Zum Hauptinhalt springen
Zurück zum Blog
IT-Sicherheit

NIS2 für KMU in Österreich: Was das NISG 2026 ab 1. Oktober 2026 bedeutet

Am 1. Oktober 2026 tritt in Österreich das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) in Kraft – die nationale Umsetzung der EU-Richtlinie NIS2. Damit gelten erstmals verbindliche Cybersicherheitspflichten für geschätzt über 5.000 Unternehmen in Österreich, darunter sehr viele KMU. Wer betroffen ist, hat dann nur noch wenige Monate Zeit, um Risikomanagement, Meldewege und Geschäftsführer-Schulungen umzusetzen – sonst drohen Bußgelder von bis zu 10 Millionen Euro und persönliche Haftung der Leitung. In diesem Ratgeber erklärt Krempl-IT, was im NISG 2026 steht, wer betroffen ist und welche Schritte Sie jetzt einleiten sollten.

Was ist NIS2 und warum kommt das NISG 2026?

NIS2 steht für die EU-Richtlinie 2022/2555, die im Januar 2023 in Kraft trat. Sie ist der Nachfolger der ersten NIS-Richtlinie und deutlich strenger: Mehr Sektoren, niedrigere Größenschwellen, härtere Strafen und persönliche Verantwortung der Geschäftsführung.

Die EU verlangte von allen Mitgliedstaaten, NIS2 bis 17. Oktober 2024 in nationales Recht umzusetzen. Österreich verpasste diesen Termin: Der erste Entwurf (NISG 2024) scheiterte im Juli 2024 im Nationalrat an der nötigen Zwei-Drittel-Mehrheit. Erst am 12. Dezember 2025 beschloss das Parlament das überarbeitete NISG 2026, das am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht wurde. Inkrafttreten: 1. Oktober 2026.

Wer das Thema bisher aufgeschoben hat, sollte spätestens jetzt aktiv werden – die Übergangsfristen sind kurz.

Wer ist von NIS2 betroffen?

Die Betroffenheit ergibt sich aus zwei Stufen: Größe und Sektor.

Größenkriterien (Size-Cap-Rule)

Grundsätzlich erfasst NIS2 Unternehmen, die mindestens eines dieser Kriterien erfüllen:

  • 50 oder mehr Beschäftigte, ODER
  • Jahresumsatz oder Bilanzsumme über 10 Millionen Euro

Schon ein einzelnes Kriterium reicht. Klein- und Kleinstunternehmen unter dieser Schwelle sind in der Regel ausgenommen – mit wichtigen Ausnahmen (siehe unten).

Die 18 betroffenen Sektoren

Das NISG 2026 listet zwei Anlagen mit insgesamt 18 Sektoren:

Anlage 1 – Sektoren mit hoher Kritikalität (11 Sektoren):

  • Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
  • Verkehr (Straße, Schiene, Luft, Wasser)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (Rechenzentren, DNS, Cloud, CDN, TK-Netze)
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren (7 Sektoren):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung, Vertrieb)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes/herstellendes Gewerbe (z.B. Maschinenbau, Medizinprodukte, Elektrotechnik, Kfz-Zulieferer)
  • Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Gerade Anlage 2 trifft viele klassische steirische KMU – vom Lebensmittelhersteller über den Maschinenbau-Zulieferer bis zum mittelständischen Online-Shop.

Wesentliche vs. wichtige Einrichtungen

Innerhalb der betroffenen Unternehmen unterscheidet das NISG 2026 zwei Klassen:

Klasse Wer fällt darunter? Aufsicht
Wesentliche Einrichtungen Große Unternehmen (≥250 Beschäftigte oder >50 Mio. € Umsatz und >43 Mio. € Bilanz) in Anlage-1-Sektoren ex-ante UND ex-post (proaktive Audits möglich)
Wichtige Einrichtungen Alle übrigen betroffenen Unternehmen (mittlere Unternehmen in Anlage 1, alle Unternehmen in Anlage 2) nur ex-post (Prüfung bei konkretem Anlass)

Die Unterscheidung wirkt sich vor allem auf Aufsicht und maximale Strafhöhe aus.

