Preskočiť na obsah
7.35Pokročilý8 min

Preverenie dotknutosti NIS-2 v Rakúsku: Samozaradenie podľa NISG krok za krokom

Blck Alpaca·
Definition

Dotknutosť NIS-2 v Rakúsku sa riadi zákonom NISG 2026, ktorý implementuje smernicu EÚ (EÚ) 2022/2555. Dotknuté sú v zásade stredné a väčšie podniky (od 50 zamestnancov alebo nad 10 mil. EUR obratu) v 18 sektoroch. Na rozdiel od neúspešného predchádzajúceho návrhu platí samozaradenie namiesto úradného rozhodnutia.

Key Takeaways

  • Zákon NISG 2026 bol 12. decembra 2025 schválený Národnou radou, 23. decembra 2025 vyhlásený a nadobúda účinnosť 1. októbra 2026 - Rakúsko tak výrazne zaostáva za lehotou EÚ (17. október 2024).
  • Základné pravidlo veľkosti sa riadi definíciou EÚ pre stredné podniky: od 50 zamestnancov ALEBO viac ako 10 mil. EUR ročného obratu, resp. ročnej bilančnej sumy, v kombinácii s činnosťou v jednom z 18 zachytených sektorov.
  • Zákon NISG 2026 rozlišuje základné a dôležité subjekty - zaradenie určuje intenzitu dohľadu a sankčný rámec, obe kategórie majú povinnosti.
  • Kľúčová novinka: systémová zmena na samozaradenie a samodeklaráciu namiesto úradného rozhodnutia; navyše odpadá koncernové privilégium, spoločnosti sa v zásade posudzujú jednotlivo.
  • Preverenie dotknutosti nenahrádza právne poradenstvo - osobitné prípady (kritická činnosť nezávisle od veľkosti, dodávateľský reťazec) si vyžadujú advokátske preskúmanie jednotlivého prípadu.

To, či je váš podnik dotknutý NIS-2, sa v Rakúsku rozhoduje podľa zákona NISG 2026, ktorý implementuje smernicu EÚ (EÚ) 2022/2555 (NIS-2) do národného práva. Základné pravidlo: zachytené sú v zásade stredné a väčšie podniky - teda organizácie od 50 zamestnancov alebo s viac ako 10 mil. EUR ročného obratu, prípadne bilančnej sumy - pokiaľ sú činné v jednom z 18 zachytených sektorov. Novinkou je systémová zmena na samozaradenie: svoju dotknutosť musíte zistiť sami, už nie úrad prostredníctvom rozhodnutia.

Tento príspevok prevedie samozaradením krok za krokom - s preverovacou tabuľkou, konkrétnym výpočtovým príkladom a najdôležitejšími osobitnými prípadmi. Je odbornou orientáciou, no nenahrádza právne poradenstvo.

  • Veľkosť: Od 50 zamestnancov alebo nad 10 mil. EUR obratu/bilančnej sumy (definícia EÚ pre stredné podniky).
  • Sektor: Činnosť v jednom z 18 sektorov podľa prílohy I alebo II smernice NIS-2.
  • Postup: Samozaradenie a samodeklarácia namiesto úradného rozhodnutia - zodpovednosť leží na podniku.

Právny rámec: NISG 2026 a oneskorenie implementácie

Smernica NIS-2 (EÚ) 2022/2555 mala byť v celej EÚ implementovaná do národného práva do 17. októbra 2024. Rakúsko túto lehotu výrazne prekročilo. Prvý pokus, NISG 2024, bol 3. júla 2024 v Národnej rade zamietnutý - nedosiahla sa dvojtretinová väčšina potrebná pre časti zákona.

Prepracovaný návrh, NISG 2026, bol nakoniec 12. decembra 2025 schválený Národnou radou, 23. decembra 2025 vyhlásený v Spolkovej zbierke zákonov a nadobúda účinnosť deväť mesiacov po vyhlásení - 1. októbra 2026 (stav 2026). Do tohto dátumu neexistuje v Rakúsku priamo uplatniteľná národná povinnosť NIS-2, no príprava by mala už dávno bežať.

