NIS 2 Status in Österreich
Österreich setzt die NIS 2 Richtlinie über eine Novelle des Netz- und Informationssystemsicherheitsgesetzes (NISG) um. Die EU Ebene gilt parallel und ist der Maßstab für Ihre Pflichten.
Was sich in Österreich ändert
Der Ausgangspunkt ist europäisch. Die Richtlinie (EU) 2022/2555 (NIS 2) legt die Pflichten fest. Die Durchführungsverordnung (EU) 2024/2690 der Kommission macht die technischen und methodischen Anforderungen für digitale Infrastruktur, IKT Dienstleistungsmanagement und digitale Anbieter in jedem Mitgliedstaat unmittelbar anwendbar, ohne nationale Umsetzung.
Österreich setzt die Richtlinie durch eine Novelle des bestehenden Netz- und Informationssystemsicherheitsgesetzes (NISG) um. Das ursprüngliche NISG (BGBl I Nr. 111/2018) hat NIS 1 umgesetzt. Die novellierte Fassung trägt NIS 2 in österreichisches Recht.
Wie die meisten EU Mitgliedstaaten hat Österreich die Umsetzungsfrist 17. Oktober 2024 nicht eingehalten. Das Gesetzgebungsverfahren zur NISG Novelle läuft. Bis das novellierte NISG in Kraft tritt, prägen die Richtlinie selbst und die Durchführungsverordnung den Blick von Aufsicht und Prüfern.
EU Richtlinie
Die Mitgliedstaaten erlassen und veröffentlichen bis zum 17. Oktober 2024 die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen.
Richtlinie (EU) 2022/2555, Artikel 41. Die Richtlinie definiert Anwendungsbereich, Governance Pflichten, Risikomanagement und Meldepflichten. Die Mitgliedstaaten mussten bis 17. Oktober 2024 umsetzen.
EU Durchführungsverordnung
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024. Sie regelt die technischen und methodischen Anforderungen für die Einrichtungen aus Anhang I Nummer 8 (digitale Infrastruktur), Nummer 6 (IKT Dienstleistungsmanagement, B2B) und Anhang II Nummer 6 (digitale Anbieter). Sie gilt direkt, ohne österreichische Umsetzung.
Österreichische Umsetzung
Bundesgesetz, mit dem ein Netz- und Informationssystemsicherheitsgesetz erlassen wird (NISG).
Österreich setzt die Richtlinie durch eine Novelle des bestehenden NISG um. Das ursprüngliche NISG (BGBl I Nr. 111/2018) hat NIS 1 umgesetzt. Das novellierte NISG trägt die NIS 2 Pflichten ins österreichische Recht.
Novelliertes NISG
Die NISG Novelle überträgt die Richtlinie in österreichisches Recht. Sie regelt Einrichtungskategorien, Aufsichtsbefugnisse, Registrierungspflichten, Strafen und das Verhältnis zu sektorspezifischen Gesetzen.
Bundesministerium für Inneres (BMI)
Nach dem bestehenden NISG ist das Innenministerium die zentrale Aufsichtsbehörde für Betreiber wesentlicher Dienste. Das novellierte NISG behält diese Rolle für wesentliche und wichtige Einrichtungen. Sektoraufsichten wie E-Control (Energie) und FMA (Finanzmarkt) bleiben bestehen.
EU Frist bereits abgelaufen
Die Richtlinienfrist war der 17. Oktober 2024. Die österreichische Novelle befindet sich im Gesetzgebungsverfahren. Sobald das novellierte NISG in Kraft tritt, beginnen Registrierungsfenster und Meldepflichten zu laufen. Die EU Durchführungsverordnung gilt für die einschlägigen Einrichtungstypen bereits unmittelbar.
Nationales Detail folgt EU Mindestmaß
Die Richtlinie ist ein Mindeststandard. Österreich kann strenger sein, aber nicht milder. Schweigt das novellierte NISG zu einem Punkt, den die Richtlinie verlangt, bleibt die Richtlinie für die Auslegung maßgeblich. Die Durchführungsverordnung gilt unabhängig vom nationalen Text.
Sektorrecht bleibt bestehen
Sektorale Regelungen für Finanzen, Energie und Telekommunikation gelten weiter. Finanzunternehmen folgen DORA (Verordnung (EU) 2022/2554) als lex specialis für Risikomanagement und Meldung. Sie bleiben aber für die Registrierungspflicht nach NIS 2 Artikel 27 über den Mitgliedstaatsmechanismus im Anwendungsbereich.
Bundesministerium für Inneres
Das Innenministerium ist die zentrale NIS Aufsichtsbehörde. Es registriert Einrichtungen, übt Aufsichtsbefugnisse aus, erlässt Anordnungen und verhängt Geldbußen. Im bestehenden NISG liegt diese Rolle beim BMI. Die NISG Novelle behält die zentrale Aufsichtsfunktion beim BMI.