Ausnahmen: Wenn Größe egal ist

Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter NIS2 – auch dann, wenn sie nur wenige Mitarbeiter haben:

  • DNS-Diensteanbieter
  • TLD-Registries
  • Qualifizierte Vertrauensdiensteanbieter (z.B. nach eIDAS)
  • Anbieter öffentlicher Telekommunikationsnetze und -dienste
  • Bestimmte Einrichtungen der öffentlichen Verwaltung
  • Einrichtungen, die als alleinige Anbieter eines Dienstes für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten unentbehrlich sind

Selbst-Check: Bin ich betroffen?

Arbeiten Sie diese Punkte der Reihe nach durch:

  • Schritt 1 – Sektor prüfen: Fällt Ihr Hauptgeschäft in einen der 18 Sektoren aus Anlage 1 oder 2?
  • Schritt 2 – Größe prüfen: Haben Sie ≥50 Beschäftigte oder >10 Mio. € Umsatz/Bilanzsumme?
  • Schritt 3 – Sonderfall prüfen: Sind Sie DNS-/TLD-Anbieter, qualifizierter Vertrauensdienst oder TK-Anbieter?
  • Schritt 4 – Lieferkette prüfen: Beliefern Sie ein größeres Unternehmen, das selbst NIS2-betroffen ist?

Treffen Schritt 1 + Schritt 2 zu, sind Sie sehr wahrscheinlich direkt betroffen. Trifft Schritt 3 zu, sind Sie unabhängig von der Größe betroffen. Trifft nur Schritt 4 zu, sind Sie indirekt über vertragliche Anforderungen betroffen.

Im Zweifel hilft die offizielle Anlaufstelle NISG unter nis.gv.at oder eine individuelle Beratung durch Krempl-IT.

Lieferketten-Effekt: Warum auch nicht-betroffene KMU handeln müssen

Auch wer formal nicht betroffen ist, spürt NIS2 in der Praxis: Eine der zehn Kernpflichten ist die Lieferkettensicherheit. Wesentliche und wichtige Einrichtungen müssen ihre Dienstleister, Software-Lieferanten und IT-Partner auf Cyber-Risiken prüfen und vertraglich Sicherheitsanforderungen einfordern.

Konkret heißt das für Zulieferer und Dienstleister von NIS2-Unternehmen:

  • Fragebögen zur Cybersicherheit, die Sie ausfüllen müssen
  • Vertragliche Klauseln zu Meldepflichten, Patch-Zeiten und Datenschutz
  • Audit-Rechte des Auftraggebers
  • Zertifikatsanforderungen (z.B. ISO 27001, TISAX, BSI IT-Grundschutz)

Wer hier nicht liefern kann, verliert Aufträge. Cybersicherheit wird damit zum Wettbewerbsfaktor – nicht erst ab Oktober 2026.

Die 10 Risikomanagementmaßnahmen nach NISG 2026

Das Gesetz schreibt zehn technische und organisatorische Mindestmaßnahmen vor. Sie müssen dokumentiert, regelmäßig geprüft und an die Geschäftsleitung berichtet werden:

  • Risikoanalyse und Sicherheitskonzepte – inklusive Rollen, Verantwortlichkeiten und Weisungsbefugnissen
  • Bewältigung von Cybersicherheitsvorfällen – Incident-Response-Plan, klare Eskalationswege
  • Business Continuity – Backup-Management (3-2-1-Regel), Krisenmanagement und Notfallwiederherstellung
  • Lieferkettensicherheit – Risikobewertung von Dienstleistern und Software-Anbietern
  • Sicherheit beim Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  • Cyberhygiene und Schulungen – inklusive verpflichtender Geschäftsführer-Schulung
  • Kryptografie und Verschlüsselung – wo erforderlich, mit dokumentierten Richtlinien
  • Personalsicherheit, Zugriffskontrolle, Asset-Management – inkl. Hintergrundüberprüfungen, wo angemessen
  • Multi-Faktor-Authentifizierung (MFA) und sichere Sprach-, Video- und Textkommunikation
  • Bewertung der Wirksamkeit der getroffenen Maßnahmen (kontinuierliche Verbesserung)

Diese Liste ist die Mindestlatte. Wer sie nur auf dem Papier umsetzt, riskiert bei einem Vorfall die volle Strafhöhe.

