NIS 2 – alle reden davon. Aber betrifft es mein Unternehmen?

Was ist NIS 2?

Die europäische NIS-2-Richtlinie verschärft die Anforderungen an die Cybersicherheit für Unternehmen in kritischen und wichtigen Sektoren.

In Österreich erfolgt die Umsetzung durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026).

Betroffene Unternehmen sind verpflichtet, ein systematisches Informationssicherheits-Risikomanagement einzuführen und nachweislich umzusetzen. Dazu zählen insbesondere:

• Multi-Faktor-Authentifizierung (MFA)
• Backup- und Recovery-Konzepte
• Schwachstellenmanagement
• Lieferketten- und Drittparteienmanagement
• Dokumentations- und Nachweispflichten
• Incident-Reporting innerhalb enger Fristen
• Regelmäßige Schulungen von Geschäftsleitung und Mitarbeitenden
• Überprüfung der Wirksamkeit der Maßnahmen

Wesentlich:

Die Geschäftsleitung trägt ausdrücklich Verantwortung für Umsetzung und Überwachung der Cybersicherheitsmaßnahmen. Bei Verstößen drohen erhebliche Bußgelder sowie persönliche Haftung.

Registrierungspflicht ab 01.10.2026

Jedes Unternehmen muss eigenständig prüfen, ob es in den Anwendungsbereich fällt.

Betroffene Unternehmen sind verpflichtet, sich ab 01.10.2026 zu registrieren.

Die spätere Einstufung als „wesentliche“ oder „wichtige“ Einrichtung beeinflusst die Intensität der Aufsicht und Sanktionen – für die Erstprüfung der Betroffenheit ist diese Unterscheidung jedoch noch nicht entscheidend.

Schritt 1: Tätigkeiten, die unabhängig von der Unternehmensgröße betroffen sind

Unabhängig von Umsatz oder Mitarbeitendenzahl sind folgende Einrichtungen betroffen:

• (Qualifizierte) Vertrauensdienste-Anbieter (Firmen, die z.B. sichere elektronische Unterschriften oder elektronische Einschreiben anbieten, um rechtsverbindliche Transaktionen im digitalen Raum zu ermöglichen)
• TLD-Namenregister (die „Listenführer“ für Internetadressen unter einer Endung wie .at oder .com – sie wissen, welche Domain wem gehört)
• DNS-Diensteanbieter (so etwas wie „Telefonbücher“ des Internets: Sie übersetzen einen Namen wie www.beispiel.at in die die entsprechende IP-Adresse umwandeln, unter der der jeweilige Rechner im Netzwerk erreichbar ist)
• Einrichtungen die bereits aufgrund der RL über die Resilienz kritischer Einrichtungen (2022/2557) von der Behörde als solche eingestuft worden sind
• Anbieter öffentlicher elektronischer Kommunikationsnetze
• Anbieter öffentlich zugänglicher Kommunikationsdienste
• Von der Cybersicherheitsbehörde als wesentlich eingestufte Einrichtungen

Schritt 2: Mittlere Unternehmen in bestimmten Sektoren

Bereits mittlere Unternehmen können betroffen sein.

Achten Sie genau auf die Definition „mittleres Unternehmen“

Eine Einrichtung gilt als mittleres Unternehmen, wenn sie:

• mindestens 50 Mitarbeitende beschäftigt oder
• einen Jahresumsatz von über 10 Mio. Euro erzielt und
• eine Jahresbilanzsumme von über 10 Mio. Euro aufweist
  (sofern sie nicht bereits als Großunternehmen gilt)

Betroffene Sektoren (Auszug)

Anlage 1 – besonders kritische Sektoren (u.a.) [1]

• Energie (Elektrizität, Fernwärme/-kälte, Erdöl, Erdgas, Wasserstoff)
• Verkehr (Luft-, Schienen-, Schiffs- und Straßenverkehr)
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trink- und Abwasser
• Digitale Infrastruktur (z.B. Netzeinrichtungen, DNS-Diensteanbieter, Rechenzentrumsdienste, etc.)
• Verwaltung von IKT-Diensten (B2B)
• Weltraum (Bodeninfrastruktur)

Anlage 2 – weitere relevante Sektoren (u.a.) [2]

• Post- und Kurierdienste
• Abfallbewirtschaftung (als Haupttätigkeit)
• Chemische Industrie (NACE-Abteilung 20)
• Lebensmittelproduktion und -vertrieb
• Medizinprodukt-Produktion und In-vitro-Diagnostika
• Herstellung von Datenverarbeitungsgeräten, Elektronik und optischen Erzeugnisse (NACE-Abteilung 26)
• Herstellung von elektrischen Ausrüstungen (NACE-Abteilung 27)
• Maschinenbau (NACE-Abteilung 28)
• Fahrzeugbau (NACE-Abteilungen 29 und 30)
• Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschung

Wichtig: Die genaue Betroffenheit ergibt sich aus der Detailbeschreibung in den jeweiligen Anlagen. Nicht jede Tätigkeit innerhalb eines Sektors ist automatisch umfasst (z. B. sind bestimmte Anschlussbahnen im Eisenbahnsektor ausgenommen).

Die Rolle der NACE- bzw. ÖNACE-Codes

Einige Tätigkeiten sind explizit an NACE-Codes geknüpft.

Die wirtschaftliche Zuordnung erfolgt durch Statistik Austria auf Basis europäischer Klassifikationen, um diese für Meldungen und Statistiken zu kategorisieren.

Jedes Unternehmen verfügt zumindest über einen entsprechenden Code.

Praxis-Tipp:

• Die relevanten NACE-Abteilungen sind die ersten zwei Ziffern des vierstelligen Codes.
• Klären Sie Ihren Code mit Buchhaltung oder Controlling. Auch Personen, die Zugang zum Unternehmensportal haben, können ihnen hier weiterhelfen
• Bei Unstimmigkeiten ist eine Änderung möglich – allerdings nur über ein formelles Verfahren bei Statistik Austria (mit entsprechendem Zeitbedarf vor 01.10.2026).

Handlungsempfehlung: So gehen Sie strukturiert vor

Da eine gesetzliche Prüfpflicht besteht, sollten Unternehmen:

1. Frühzeitig mit der Analyse beginnen
2. Die eigene Tätigkeit exakt den Anlagen zuordnen
3. Das Prüfergebnis dokumentieren
4. Bei Unsicherheiten fachliche Unterstützung einholen
5. Bei Betroffenheit rechtzeitig mit der Umsetzung beginnen

Fazit

NIS 2 ist kein IT-Thema allein – es ist ein Governance-, Haftungs- und Risikomanagement-Thema auf Geschäftsleitungsebene.

Die zentrale Frage lautet nicht mehr:
„Ob wir betroffen sind?“

Sondern:
„Haben wir die Betroffenheit bereits rechtssicher geprüft und dokumentiert?“

Unsere Unterstützung

Wir unterstützen Sie im Informationssicherheitsrecht – insbesondere bei:

• Prüfung der Betroffenheit
• rechtssicherer Dokumentation
• Aufbau von Gesetzesregistern
• laufender Beobachtung von Rechtsänderungen
• strategischer Begleitung der Umsetzung

Sprechen Sie uns gerne an.

Quellen:

_{[1] https://www.ris.bka.gv.at/Dokumente/Bundesnormen/NOR40273915/I_94_2025__Anlage_1.pdf}

_{[2] https://www.ris.bka.gv.at/Dokumente/Bundesnormen/NOR40273914/I_94_2025__Anlage_2.pdf}