Ab 1. Oktober 2026 gelten die neuen Cybersicherheitspflichten des NISG 2026 — der österreichischen Umsetzung der EU-Richtlinie NIS-2. Rund 4.000 Unternehmen sind betroffen. Doch viele wissen noch nicht, ob sie dazugehören. Dieser Schnellcheck gibt Ihnen in wenigen Minuten eine erste Einschätzung.
Das NISG 2026 gilt grundsätzlich für Unternehmen ab mittlerer Größe. Das bedeutet: mindestens 50 Mitarbeiter oder mindestens 10 Millionen Euro Jahresumsatz und eine Bilanzsumme von über 10 Millionen Euro. Kleine Unternehmen sind in der Regel nicht betroffen — mit einer wichtigen Ausnahme: Wenn Sie Teil der Lieferkette eines betroffenen Unternehmens sind, können auch für Sie indirekte Pflichten gelten.
Ihr Unternehmen muss in einem der 18 regulierten Sektoren tätig sein. Das NISG 2026 unterscheidet zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren.
Sektoren mit hoher Kritikalität: Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff), Transport (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, Abwasserentsorgung, digitale Infrastruktur (Rechenzentren, Cloud, CDN), IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung und Weltraum.
Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Herstellung und Handel mit chemischen Stoffen, Lebensmittelproduktion und -vertrieb, verarbeitendes Gewerbe (Medizinprodukte, Datenverarbeitung, Elektronik, Optik, Maschinenbau, Kraftfahrzeuge), Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschungseinrichtungen.
Das NISG 2026 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen — mit unterschiedlichen Konsequenzen. Wesentliche Einrichtungen sind große Unternehmen (ab 250 Mitarbeiter oder 50 Mio. EUR Umsatz) in Sektoren mit hoher Kritikalität. Für sie gelten strengere Aufsichtsmaßnahmen und höhere Strafen (bis 10 Mio. EUR). Wichtige Einrichtungen sind mittlere Unternehmen in allen 18 Sektoren. Die Strafen sind etwas niedriger (bis 7 Mio. EUR), aber die Grundpflichten sind dieselben.
Auch wenn Ihr Unternehmen auf den ersten Blick nicht betroffen scheint, gibt es Sonderfälle: Unternehmen, die alleiniger Anbieter eines Dienstes in einem Mitgliedstaat sind. Unternehmen, bei denen eine Störung systemische Auswirkungen haben könnte. Und Unternehmen in der Lieferkette kritischer Einrichtungen, die vertraglich zur Einhaltung bestimmter Sicherheitsstandards verpflichtet werden.
Wenn Ihr Schnellcheck ergibt, dass Sie wahrscheinlich betroffen sind, sollten Sie jetzt handeln. Die Registrierungsfrist läuft bis 31. Dezember 2026, aber die Pflichten gelten bereits ab 1. Oktober 2026. Ein typischer Compliance-Fahrplan umfasst eine Gap-Analyse Ihrer bestehenden Sicherheitsmaßnahmen, die Implementierung eines dokumentierten Risikomanagementsystems, die Einrichtung von Meldeprozessen für Cybervorfälle (24-Stunden-Frist), Schulungen für die Geschäftsführung und Mitarbeiter sowie die Registrierung im nationalen Register.
Sie sind unsicher, ob Ihr Unternehmen betroffen ist? In einem kostenlosen 20-Minuten-Erstgespräch analysieren wir gemeinsam Ihre Situation. Als Certified NIS Expert mit Management-Hintergrund erkläre ich die Anforderungen in Geschäftssprache — nicht in Juristendeutsch. Jetzt Termin vereinbaren.
Die NIS-2-Richtlinie der EU erweitert den Kreis der betroffenen Unternehmen drastisch. Während die bisherige NIS-Richtlinie in Österreich nur rund 100 Unternehmen betraf, rechnet das Bundesministerium für Inneres mit mehreren tausend Organisationen, die unter das neue NISG 2026 fallen. Die Betroffenheit hängt primär von zwei Faktoren ab: der Branche und der Unternehmensgröße.
Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro in den 18 definierten Sektoren sind potenziell betroffen. Dazu zählen unter anderem Energie, Transport, Gesundheit, digitale Infrastruktur und verarbeitendes Gewerbe. Auch Zulieferer in der Lieferkette können erfasst werden. Die Wirtschaftskammer Österreich (WKO) bietet ebenfalls Informationen zur Betroffenheitsprüfung.
Wer unsicher ist, ob sein Unternehmen betroffen ist, sollte nicht abwarten. Die Übergangsfristen sind knapp bemessen, und eine frühzeitige Abklärung verschafft wertvolle Vorbereitungszeit. Die ENISA stellt ergänzende Ressourcen zur Selbsteinstufung bereit.
Bleiben Sie mit den neuesten Artikeln zu Technologie, Gesundheit, Finanzen und mehr auf dem Laufenden. Entdecken Sie aufschlussreiche Inhalte für eine fundierte Entscheidungsfindung.
Legal4Startups
Legal4Startups
Legal4Startups
Legal4Startups
Legal4Startups
Legal4Startups
