Zum Inhalt springen
7.35Fortgeschritten8 min

NIS-2 Betroffenheitsprüfung Österreich: Selbsteinstufung nach NISG Schritt für Schritt

Blck Alpaca·
Definition

Die NIS-2-Betroffenheit in Österreich richtet sich nach dem NISG 2026, das die EU-Richtlinie (EU) 2022/2555 umsetzt. Betroffen sind grundsätzlich mittlere und größere Unternehmen (ab 50 Mitarbeitenden oder über 10 Mio. EUR Umsatz) in 18 Sektoren. Anders als im gescheiterten Vorentwurf gilt Selbsteinstufung statt behördlichem Bescheid.

Auf einen Blick

  • Das NISG 2026 wurde am 12. Dezember 2025 vom Nationalrat beschlossen, am 23. Dezember 2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft - Österreich liegt damit deutlich hinter der EU-Frist (17. Oktober 2024).
  • Die Größen-Grundregel folgt der EU-Definition mittlerer Unternehmen: ab 50 Mitarbeitenden ODER mehr als 10 Mio. EUR Jahresumsatz bzw. Jahresbilanzsumme, kombiniert mit einer Tätigkeit in einem der 18 erfassten Sektoren.
  • Das NISG 2026 unterscheidet wesentliche und wichtige Einrichtungen - die Einstufung bestimmt Aufsichtsintensität und Sanktionsrahmen, beide Kategorien haben Pflichten.
  • Kernneuerung: Systemwechsel zu Selbsteinstufung und Selbstdeklaration statt behördlichem Bescheid; zudem entfällt das Konzernprivileg, Gesellschaften werden grundsätzlich einzeln betrachtet.
  • Die Betroffenheitsprüfung ersetzt keine Rechtsberatung - Sonderfälle (kritische Tätigkeit unabhängig von der Größe, Lieferkette) erfordern eine anwaltliche Einzelfallprüfung.

Ob Ihr Unternehmen von NIS-2 betroffen ist, entscheidet sich in Österreich nach dem NISG 2026, das die EU-Richtlinie (EU) 2022/2555 (NIS-2) in nationales Recht umsetzt. Die Grundregel: Erfasst sind grundsätzlich mittlere und größere Unternehmen - also Organisationen ab 50 Mitarbeitenden oder mit mehr als 10 Mio. EUR Jahresumsatz beziehungsweise Bilanzsumme - sofern sie in einem der 18 erfassten Sektoren tätig sind. Neu ist der Systemwechsel zur Selbsteinstufung: Sie müssen Ihre Betroffenheit selbst feststellen, nicht mehr eine Behörde per Bescheid.

Dieser Beitrag führt durch die Selbsteinstufung Schritt für Schritt - mit einer Prüf-Tabelle, einem konkreten Rechenbeispiel und den wichtigsten Sonderfällen. Er ist eine fachliche Orientierung, ersetzt aber keine Rechtsberatung.

  • Größe: Ab 50 Mitarbeitenden oder über 10 Mio. EUR Umsatz/Bilanzsumme (EU-Definition mittlerer Unternehmen).
  • Sektor: Tätigkeit in einem der 18 Sektoren nach Anhang I oder II der NIS-2-Richtlinie.
  • Verfahren: Selbsteinstufung und Selbstdeklaration statt behördlichem Bescheid - die Verantwortung liegt beim Unternehmen.

Rechtsrahmen: NISG 2026 und die Umsetzungsverzögerung

Die NIS-2-Richtlinie (EU) 2022/2555 hätte EU-weit bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Österreich hat diese Frist deutlich überschritten. Der erste Anlauf, das NISG 2024, wurde am 3. Juli 2024 im Nationalrat abgelehnt - die für Teile des Gesetzes nötige Zweidrittelmehrheit wurde verfehlt.

Der überarbeitete Entwurf, das NISG 2026, wurde schließlich am 12. Dezember 2025 vom Nationalrat beschlossen, am 23. Dezember 2025 im Bundesgesetzblatt kundgemacht und tritt neun Monate nach Kundmachung - am 1. Oktober 2026 - in Kraft (Stand 2026). Bis zu diesem Datum besteht in Österreich keine unmittelbar anwendbare nationale NIS-2-Pflicht, doch die Vorbereitung sollte längst laufen.