Zákon NISG 2026 prináša viacero štrukturálnych noviniek oproti návrhu z roku 2024:

  • Zriadenie Spolkového úradu pre kybernetickú bezpečnosť na Spolkovom ministerstve vnútra (BMI) ako príslušného úradu pre kybernetickú bezpečnosť.
  • Systémová zmena na samozaradenie a samodeklaráciu namiesto úradného zisťovacieho rozhodnutia.
  • Odpadnutie koncernového privilégia - spoločnosti sa v zásade posudzujú jednotlivo.
  • Dozorné orgány (napríklad dozorné rady) sú výslovne vyňaté z pojmu "riadiaceho orgánu".
  • Polročná (namiesto ročnej) správa o kybernetickej bezpečnosti.

Rozsah pôsobnosti zahŕňa približne 4 000 podnikov v 18 sektoroch. Členovia riadiaceho orgánu základných subjektov sú sami povinní zúčastňovať sa na školeniach a testoch; je potrebné zriadiť tím na reakciu na incidenty (incident-response).

Dve kategórie: základné a dôležité subjekty

Rovnako ako smernica EÚ aj zákon NISG 2026 rozlišuje dve kategórie dotknutých organizácií. Zaradenie vyplýva zo súhry sektora (príloha I alebo príloha II smernice), veľkosti podniku a zákonom definovaných kritérií kritickosti.

  • Základné subjekty podliehajú intenzívnejšiemu, aj proaktívnemu dohľadu. Typicky ide o väčšie podniky v obzvlášť kritických sektoroch prílohy I (napríklad energetika, doprava, bankovníctvo, zdravotníctvo, digitálna infraštruktúra).
  • Dôležité subjekty sú primárne kontrolované podľa konkrétneho podnetu - úrad teda koná predovšetkým po incidente alebo upozornení. Sem patria okrem iného stredné podniky v sektoroch prílohy I, ako aj subjekty zo sektorov prílohy II.

Dôležité pre samozaradenie: obe kategórie majú povinnosti. Zodpovednosť vedenia podniku sa podľa logiky NIS-2 vzťahuje nielen na základné subjekty. Článok 20 smernice NIS-2 vyžaduje, aby riadiaci orgán schválil opatrenia na riadenie rizík, dohliadal na ich zavedenie a aby mohol byť za porušenia braný na zodpovednosť. Odôvodnenie 137 jasne stanovuje, že táto zodpovednosť sa môže vzťahovať, ak si riadiaci orgán nesplnil svoje povinnosti správy (governance) - aj bez úspešného útoku. Zodpovednosť sa teda viaže na porušenie povinnosti, nie na škodu.

Sankcie v Rakúsku neukladá samotný úrad pre kybernetickú bezpečnosť, ale okresné správne úrady; sadzba trestov je koncipovaná analogicky k požiadavkám NIS-2.

Preverovacia tabuľka: samozaradenie krok za krokom

Prejdite nasledujúce kritériá postupne. Až keď platí veľkosť aj sektor (alebo nastane osobitný prípad), je dotknutosť pravdepodobná.

Kritérium

Prahová hodnota / preverovacia otázka

Dôsledok

Počet zamestnancov

50 alebo viac zamestnancov (ekvivalenty plného úväzku)

Veľkostné kritérium splnené (postačí jedna hodnota)

Ročný obrat

Viac ako 10 mil. EUR

Veľkostné kritérium splnené (postačí jedna hodnota)

Ročná bilančná suma

Viac ako 10 mil. EUR

Veľkostné kritérium splnené (alternatívne k obratu)

Príslušnosť k sektoru

Činnosť v jednom z 18 sektorov (príloha I alebo II)

Sektorové kritérium splnené

Príloha I vs. príloha II

Obzvlášť kritický sektor (príloha I) alebo iný kritický sektor (príloha II)?

Indícia pre základný vs. dôležitý subjekt

Osobitný prípad / kritická činnosť

Poskytuje sa kritická služba nezávisle od veľkosti?

Dotknutosť možná napriek nedosiahnutiu veľkostnej prahovej hodnoty

Koncernová štruktúra

Jednotlivá spoločnosť posudzovaná izolovane (žiadne koncernové privilégium)

Každá jednotka preskúma samostatne

Registrácia

Samozaradenie vedie k dotknutosti

Samodeklarácia / povinnosť registrácie na Spolkovom úrade

Veľkostné prahové hodnoty (50 zamestnancov, 10 mil. EUR) zodpovedajú definícii EÚ pre stredné podniky. Presné zaradenie 18 sektorov do prílohy I a prílohy II, ako aj detailné pravidlá o prepojených a partnerských podnikoch vyplývajú zo smernice a zo zákona NISG 2026 - tu sa v hraničnom prípade oplatí právne preskúmanie.

