßige Überprüfung und Aktualisierung impliziert.

Technische und organisatorische Maßnahmen (TOMs)

Das Gesetz verlangt konkret:

  • Risikoanalyse und Informationssicherheitskonzept: Systematische Bewertung von Bedrohungen und Schwachstellen
  • Business Continuity Management (BCM): Notfallpläne, Backup-Konzepte, Wiederherstellungsverfahren
  • Supply-Chain-Sicherheit: Überprüfung und Absicherung von Lieferanten und Dienstleistern
  • Zugangs- und Zugriffskontrollen: Multi-Faktor-Authentifizierung, Berechtigungsmanagement
  • Kryptografie und Verschlüsselung: Schutz sensibler Daten in Übertragung und Speicherung
  • Sicherheitsbewusstsein und Schulungen: Regelmäßige Mitarbeiter-Trainings zu Cybersicherheitsthemen
  • Schwachstellenmanagement und Patch-Management: Strukturierte Prozesse zur Behebung von Sicherheitslücken

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden dem nationalen CSIRT gemeldet werden – eine erste Frühwarnung. Innerhalb von 72 Stunden folgt ein detaillierterer Bericht, spätestens nach einem Monat ein Abschlussbericht. Diese Fristen sind eng und erfordern funktionierende interne Prozesse schon vor einem Vorfall.

Verantwortung der Geschäftsleitung

NIS2 und das NISG verankern die Verantwortung ausdrücklich bei der Geschäftsleitung. Vorstände und Geschäftsführer können persönlich haftbar gemacht werden, wenn sie Cybersicherheit vernachlässigen. Schulungen für die Führungsebene sind daher keine Kür, sondern Pflicht.

Sanktionen: Was droht bei Verstößen?

Das NISG 2024 sieht ein abgestuftes Sanktionsregime vor, das sich an den Vorgaben der NIS2-Richtlinie orientiert.

Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist.

Für wichtige Einrichtungen (in die viele KMU fallen) liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Hinzu kommen mögliche Reputationsschäden, Betriebsunterbrechungen durch behördliche Maßnahmen sowie im Extremfall die temporäre Untersagung von Leitungsfunktionen. Die Aufsicht obliegt in Österreich dem Bundesamt für Cybersicherheit (BKA/BACS), das Kontrollen aktiv durchführen kann – auch ohne konkreten Verdacht.

Entscheidend: Unwissenheit schützt nicht vor Strafe. Unternehmen, die sich nicht sicher sind, ob sie betroffen sind, sollten jetzt aktiv werden, bevor die Behörden es tun.

Praktische Handlungsempfehlungen für KMU in Österreich

Die gute Nachricht: Wer strukturiert vorgeht, kann die NIS2-Anforderungen in überschaubaren Schritten umsetzen. Hier sind die wichtigsten Maßnahmen für österreichische KMU:

1. Betroffenheitsanalyse durchführen
Prüfen Sie anhand von Mitarbeiterzahl, Umsatz und Sektor, ob Ihr Unternehmen unter das NISG fällt. Im Zweifelsfall juristische und technische Beratung hinzuziehen.

2. Gap-Analyse der bestehenden Sicherheitsmaßnahmen
Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den gesetzlichen Anforderungen. Wo sind die größten Lücken? Welche Maßnahmen haben höchste Priorität?

3. Registrierung beim nationalen CSIRT (cert.at)
Sobald die Betroffenheit feststeht, umgehend registrieren – die Plattform ist unter nisdaten.bka.gv.at erreichbar.

4. Interne Prozesse für Vorfallsmeldungen definieren
Wer meldet was, wann und wie? Diese Prozesse müssen vor einem Vorfall definiert und getestet sein.

5. Lieferanten und Dienstleister prüfen
IT-Dienstleister, Cloudanbieter und kritische Zulieferer auf ihre Sicherheitsstandards überprüfen – vertragliche Regelungen anpassen.

6. Schulungen für Mitarbeitende und Führungsebene
Cybersicherheitsbewusstsein ist gesetzlich verankert und praktisch wirksam – beides gleichzeitig.

Nutzen Sie die Zeit bis Ende 2025, um strukturiert zu handeln. Wer jetzt beginnt, kommt ohne Zeitdruck ans Ziel.

Häufig gestellte Fragen

Gilt NIS2 / das NISG auch für kleine Unternehmen unter 50 Mitarbeitenden?
Grundsätzlich nein – Unternehmen unter 50 Mitarbeitenden und unter 10 Millionen Euro Umsatz sind in der Regel ausgenommen. Ausnahmen gelten jedoch, wenn das Unternehmen ein kritischer Alleinanbieter ist oder in einem besonders sensiblen Sektor tätig ist. Eine Prüfung des Einzelfalls ist ratsam.

Bis wann müssen österreichische KMU die NIS2-Anforderungen erfüllen?
Das NISG 2024 ist in Österreich bereits in Kraft. Die Umsetzungspflichten gelten formal ab dem Inkrafttreten – für die Praxis gilt: Spätestens bis Ende 2025 sollten alle Maßnahmen implementiert und die Registrierung abgeschlossen sein, um 2026 compliant zu sein.

Was kostet die NIS2-Umsetzung ein typisches österreichisches KMU?
Die Kosten sind stark abhängig vom Ausgangsniveau und der Unternehmensgröße. Erfahrungsgemäß liegen die initialen Investitionen für ein KMU mit 50–250 Mitarbeitenden zwischen 15.000 und 80.000 Euro, verteilt auf technische Maßnahmen, Beratung und Schulungen. Laufende Kosten für Monitoring und Wartung kommen hinzu – sind jedoch deutlich geringer als mögliche Bußgelder.

Fazit und nächste Schritte

NIS2 und das österreichische NISG 2024 sind kein bürokratisches Randthema – sie definieren den neuen Mindeststandard für Cybersicherheit in Unternehmen. Für KMU in Österreich bedeutet das: Betroffenheit prüfen, Lücken schließen, Prozesse einrichten und registrieren. Wer das strukturiert angeht, schützt nicht nur sein Unternehmen vor Bußgeldern, sondern macht es widerstandsfähiger gegen reale Cyberangriffe.

Solutionbox unterstützt österreichische KMU bei der NIS2-Readiness-Analyse, der Umsetzung technischer Maßnahmen und der laufenden Absicherung im Rahmen unserer Managed Security Services. Sprechen Sie uns an – wir helfen Ihnen, den Überblick zu behalten und sicher compliant zu werden.

👉 Jetzt Kontakt aufnehmen

Autor: Martin Höck, IT-Consultant und allgemein beeideter Sachverständiger für Informationstechnologie,
Solutionbox Informationstechnologie GmbH, Salzburg
Fragen? salesteam@solutionbox.net | +43 662 243316