Mit dem Netz- und Informationssystemsicherheitsgesetz (NISG 2024) hat Österreich die EU-Richtlinie NIS 2 in nationales Recht umgesetzt — und der Kreis der betroffenen Unternehmen ist deutlich größer als unter der alten NIS-Richtlinie. Nicht mehr nur kritische Infrastruktur fällt darunter, sondern auch viele mittelständische Betriebe ab fünfzig Mitarbeiterinnen und Mitarbeitern in einer ganzen Reihe von Sektoren — von Energie über Logistik bis zu IT-Dienstleistung, Lebensmittelproduktion und Forschungseinrichtungen. Was Geschäftsführerinnen und Geschäftsführer 2026 wirklich tun müssen, welche Meldepflichten gelten und warum die persönliche Haftung scharf zugezogen wurde, zeigt dieser Leitfaden. Eine erste Einordnung Ihrer Branche und Größe finden Sie auf unserer Schwerpunktseite Unternehmensrecht.
NIS2-Grundlagen — von der Richtlinie zum NISG 2024
Die Richtlinie (EU) 2022/2555 — bekannt als NIS-2-Richtlinie — löst die alte NIS-Richtlinie aus 2016 ab. Sie verfolgt drei Ziele: einheitlich hohe Cybersicherheitsstandards im Binnenmarkt, klare Meldepflichten bei Sicherheitsvorfällen und persönliche Verantwortung der Unternehmensleitung. Österreich hat die Vorgaben mit dem Netz- und Informationssystemsicherheitsgesetz (NISG 2024) umgesetzt. Das Gesetz nennt zwei Kategorien — wesentliche Einrichtungen und wichtige Einrichtungen — und knüpft daran abgestufte Pflichten- und Sanktionsregime.
Der praktische Sprung gegenüber der alten Rechtslage ist erheblich. Während die NIS 1 nur einige hundert Betreiber kritischer Infrastruktur erfasste, sind unter NIS 2 in Österreich tausende Unternehmen betroffen — die Schätzungen bewegen sich zwischen 4.000 und 7.000 Einrichtungen, je nach Branchenabgrenzung. Wer in einen der gelisteten Sektoren fällt und die Größenschwelle erreicht, wird automatisch erfasst — eine behördliche Einzelfeststellung ist nicht erforderlich. Das verschiebt die Beweislast: Unternehmen müssen aktiv prüfen, ob sie betroffen sind, und können sich nicht darauf zurückziehen, „nicht gemeldet“ worden zu sein.
NIS 2 läuft parallel zu anderen 2026 relevanten Compliance-Regimen — etwa der KI-Verordnung (AI Act), der DSGVO und sektoralen Vorgaben wie DORA für den Finanzsektor. Wer ein vernünftiges Compliance-Management aufgebaut hat, kann viele NIS-2-Pflichten effizient integrieren; wer bei null startet, hat 2026 ein eigenes Projekt vor sich.
Wer ist betroffen — wesentliche vs. wichtige Einrichtungen
NIS 2 unterscheidet zwei Kategorien. Wesentliche Einrichtungen unterliegen schärferer Aufsicht und höheren Sanktionen, wichtige Einrichtungen sind ebenfalls voll pflichtig, werden aber primär reaktiv kontrolliert. Die Abgrenzung erfolgt aus der Kombination Sektor plus Größenklasse — beide Kriterien müssen erfüllt sein. Größenklasse heißt: Mitarbeiterzahl, Jahresumsatz oder Jahresbilanzsumme nach den Schwellen der EU-KMU-Definition (Empfehlung 2003/361/EG).
Drei Sonderfälle erweitern den Anwendungsbereich unabhängig von der Größenschwelle: Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Vertrauensdiensteanbieter und Top-Level-Domain-Namensregister sind immer erfasst. Hinzu kommen Konzerntöchter österreichischer Mutterunternehmen, sofern sie selbst die Schwellen erreichen — die Gruppenbetrachtung wird über Artikel 6 der EU-KMU-Empfehlung gesteuert.
Welche Sektoren erfasst sind — 18 Branchen im Überblick
Die NIS-2-Richtlinie listet 18 Sektoren in zwei Anhängen. Anhang I bündelt die „Sektoren mit hoher Kritikalität“ (wesentliche Einrichtungen), Anhang II die „sonstigen kritischen Sektoren“ (wichtige Einrichtungen). Im Zweifel führt schon eine einzige Tätigkeit aus diesen Listen zur Anwendbarkeit — auch wenn sie nicht das Hauptgeschäft ist.
Besonders zu beachten ist die Reichweite des Sektors „verarbeitendes Gewerbe“ in Anhang II. Erfasst sind etwa Hersteller von Medizinprodukten, In-vitro-Diagnostika, Datenverarbeitungsgeräten, elektronischen Bauelementen, elektrischen Ausrüstungen, Maschinen, Kraftfahrzeugen und sonstigen Fahrzeugen. Viele Salzburger Mittelständler aus dem Maschinen- und Anlagenbau, die sich bisher nie als „kritische Infrastruktur“ gesehen haben, fallen damit ab fünfzig Mitarbeiterinnen und Mitarbeitern direkt unter NIS 2.