Konkrétny príklad: tri podniky v porovnaní

Prípad A - stredne veľký poskytovateľ IT služieb (managed services), Viedeň. 70 zamestnancov, 14 mil. EUR obratu. Veľkostné kritérium splnené (70 ≥ 50 a 14 mil. > 10 mil.). Sektor "digitálne služby / riadenie služieb IKT" patrí medzi zachytené sektory. Výsledok: dotknutý, pravdepodobne ako dôležitý subjekt. Vyžaduje sa samodeklarácia.

Prípad B - regionálny dodávateľ energie. 40 zamestnancov, 9 mil. EUR obratu. Čisto z hľadiska veľkosti by bol pod oboma prahovými hodnotami. Energetika je však obzvlášť kritický sektor (príloha I), v ktorom môžu nastať pravidlá osobitných prípadov nezávisle od veľkosti. Výsledok: dotknutosť možná napriek malej veľkosti - tu je rozhodujúce preskúmanie jednotlivého prípadu, paušálne uistenie o nedotknutosti by bolo nesprávne.

Prípad C - reklamná a marketingová agentúra, 30 zamestnancov, 6 mil. EUR obratu. Ani veľkostná prahová hodnota nie je dosiahnutá, ani sa neuplatňuje zachytený kľúčový sektor. Výsledok: nie je priamo dotknutá. Pozor však na efekt dodávateľského reťazca: ak agentúra poskytuje kritické služby pre základný subjekt, môže byť prostredníctvom zmluvných požiadaviek svojho zákazníka fakticky zaviazaná k bezpečnostným opatreniam v súlade s NIS-2 - bez toho, aby sama podliehala povinnosti registrácie.

Tieto prípady ukazujú základnú schému: veľkosť a sektor spoločne tvoria pravidlo, no osobitné prípady a dodávateľské reťazce môžu výsledok posunúť.

Povinnosť registrácie a ďalšie kroky

Ak vaše samozaradenie vedie k dotknutosti, nasleduje samodeklarácia, resp. registrácia na Spolkovom úrade pre kybernetickú bezpečnosť. Keďže už neprichádza úradné rozhodnutie, ktoré vás aktívne informuje, povinnosť konať leží úplne na vás. Opomenuté alebo chybné zaradenie môže byť sankcionované.

Praktické poradie pri príprave na 1. október 2026:

  1. Zistite veľkosť a sektor - zdokumentujte zamestnancov, obrat, bilančnú sumu a konkrétnu činnosť.
  2. Určte kategóriu - základný alebo dôležitý subjekt, na základe zaradenia do prílohy a kritickosti.
  3. Preskúmajte osobitné prípady a koncernovú štruktúru - každú spoločnosť jednotlivo, s ohľadom na požiadavky dodávateľského reťazca.
  4. Právne zabezpečenie v hraničnom prípade - pri nejasnom zaradení do sektora alebo podielových vzťahoch.
  5. Nastavte správu (governance) - opatrenia na riadenie rizík, tím na reakciu na incidenty, školenie riadiaceho orgánu, procesy hlásenia.

Upozornenie: Tento príspevok nepredstavuje právne poradenstvo. Záväzné posúdenie dotknutosti NIS-2 - najmä pri hraničných prípadoch, zaradení do sektora a otázkach dodávateľského reťazca - si vyžaduje advokátske preskúmanie jednotlivého prípadu.

Pre B2B rozhodovateľov a agentúry

Pre B2B rozhodovateľov nie je samozaradenie jednorazovým aktom, ale opakujúcou sa povinnosťou: ak váš podnik prerastie cez prahovú hodnotu alebo sa zmení činnosť, môže sa zaradenie zmeniť. Ukotvite preverenie ako pevnú súčasť svojej compliance rutiny a zdokumentujte výsledok spôsobom odolným voči auditu - zodpovednosť nesie riadiaci orgán.