GovCERT.AT und CERT.at
Österreich betreibt zwei nationale CSIRTs. GovCERT.AT beim Bundeskanzleramt versorgt den öffentlichen Sektor. CERT.at bei der nic.at versorgt die Privatwirtschaft und die allgemeine Internetgemeinschaft. Gemeinsam decken sie die nationalen CSIRT Funktionen der Richtlinie ab.
ENISA
Die Agentur der Europäischen Union für Cybersicherheit übt keine Aufsicht aus. Sie veröffentlicht Leitfäden, den EU Cybersecurity Index sowie die technischen Mappings zwischen NIS 2 und ISO 27001, NIST CSF 2.0 und weiteren Rahmenwerken. Österreichische Aufsicht und Prüfer ziehen ENISA Material als Referenz heran.
Das alte NISG gilt weiter, also ändert sich nichts
Das ursprüngliche NISG deckt nur NIS 1 ab. NIS 2 weitet den Anwendungsbereich deutlich aus: 18 Sektoren, größenbezogene Einstufung, Registrierungspflichten, Governance Pflichten für die Leitung. Selbst bevor das novellierte NISG in Kraft tritt, gelten für die einschlägigen Einrichtungstypen aus der Durchführungsverordnung bereits unmittelbar anwendbare Regeln.
Nur große Unternehmen sind betroffen
Die Richtlinie setzt die Untergrenze bei mittleren Einrichtungen nach Empfehlung 2003/361/EG (ab 50 Beschäftigten oder mehr als 10 Mio. EUR Jahresumsatz und Bilanzsumme) in den gelisteten Sektoren. Ausnahmen in Artikel 2 erfassen kleinere Einrichtungen in bestimmten Fällen (Alleinanbieter, Kritikalität, öffentliche Verwaltung). Österreich darf strenger sein als dieser Mindeststandard, aber nicht milder.
Nur Betreiber kritischer Infrastruktur sind betroffen
Das NIS 1 Modell Österreichs konzentrierte sich auf Betreiber wesentlicher Dienste und Anbieter digitaler Dienste. NIS 2 ersetzt das durch wesentliche und wichtige Einrichtungen in 18 Sektoren. Ein mittelständischer Abfallentsorger, ein Medizinproduktehersteller oder ein Lebensmittelproduzent kann im Anwendungsbereich liegen, ohne jemals als kritische Infrastruktur eingestuft worden zu sein.
Die meisten österreichischen KMU stellen dieselbe erste Frage: gilt die NISG Novelle schon. Die ehrliche Antwort Mitte 2026 ist, dass das Gesetzgebungsverfahren läuft und die EU Frist bereits abgelaufen ist. Das pausiert Ihre Arbeit nicht. Die Richtlinie und die Durchführungsverordnung geben den Inhalt vor. Kommt die NISG Novelle, bestätigt sie die Aufsichtsmechanik.
Behandeln Sie die NIS 2 Pflichten als Ihr Referenzdokument. Prüfen Sie die Anwendbarkeit gegen Anhang I und II der Richtlinie sowie die Größenschwellen, nicht gegen die ältere NISG Liste wesentlicher Dienste. Sobald das novellierte NISG in Kraft tritt, startet das Registrierungsfenster; Unternehmen, die Scope und Assets bereits kartiert haben, sind ab Tag eins bereit.
Unsere Anwendbarkeitsprüfung nutzt die Richtlinie und die Durchführungsverordnung als Primärquellen. Die österreichische Ebene wird dort ergänzt, wo es zählt: das NISG, das BMI als Aufsicht, die CSIRT Kontakte. Die Plattform setzt nicht voraus, dass die NISG Novelle in Kraft ist, um ein funktionierendes Pflichtenregister zu liefern.
Die Compliance Pipeline (Assets, Risiken, Lieferanten, Vorfälle, Schulung, Freigaben) ist über alle Mitgliedstaaten identisch. Landesspezifische Regeln erscheinen als zusätzliche Fragen und Verweise, nie als getrennter Workflow.
- Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 (NIS 2 Richtlinie)
- Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024
- Netz- und Informationssystemsicherheitsgesetz (NISG), BGBl I Nr. 111/2018 (ursprüngliche NIS 1 Umsetzung)
- Österreichisches Parlament: Gesetzgebungsverfahren zur NISG Novelle (parlament.gv.at)
- Bundesministerium für Inneres (BMI), nis.gv.at
- GovCERT.AT (govcert.gv.at) und CERT.at (cert.at)
- ENISA Umsetzungsleitfäden und Referenzmappings zu NIS 2