Das NISG 2026 bringt mehrere strukturelle Neuerungen gegenüber dem 2024er-Entwurf:

  • Errichtung eines Bundesamts für Cybersicherheit im Bundesministerium für Inneres (BMI) als zuständige Cybersicherheitsbehörde.
  • Systemwechsel zu Selbsteinstufung und Selbstdeklaration statt behördlichem Feststellungsbescheid.
  • Wegfall des Konzernprivilegs - Gesellschaften werden grundsätzlich einzeln betrachtet.
  • Überwachungsorgane (zum Beispiel Aufsichtsräte) sind ausdrücklich vom Begriff des "Leitungsorgans" ausgenommen.
  • Ein halbjährlicher (statt jährlicher) Cybersicherheitsbericht.

Der Anwendungsbereich umfasst rund 4.000 Unternehmen in 18 Sektoren. Mitglieder des Leitungsorgans wesentlicher Einrichtungen sind selbst zur Teilnahme an Schulungen und Tests verpflichtet; ein Incident-Response-Team ist einzurichten.

Die zwei Kategorien: wesentliche und wichtige Einrichtungen

Wie die EU-Richtlinie unterscheidet das NISG 2026 zwei Kategorien betroffener Organisationen. Die Einstufung folgt aus dem Zusammenspiel von Sektor (Anhang I oder Anhang II der Richtlinie), Unternehmensgröße und gesetzlich definierten Kritikalitätskriterien.

  • Wesentliche Einrichtungen unterliegen der intensiveren, auch proaktiven Aufsicht. Typischerweise sind dies größere Unternehmen in den besonders kritischen Sektoren des Anhang I (etwa Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur).
  • Wichtige Einrichtungen werden primär anlassbezogen beaufsichtigt - die Behörde wird also vor allem nach einem Vorfall oder Hinweis tätig. Hierunter fallen unter anderem mittlere Unternehmen in Anhang-I-Sektoren sowie Einrichtungen aus den Anhang-II-Sektoren.

Wichtig für die Selbsteinstufung: Beide Kategorien haben Pflichten. Die Verantwortung der Geschäftsleitung greift nach der NIS-2-Logik nicht nur bei den wesentlichen Einrichtungen. Artikel 20 der NIS-2-Richtlinie verlangt, dass das Leitungsorgan die Risikomanagementmaßnahmen billigt, ihre Umsetzung überwacht und für Verstöße zur Verantwortung gezogen werden kann. Erwägungsgrund 137 stellt klar, dass diese Verantwortung greifen kann, wenn das Leitungsorgan seinen Governance-Pflichten nicht nachgekommen ist - selbst ohne erfolgreichen Angriff. Haftung knüpft also an die Pflichtverletzung, nicht an den Schaden.

Sanktionen verhängt in Österreich nicht die Cybersicherheitsbehörde selbst, sondern die Bezirksverwaltungsbehörden; der Strafrahmen ist analog zu den NIS-2-Vorgaben ausgestaltet.

Die Prüf-Tabelle: Selbsteinstufung Schritt für Schritt

Arbeiten Sie die folgenden Kriterien der Reihe nach ab. Erst wenn Größe und Sektor zutreffen (oder ein Sonderfall greift), ist eine Betroffenheit wahrscheinlich.

Kriterium

Schwelle / Prüffrage

Konsequenz

Mitarbeitendenzahl

50 oder mehr Beschäftigte (Vollzeitäquivalente)

Größenkriterium erfüllt (ein Wert genügt)

Jahresumsatz

Mehr als 10 Mio. EUR

Größenkriterium erfüllt (ein Wert genügt)

Jahresbilanzsumme

Mehr als 10 Mio. EUR

Größenkriterium erfüllt (alternativ zum Umsatz)

Sektorzugehörigkeit

Tätigkeit in einem der 18 Sektoren (Anhang I oder II)

Sektorkriterium erfüllt

Anhang I vs. Anhang II

Besonders kritischer Sektor (Anhang I) oder sonstiger kritischer Sektor (Anhang II)?

Indiz für wesentliche vs. wichtige Einrichtung

Sonderfall / kritische Tätigkeit

Wird ein kritischer Dienst unabhängig von der Größe erbracht?

Betroffenheit möglich trotz Unterschreiten der Größenschwelle

Konzernstruktur

Einzelgesellschaft isoliert betrachtet (kein Konzernprivileg)

Jede Einheit prüft eigenständig

Registrierung

Selbsteinstufung ergibt Betroffenheit

Selbstdeklaration / Registrierungspflicht beim Bundesamt

Die Größenschwellen (50 Mitarbeitende, 10 Mio. EUR) entsprechen der EU-Definition mittlerer Unternehmen. Die genaue Zuordnung der 18 Sektoren zu Anhang I und Anhang II sowie die Detailregeln zu verbundenen und Partnerunternehmen ergeben sich aus der Richtlinie und dem NISG 2026 - hier lohnt im Grenzfall die rechtliche Prüfung.