Meldefristen bei Cybervorfällen: 24h – 72h – 1 Monat

Eine der einschneidendsten Neuerungen ist die dreistufige Meldepflicht bei erheblichen Sicherheitsvorfällen. Anlaufstelle in Österreich ist CERT.at als nationales CSIRT.

  • Innerhalb von 24 Stunden ab Kenntnis: Frühwarnung an CERT.at, mit erstem Verdacht auf Ursache und möglicher grenzüberschreitender Auswirkung
  • Innerhalb von 72 Stunden: Erstmeldung mit Bewertung des Schweregrads, Auswirkungen und ersten Indikatoren
  • Innerhalb eines Monats: Abschlussbericht mit detaillierter Beschreibung des Vorfalls, Ursache, getroffenen Gegenmaßnahmen und grenzüberschreitenden Auswirkungen

Die Frist beginnt mit der Erkennung des Vorfalls – nicht mit der vollständigen Analyse. Wer den 24-Stunden-Cut verpasst, riskiert zusätzliche Sanktionen, auch wenn der Vorfall selbst nicht vom Unternehmen verschuldet wurde.

Wer parallel von Phishing-Angriffen oder Datenschutzverletzungen betroffen ist, muss zusätzlich die DSGVO-Meldepflicht an die Datenschutzbehörde innerhalb von 72 Stunden beachten.

Strafen und persönliche Haftung der Geschäftsführung

Das NISG 2026 setzt die NIS2-Sanktionsrahmen voll um. Im Wiederholungs- oder Vorsatzfall können Strafen schmerzhaft werden:

Verstoß / Klasse Maximale Geldstrafe
Wesentliche Einrichtungen bis 10 Mio. € oder 2 % des weltweiten Konzernjahresumsatzes (jeweils der höhere Wert)
Wichtige Einrichtungen bis 7 Mio. € oder 1,4 % des weltweiten Konzernjahresumsatzes
Organisatorische Pflichtverletzungen (kleinere Verstöße) bis 50.000 €, im Wiederholungsfall bis 100.000 €

Neu und besonders relevant für KMU: Die Geschäftsleitung haftet persönlich. Sie ist ausdrücklich verantwortlich für die Genehmigung, Überwachung und Schulung zu den Risikomanagementmaßnahmen. Cybersecurity ist nicht mehr mit dem Satz „darum kümmert sich die IT" delegierbar. Bei wiederholten oder schweren Verstößen sieht das Gesetz neben Geldstrafen auch ein vorübergehendes Tätigkeitsverbot für Geschäftsführer wesentlicher Einrichtungen vor.

Auch deshalb schreibt das Gesetz verpflichtende Cybersecurity-Schulungen für die Leitungsorgane vor – Geschäftsführer von GmbHs, Vorstände von Aktiengesellschaften und vergleichbare Funktionen müssen nachweisen, dass sie das Thema verstehen.

Wichtige Fristen-Timeline 2026/2027

Datum Was ist zu tun?
1. Oktober 2026 Inkrafttreten NISG 2026
31. Dezember 2026 Registrierungsfrist (3 Monate nach Inkrafttreten): Eintrag bei der Cybersicherheitsbehörde
Ab Inkrafttreten Meldepflichten (24h/72h/1 Monat) gelten sofort
30. September 2027 Selbstdeklaration (12 Monate nach Inkrafttreten): Bericht zur Umsetzung der Risikomanagementmaßnahmen

Die Übergangsfrist von 12 Monaten klingt großzügig – ist sie aber nicht: Risikoanalyse, Konzeptarbeit, Dokumentation, Schulungen, Lieferanten-Audits und technische Maßnahmen brauchen realistisch sechs bis zwölf Monate.

5-Punkte-Plan: Was Sie jetzt tun sollten

Egal ob Sie sicher betroffen sind oder „nur" über die Lieferkette: Diese fünf Schritte sollten Sie in den nächsten Wochen angehen.