Pre marketingové a digitálne agentúry sa oplatí dvojitý pohľad: väčšina agentúr nedosahuje prahovú hodnotu priamej dotknutosti, dostávajú sa však prostredníctvom zákazníkov v regulovaných sektoroch do dodávateľského reťazca. Kto pracuje pre základné alebo dôležité subjekty, mal by bezpečnostné a preukazovacie požiadavky zahrnúť do ponúk a zmlúv včas - to sa čoraz viac stáva výberovým kritériom v pitchi. Ako agentúra vo Viedni vás sprevádzame pri štruktúrovanom spracovaní vašej komunikácie v oblasti kybernetickej bezpečnosti a obsahu okolo NIS-2 - samotné právne zaradenie patrí do rúk špecializovaného právneho poradenstva.

Často kladené otázky

Od akej veľkosti podniku sa NIS-2 v Rakúsku uplatňuje?
Základné pravidlo sa riadi definíciou EÚ pre stredné podniky: zachytené sú v zásade podniky od 50 zamestnancov alebo s viac ako 10 mil. EUR ročného obratu, resp. ročnej bilančnej sumy - pokiaľ sú činné v jednom z 18 sektorov zachytených zákonom NISG 2026. Pod touto prahovou hodnotou spravidla neexistuje priama dotknutosť, s výnimkou zákonom definovaných osobitných prípadov (napríklad kritické služby). Samotná veľkosť nerozhoduje - sektor a činnosť musia prísť dohromady.
Aký je rozdiel medzi základnými a dôležitými subjektmi?
Zákon NISG 2026 preberá logiku NIS-2 s dvomi kategóriami. Základné subjekty podliehajú intenzívnejšiemu, aj proaktívnemu dohľadu; dôležité subjekty sú primárne kontrolované podľa konkrétneho podnetu. Obe kategórie musia zaviesť opatrenia na riadenie rizík, hlásiť incidenty a registrovať sa. Zaradenie závisí od sektora (príloha I alebo II smernice), veľkosti a zákonom definovaných kritérií kritickosti a v prípade pochybností by malo byť právne preskúmané.
Čo konkrétne znamená samozaradenie pri zákone NISG 2026?
Na rozdiel od neúspešného návrhu NISG 2024 zákon NISG 2026 už nepredpokladá úradné rozhodnutie, ktoré zisťuje dotknutosť. Namiesto toho musia podniky samy preskúmať, či spadajú pod zákon (samozaradenie), a prípadne sa aktívne samy zaregistrovať, resp. deklarovať (samodeklarácia). Zodpovednosť za správne zaradenie tak leží na podniku - nesprávne alebo opomenuté zaradenie môže vyvolať sankcie.
Môj podnik je súčasťou koncernu - počíta sa veľkosť koncernu?
Podľa zákona NISG 2026 odpadá koncernové privilégium: spoločnosti sa v zásade posudzujú jednotlivo. Každá právne samostatná jednotka preskúma svoju dotknutosť samostatne na základe svojej vlastnej veľkosti a činnosti. Dcérska spoločnosť teda môže byť dotknutá bez toho, aby bola dotknutá celá skupina - alebo naopak. Pri prepojených alebo partnerských podieloch sú relevantné detailné pravidlá definície MSP podľa EÚ, čo si vyžaduje dôkladné preskúmanie jednotlivého prípadu.
Odkedy platí zákon NISG 2026 a prečo tak neskoro?
Zákon NISG 2026 bol 12. decembra 2025 schválený Národnou radou, 23. decembra 2025 vyhlásený a nadobúda účinnosť o deväť mesiacov neskôr, 1. októbra 2026. Rakúsko tak výrazne zaostáva za implementačnou lehotou EÚ zo 17. októbra 2024. Dôvodom je prvý, neúspešný pokus: návrh NISG 2024 bol 3. júla 2024 v Národnej rade zamietnutý, pretože sa nedosiahla potrebná dvojtretinová väčšina. Až prepracovaný návrh našiel požadovanú väčšinu.
Nahrádza toto preverenie dotknutosti právne poradenstvo?
Nie. Tento príspevok ponúka odbornú orientáciu, ale nie právne poradenstvo. Dotknutosť NIS-2 závisí od detailných pravidiel o sektoroch (príloha I/II), veľkostných triedach, podielových vzťahoch a osobitných prípadoch, ktoré sú v jednotlivom prípade zložité. Pre záväzné zaradenie - najmä pri hraničných prípadoch, požiadavkách dodávateľského reťazca alebo nejasnom zaradení do sektora - by ste si mali vyžiadať advokátske preskúmanie jednotlivého prípadu.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
NextOznamovacie povinnosti NIS-2: 24-hodinové včasné varovanie v praxi