Konkretes Beispiel: drei Unternehmen im Vergleich

Fall A - Mittelständischer IT-Dienstleister (Managed Services), Wien. 70 Mitarbeitende, 14 Mio. EUR Umsatz. Größenkriterium erfüllt (70 ≥ 50 und 14 Mio. > 10 Mio.). Der Sektor "digitale Dienste / IKT-Dienstleistungsmanagement" zählt zu den erfassten Sektoren. Ergebnis: betroffen, voraussichtlich als wichtige Einrichtung. Selbstdeklaration erforderlich.

Fall B - Regionaler Energieversorger. 40 Mitarbeitende, 9 Mio. EUR Umsatz. Die reine Größenbetrachtung läge unter beiden Schwellen. Energie ist jedoch ein besonders kritischer Sektor (Anhang I), in dem Sonderfall-Regelungen unabhängig von der Größe greifen können. Ergebnis: Betroffenheit trotz kleiner Größe möglich - hier ist die Einzelfallprüfung entscheidend, eine pauschale Entwarnung wäre falsch.

Fall C - Werbe- und Marketingagentur, 30 Mitarbeitende, 6 Mio. EUR Umsatz. Weder Größenschwelle erreicht noch ein erfasster Kernsektor einschlägig. Ergebnis: nicht direkt betroffen. Aber Achtung beim Lieferketten-Effekt: Wenn die Agentur für eine wesentliche Einrichtung kritische Dienste erbringt, kann sie über vertragliche Anforderungen ihres Kunden faktisch zu NIS-2-konformen Sicherheitsmaßnahmen verpflichtet werden - ohne selbst registrierungspflichtig zu sein.

Die Fälle zeigen das Grundmuster: Größe und Sektor gemeinsam bilden die Regel, doch Sonderfälle und Lieferketten können das Ergebnis verschieben.

Registrierungspflicht und nächste Schritte

Führt Ihre Selbsteinstufung zu einer Betroffenheit, folgt die Selbstdeklaration beziehungsweise Registrierung beim Bundesamt für Cybersicherheit. Da kein behördlicher Bescheid mehr ergeht, der Sie aktiv informiert, liegt die Bringschuld vollständig bei Ihnen. Eine unterlassene oder fehlerhafte Einstufung kann sanktioniert werden.

Praktische Reihenfolge zur Vorbereitung auf den 1. Oktober 2026:

  1. Größe und Sektor erheben - Mitarbeitende, Umsatz, Bilanzsumme und die konkrete Tätigkeit dokumentieren.
  2. Kategorie bestimmen - wesentliche oder wichtige Einrichtung, anhand Anhang-Zuordnung und Kritikalität.
  3. Sonderfälle und Konzernstruktur prüfen - jede Gesellschaft einzeln, Lieferkettenanforderungen mitdenken.
  4. Rechtliche Absicherung im Grenzfall - bei unklarer Sektorzuordnung oder Beteiligungsverhältnissen.
  5. Governance aufsetzen - Risikomanagementmaßnahmen, Incident-Response-Team, Schulung des Leitungsorgans, Meldeprozesse.

Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Die verbindliche Beurteilung der NIS-2-Betroffenheit - insbesondere bei Grenzfällen, Sektorzuordnung und Lieferkettenfragen - erfordert eine anwaltliche Einzelfallprüfung.

Für B2B-Entscheider und Agenturen

Für B2B-Entscheider ist die Selbsteinstufung kein einmaliger Akt, sondern eine wiederkehrende Pflicht: Wächst Ihr Unternehmen über eine Schwelle oder ändert sich die Tätigkeit, kann sich die Einstufung ändern. Verankern Sie die Prüfung als festen Bestandteil Ihrer Compliance-Routine und dokumentieren Sie das Ergebnis revisionssicher - das Leitungsorgan trägt die Verantwortung.