  • Betroffenheit klären – mit dem Selbst-Check oben oder einer Beratung. Halten Sie das Ergebnis schriftlich fest, auch wenn Sie nicht betroffen sind.
  • Ist-Stand der IT-Sicherheit aufnehmen – ein strukturierter IT-Sicherheitscheck zeigt, wo Sie heute stehen: Backups, MFA, Patch-Management, Awareness, Notfallplan.
  • Lücken priorisieren und Maßnahmenplan erstellen – nicht alles auf einmal, aber mit klarem Zeitplan bis Herbst 2026. Backups, MFA und Incident-Response-Plan haben höchste Priorität.
  • Geschäftsführung schulen und einbinden – die Pflicht zur GF-Schulung ist neu und wird kontrolliert. Planen Sie sie früh ein.
  • Lieferkette prüfen – welche Dienstleister und Software-Anbieter sind sicherheitskritisch? Welche Verträge müssen ergänzt werden?

Wer jetzt beginnt, hat bis Oktober 2026 ausreichend Zeit. Wer wartet, gerät unter Druck – und produziert hektisch teure Notlösungen.

Krempl-IT: NIS2-Beratung für Weiz, Hartberg und die Oststeiermark

Als IT-Dienstleister in der Region begleiten wir KMU durch die NIS2-Umsetzung – pragmatisch, ohne Compliance-Theater, mit klarem Fokus auf das, was Ihr Unternehmen wirklich schützt:

  • NIS2-Betroffenheitsanalyse – schriftliche Einschätzung, ob und in welcher Klasse Sie betroffen sind
  • Risikoanalyse und Sicherheitskonzept – nach den zehn Mindestmaßnahmen des NISG 2026
  • Incident-Response-Plan – inklusive Meldewege und Eskalationsmatrix für 24h/72h/1 Monat
  • MFA, Patch-Management, Backup – technische Umsetzung mit Microsoft 365 Security oder Open-Source-Lösungen wie Nextcloud
  • Geschäftsführer- und Mitarbeiterschulungen – inklusive Phishing-Awareness und sicherem Umgang mit sensiblen Daten
  • Lieferantenmanagement – Fragebögen, Vertragsanhänge, Audit-Vorlagen
  • Laufende Betreuung über unser strukturiertes Vorgehen – damit aus dem einmaligen Projekt ein dauerhaftes Sicherheitsniveau wird

Wir betreuen Unternehmen in Weiz, Gleisdorf, St. Ruprecht an der Raab, Birkfeld, Hartberg, Pöllau, Vorau, Passail und im Großraum Graz – sowohl vor Ort als auch per Fernwartung.

Fazit

NIS2 ist kein abstraktes EU-Thema, sondern wird ab 1. Oktober 2026 für tausende österreichische KMU sehr konkret. Wer in einem der 18 Sektoren tätig ist, mehr als 50 Mitarbeiter hat oder einen NIS2-pflichtigen Kunden beliefert, sollte jetzt mit der Umsetzung beginnen. Die gute Nachricht: Vieles, was NIS2 verlangt – Backups, MFA, Awareness, Incident-Response – ist ohnehin gute IT-Sicherheitspraxis. Wer das jetzt sauber aufsetzt, erfüllt NISG 2026 und schützt sein Unternehmen real vor Ransomware, Phishing und Betriebsausfällen.

Sie sind unsicher, ob Sie betroffen sind, oder möchten die Umsetzung strukturiert angehen? Kontaktieren Sie uns für ein unverbindliches NIS2-Erstgespräch oder nutzen Sie für akute Fragen unsere Fernwartung – wir sagen Ihnen ehrlich, wo Sie stehen und welche Schritte für Ihr Unternehmen wirklich Sinn machen.

Quellen

Weitere Artikel

IT-Sicherheit

Cyber-Versicherung KMU 2026: Pflicht & Kosten

Cyber-Versicherung für KMU 2026: Was Unternehmen in Weiz & Hartberg wissen müssen – Voraussetzungen, Kosten, häufige Ablehnungsgründe. Jetzt anfragen!

Weiterlesen
IT-Sicherheit

Windows 11 Migration für KMU: Pflicht 2026

Windows 10 ist seit Oktober 2025 ohne Support. Was KMU bei der Windows 11 Migration in Weiz & Hartberg jetzt tun müssen – DSGVO, ESU, Hardware. Jetzt anfragen!

Weiterlesen
IT-Sicherheit

Phishing erkennen & vermeiden

Phishing erkennen und sich schützen – E-Mail, SMS, QR-Code & KI-Betrug. Tipps für Privatpersonen & Unternehmen. Jetzt informieren!

Weiterlesen
Anrufen Kontakt