Die zehn Mindest-Sicherheitsmaßnahmen
Artikel 21 NIS-2-Richtlinie und der entsprechende österreichische Pflichtenkatalog im NISG 2024 verlangen einen risikobasierten Ansatz — die Maßnahmen müssen dem Risiko und dem Stand der Technik entsprechen und nach dem Verhältnismäßigkeitsgrundsatz dimensioniert sein. Vorgegeben sind zehn Mindestbereiche, in denen jedes betroffene Unternehmen eigene Konzepte, Richtlinien und Verfahren vorweisen muss.
Wichtig in der Praxis: NIS 2 verlangt keine Zertifizierung — auch nicht ISO 27001. Ein etabliertes Informationssicherheits-Managementsystem (ISMS) erleichtert allerdings die Nachweisführung massiv. Wer schon nach ISO 27001 oder TISAX zertifiziert ist, kann viele Kontrollen direkt mappen. Wer von null startet, sollte sich am BSI-Grundschutz oder dem österreichischen Sicherheitshandbuch des Bundeskanzleramts orientieren — beide Frameworks sind aufsichtsbehördlich anerkannt.
Meldepflichten bei Sicherheitsvorfällen — 24 / 72 / 30 Tage
Eine der einschneidendsten Neuerungen sind die dreistufigen Meldepflichten bei „erheblichen Sicherheitsvorfällen“. Erheblich ist ein Vorfall dann, wenn er schwere Betriebsstörungen oder finanzielle Verluste verursacht hat — oder verursachen könnte — oder wenn er erhebliche materielle oder immaterielle Schäden bei Dritten auslösen kann. Die Meldewege gehen an das Bundesministerium für Inneres und an das nationale CSIRT (Computer Security Incident Response Team).
Erste Meldung ans CSIRT: Art des Vorfalls, mutmaßlicher Hintergrund (z. B. Cyberangriff vs. technische Störung), grenzüberschreitende Auswirkungen.
Aktualisierung der Frühwarnung: Schweregrad, Auswirkungen, Indicators of Compromise, bisher gesetzte Gegenmaßnahmen.
Detaillierte Beschreibung von Ursache, Verlauf, Schaden, Abhilfemaßnahmen und Folgen. Bei länger andauernden Vorfällen: monatlicher Zwischenbericht.
Daneben besteht eine Informationspflicht gegenüber den eigenen Kunden: Wer einen Sicherheitsvorfall hat, der die Erbringung der eigenen Dienste beeinträchtigt, muss die unmittelbar betroffenen Empfänger ohne unangemessene Verzögerung informieren — und gegebenenfalls auf mögliche Schutzmaßnahmen oder Workarounds hinweisen. Diese Pflicht läuft parallel zur Datenschutz-Meldepflicht aus Art 33 DSGVO, deckt sich aber inhaltlich nicht: NIS 2 sieht auch dann eine Meldung vor, wenn keine personenbezogenen Daten betroffen sind.
Geschäftsführerhaftung und Schulungspflicht
NIS 2 zieht die Geschäftsführung erstmals ausdrücklich in die Pflicht. Artikel 20 der Richtlinie und der österreichische Umsetzungsparagraph verpflichten die Leitungsorgane, die Sicherheitsmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Eine Delegation an die IT-Abteilung ohne weitere Kontrolle reicht nicht — die Geschäftsführung haftet bei Verstößen persönlich für Schäden, sofern diese in den Kontrollbereich der Leitung fallen.
Hinzu kommt eine ausdrückliche Schulungspflicht. Mitglieder der Leitungsorgane müssen regelmäßig an Schulungen teilnehmen, die ihnen ein Verständnis von Cyberrisiken und Sicherheitspraktiken vermitteln. Vergleichbare Schulungen werden für alle Beschäftigten regelmäßig angeboten. In Salzburger Praxisfällen sehen wir, dass diese Schulungspflicht häufig unterschätzt wird — sie ist aber dokumentationspflichtig und kann im Aufsichtsverfahren konkret abgefragt werden. Wer hier nicht liefert, läuft Gefahr, dass die Behörde die persönliche Haftung der Geschäftsführung mitfeststellt.
Die persönliche Haftung knüpft an den allgemeinen GmbH-Sorgfaltsmaßstab nach § 25 GmbHG an: Wer als Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes verletzt, haftet der Gesellschaft auf Schadenersatz. NIS 2 schärft diesen Maßstab im Bereich Cybersicherheit deutlich nach. Vertiefend zur allgemeinen Geschäftsführer-Sorgfalt: unser Leitfaden zur Geschäftsführerhaftung Österreich.
Wir empfehlen Klientinnen und Klienten, einen schriftlichen Geschäftsführer-Beschluss zur NIS-2-Compliance ins Protokollbuch zu nehmen — mit Datum, Verantwortlichkeiten, Budgetfreigabe und Reporting-Intervall ans Aufsichtsorgan. Dieser Beschluss ist der wichtigste Entlastungsbeleg im Aufsichtsverfahren und in einem späteren Innenregress. Mündliche Zusagen oder E-Mail-Threads ersetzen ihn nicht.