Für Marketing- und Digitalagenturen lohnt der doppelte Blick: Die meisten Agenturen unterschreiten die direkte Betroffenheitsschwelle, geraten aber über Kunden in regulierten Sektoren in die Lieferkette. Wer für wesentliche oder wichtige Einrichtungen arbeitet, sollte Sicherheits- und Nachweisanforderungen frühzeitig in Angebote und Verträge einplanen - das wird zunehmend zum Auswahlkriterium im Pitch. Als Agentur in Wien begleiten wir Sie bei der strukturierten Aufbereitung Ihrer Cybersecurity- und Content-Kommunikation rund um NIS-2 - die juristische Einstufung selbst gehört in die Hände einer spezialisierten Rechtsberatung.

Häufig gestellte Fragen

Ab welcher Unternehmensgröße greift NIS-2 in Österreich?
Die Grundregel folgt der EU-Definition mittlerer Unternehmen: erfasst sind grundsätzlich Unternehmen ab 50 Mitarbeitenden oder mit mehr als 10 Mio. EUR Jahresumsatz bzw. Jahresbilanzsumme - sofern sie in einem der 18 vom NISG 2026 erfassten Sektoren tätig sind. Unterhalb dieser Schwelle besteht in der Regel keine direkte Betroffenheit, mit Ausnahme gesetzlich definierter Sonderfälle (etwa kritische Dienste). Die Größe allein entscheidet nicht - Sektor und Tätigkeit müssen zusammenkommen.
Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?
Das NISG 2026 übernimmt die NIS-2-Logik der zwei Kategorien. Wesentliche Einrichtungen unterliegen einer intensiveren, auch proaktiven Aufsicht; wichtige Einrichtungen werden primär anlassbezogen beaufsichtigt. Beide Kategorien müssen Risikomanagementmaßnahmen umsetzen, Vorfälle melden und sich registrieren. Die Einstufung hängt von Sektor (Anhang I oder II der Richtlinie), Größe und gesetzlich definierten Kritikalitätskriterien ab und sollte im Zweifel rechtlich geprüft werden.
Was bedeutet Selbsteinstufung beim NISG 2026 konkret?
Anders als der gescheiterte NISG-2024-Entwurf sieht das NISG 2026 keinen behördlichen Bescheid mehr vor, der die Betroffenheit feststellt. Stattdessen müssen Unternehmen selbst prüfen, ob sie unter das Gesetz fallen (Selbsteinstufung), und sich gegebenenfalls aktiv selbst registrieren bzw. deklarieren (Selbstdeklaration). Die Verantwortung für die korrekte Einstufung liegt damit beim Unternehmen - eine falsche oder unterlassene Einstufung kann Sanktionen auslösen.
Mein Unternehmen ist Teil eines Konzerns - zählt die Konzerngröße?
Nach dem NISG 2026 entfällt das Konzernprivileg: Gesellschaften werden grundsätzlich einzeln betrachtet. Jede rechtlich selbstständige Einheit prüft ihre Betroffenheit eigenständig anhand ihrer eigenen Größe und Tätigkeit. Eine Tochtergesellschaft kann also betroffen sein, ohne dass die gesamte Gruppe es ist - oder umgekehrt. Bei verbundenen oder partnerschaftlichen Beteiligungen sind die Detailregeln der EU-KMU-Definition relevant, was eine sorgfältige Einzelfallprüfung erfordert.
Ab wann gilt das NISG 2026 und warum so spät?
Das NISG 2026 wurde am 12. Dezember 2025 vom Nationalrat beschlossen, am 23. Dezember 2025 kundgemacht und tritt neun Monate später am 1. Oktober 2026 in Kraft. Österreich liegt damit deutlich hinter der EU-Umsetzungsfrist vom 17. Oktober 2024. Grund ist der erste, gescheiterte Anlauf: Der NISG-2024-Entwurf wurde am 3. Juli 2024 im Nationalrat abgelehnt, weil die nötige Zweidrittelmehrheit verfehlt wurde. Erst der überarbeitete Entwurf fand die erforderliche Mehrheit.
Ersetzt diese Betroffenheitsprüfung eine Rechtsberatung?
Nein. Dieser Beitrag bietet eine fachliche Orientierung, aber keine Rechtsberatung. Die NIS-2-Betroffenheit hängt von Detailregeln zu Sektoren (Anhang I/II), Größenklassen, Beteiligungsverhältnissen und Sonderfällen ab, die im Einzelfall komplex sind. Für eine verbindliche Einstufung - insbesondere bei Grenzfällen, Lieferkettenanforderungen oder unklarer Sektorzuordnung - sollten Sie eine anwaltliche Einzelfallprüfung einholen.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
NächsterNIS-2 Meldepflichten: Die 24-Stunden-Frühwarnung in der Praxis