Sanktionen und Aufsicht — bis 10 Mio Euro Bußgeld
Verstöße gegen die NIS-2-Pflichten ahndet die Aufsicht mit Verwaltungsstrafen. Die Höchstgrenzen sind gestaffelt: bei wesentlichen Einrichtungen bis 10 Mio Euro oder 2 % des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis 7 Mio Euro oder 1,4 %. Maßgeblich ist jeweils der höhere Wert. Neben Geldbußen kann die Aufsicht Anordnungen erlassen — von der Mängelbeseitigung über öffentliche Bekanntmachung bis zur Untersagung bestimmter Tätigkeiten der Leitungsorgane. Diese letztgenannte Sanktion (befristetes Tätigkeitsverbot für Geschäftsführer) hat in der bisherigen österreichischen Aufsichtspraxis kein Vorbild und sollte ernstgenommen werden.
Bei der Bemessung berücksichtigt die Behörde Art, Schwere und Dauer des Verstoßes, vorsätzliches oder fahrlässiges Handeln, frühere Verstöße, finanzielle Vorteile durch die Pflichtverletzung und die Mitwirkung im Aufsichtsverfahren. Frühzeitige Selbstanzeige und nachvollziehbare Abhilfemaßnahmen wirken regelmäßig mildernd. Wer dagegen Meldepflichten verletzt oder Vorfälle vertuscht, riskiert die obere Skala — und parallel zivilrechtliche Schadenersatzansprüche von Kunden und Lieferanten.
Häufige Fehler — was Compliance-Projekte 2026 scheitern lässt
Häufige Fragen zu NIS 2 in Österreich
Ist NIS 2 in Österreich schon in Kraft?
Ja. Österreich hat die Richtlinie mit dem Netz- und Informationssystemsicherheitsgesetz (NISG 2024) umgesetzt. Betroffene Unternehmen sind verpflichtet, die Sicherheits- und Meldepflichten zu erfüllen — unabhängig von einer behördlichen Einzelfeststellung. Bei Unsicherheit über den genauen Anwendungsbeginn für Ihre Branche empfiehlt sich eine anwaltliche Erstprüfung.
Brauchen wir für NIS 2 eine ISO-27001-Zertifizierung?
Nein, eine formelle Zertifizierung ist nicht vorgeschrieben. NIS 2 verlangt einen risikobasierten, angemessenen Schutz mit Maßnahmen in den zehn Pflichtbereichen. Ein etabliertes ISMS — sei es nach ISO 27001, BSI-Grundschutz oder dem österreichischen Sicherheitshandbuch — erleichtert allerdings die Nachweisführung und gilt aufsichtsbehördlich als anerkannter Stand der Technik.
Was passiert, wenn wir einen Sicherheitsvorfall nicht melden?
Die Verletzung der Meldepflicht ist ein eigenständiger Tatbestand mit dem vollen Bußgeldrahmen — bis 10 Mio Euro bzw. 2 % des Jahresumsatzes bei wesentlichen Einrichtungen. Hinzu treten zivilrechtliche Risiken: Geschädigte Kunden oder Lieferanten können aus der unterlassenen Information eigenständige Schadenersatzansprüche ableiten. Wir empfehlen einen klar definierten internen Meldeprozess mit benannten Verantwortlichen und Eskalationsstufen.
Das Wichtigste auf einen Blick
- › Anwendungsbereich: 18 Sektoren, ab 50 Mitarbeitern (wichtige) bzw. 250 (wesentliche) Einrichtungen automatisch erfasst.
- › Pflichten: Zehn Mindest-Sicherheitsmaßnahmen, dokumentiertes ISMS, Lieferketten-Steuerung, Schulungspflicht.
- › Meldung: 24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung, Abschlussbericht binnen einem Monat.
- › Haftung: Geschäftsführung persönlich verantwortlich, Tätigkeitsverbot als Sanktion möglich.
- › Bußgeld: bis 10 Mio Euro oder 2 % des weltweiten Jahresumsatzes — wirkt unmittelbar.
Jetzt unverbindlich anfragen
Füllen Sie das Formular aus und beschreiben Sie Ihre Situation. Wir melden uns in Kürze bei Ihnen.
Wie wir Ihnen helfen können
Wir begleiten Salzburger und österreichweit tätige Unternehmen bei der NIS-2-Erstprüfung, der Gap-Analyse zum bestehenden Sicherheitsniveau, der Erstellung der erforderlichen Konzepte und Richtlinien sowie der Schulung der Leitungsorgane. Im Krisenfall — wenn ein Sicherheitsvorfall eingetreten ist und die Meldepflicht läuft — koordinieren wir die Behördenkommunikation, die Information der Vertragspartner und die Sicherung der Beweismittel. Kontaktieren Sie uns: Wir klären Ihre Betroffenheit, zeigen die nächsten Schritte und nennen vor dem Mandat eine konkrete Honorar-Spanne.