NIS2 Richtlinie in Österreich

Wenn Cyberangriffe reale Anlagen stoppen können

NIS2 ist eine EU-Richtlinie, mit der die Europäische Union ihre kritische Infrastruktur vor Cyberangriffen schützen will. Energie, Wasser, Industrie, Transport und andere OT-getriebene Bereiche stehen besonders im Fokus – weil Angriffe hier Versorgung und Produktion unmittelbar stören können. Das österreichische NISG 2026 setzt diese Vorgaben national um.

Ziel dieser Seite: Einmal lesen – und Sie wissen, was NIS2 ist, ob Sie betroffen sind und welche OT-/KRITIS-Themen jetzt wirklich zählen.

Das Wichtigste in 60 Sekunden

Worum geht’s bei NIS2?

Die EU will verhindern, dass Cyberangriffe Europa nachhaltig stören – insbesondere dort, wo digitale Angriffe physische Auswirkungen haben: Versorgung, Verkehr, Produktion, kritische Dienste.

Fokus: Resilienz statt „IT-Papier“

Schützen

Ziel von NIS2 ist die Sicherstellung der Versorgung und Betriebsfähigkeit – auch im Cyberangriff.

Die EU will verhindern, dass digitale Angriffe zu realen Schäden führen, etwa durch:

Ausfälle von Energie-, Wasser- oder Verkehrssystemen
Stillstände in Industrie und Produktion
Beeinträchtigung zentraler digitaler Dienste

Der Fokus liegt daher nicht auf Papier-Compliance, sondern auf Resilienz und Krisenfestigkeit in der Praxis.NIS2 richtet sich dabei ausdrücklich nicht nur an klassische IT-Systeme, sondern auch an operative Technologien (OT), deren Ausfall reale Auswirkungen auf Versorgung, Produktion und Sicherheit haben kann.

Umsetzen

Betroffene Unternehmen müssen Cybersicherheit messbar und wirksam umsetzen – in IT und OT.

Konkret heißt das:

Risiken systematisch identifizieren und priorisieren
Technische und organisatorische Maßnahmen umsetzen um Risiken zu reduzieren
Cybervorfälle erkennen, steuern und fristgerecht melden
Verantwortlichkeiten und Entscheidungen auf Management-Ebene verankern
Alles so dokumentieren, dass es prüfbar und nachvollziehbar ist

Kurz: Sicherer Betrieb wird zur gesetzlichen Pflicht – und zur Führungsaufgabe.

... in allen Bereichen

Lieferkette
Die beste IT- und OT-Sicherheit nützt nichts, wenn der Lieferant das Passwort auf einem Post-it am Bildschirm klebt. Sie müssen daher dafür Sorge tragen, dass Ihre Lieferanten IT-Sicherheit ernst nehmen.

Personal & Awareness
Die beste technische Absicherung hilft nicht, wenn Mitarbeitende Warnsignale ignorieren oder Vorfälle aus Unsicherheit nicht melden. Entscheidend ist daher, dass Beschäftigte Risiken erkennen, korrekt handeln und im Ernstfall die richtigen Schritte setzen.

Technische Maßnahmen
Eine Reaktion ist unmöglich, wenn niemand bemerkt, dass ein Angriff läuft. Entscheidend ist daher, dass sicherheitsrelevante Ereignisse zentral erfasst, überwacht und rechtzeitig erkannt werden.

NISG 2026 (Österreich): Das nationale Umsetzungsgesetz konkretisiert Zuständigkeiten, Verfahren, Aufsicht und Sanktionen. Details können je nach finalem Gesetzestext und Behördenleitfäden variieren. Diese Seite fokussiert die Kernprinzipien, die in der Praxis zählen.

Wen betrifft NIS2 / NISG 2026 – besonders im OT-Umfeld?

Grundsätzlich: Organisationen in kritischen/wichtigen Sektoren – ab einer bestimmten Größe – sowie ausgewählte Anbieter kritischer Services.

Merksatz: Branche + Größe

Schritt 1: Gehört Ihr Unternehmen zu einem betroffenen Sektor?

Energie
Verkehr
Trinkwasser
Abwasser
Gesundheitswesen
Bankwesen
Finanzmarktinfrastrukturen
Digitale Infrastruktur
Verwaltung von IKT-Diensten (z. B. MSP, Rechenzentren)
Öffentliche Verwaltung
Weltraum
Post- und Kurierdienste
Abfallbewirtschaftung
Chemie
Lebensmittel
Verarbeitendes / produzierendes Gewerbe
Anbieter digitaler Dienste
Forschung (teilweise fakultativ)

Schritt 2: Ist Ihr Unternehmen „groß“ genug?

Die Einstufung richtet sich nach Mitarbeiterzahl, Jahresumsatz und Bilanzsumme.

Ein Unternehmen gilt als betroffen, wenn mindestens eines der folgenden Kriterien erfüllt ist (und es in einem der Sektoren aus Schritt 1 tätig ist):

≥ 50 Mitarbeiter, oder
> 10 Mio. € Jahresumsatz bzw. 10 Mio. € Bilanzsumme

Beispiel: Sie sind ein Abfall-Entsorger und beschäftigen mehr als 50 Mitarbeiter –> NIS2 trifft auf Ihr Unternehmen zu

Auch kleinere Unternehmen (z.B. IT-Dienstleister, Anbieter digitaler Infrastruktur) können betroffen sein. Das muss man sich im Detail ansehen!

Wesentlich vs. Wichtig

NIS2 unterscheidet typischerweise wesentliche und wichtige Einrichtungen. Abhängig vom Sektor in dem das betroffene Unternehmen tätig ist, sind wesentliche Einrichtungen zumeist ab 250 Mitarbeiter bzw. einem Jahresumsatz von 50 Mio. EUR einzustufen.

Die Einstufung als wesentliche oder wichtige Einrichtung hat keine Auswirkungen auf die Maßnahmen, die Sie umsetzen müssen – die Umsetzung ist in beiden Fällen gleich.

Es gibt allerdings Unterschiede im Bereich des Strafausmaßes (ab 1,4% Jahresumsatz bzw. 7 Mio. EUR) und in der regelmäßigen Überwachung. Während wichtige Einrichtungen nur stichprobenartig oder im Anlassfall geprüft werden, müssen wesentliche Einrichtungen durch regelmäßige Audits nachweisen dass Sie NIS2 erfüllen.

Was ist zu tun? Die wichtigsten Pflichten – OT-tauglich erklärt

NIS2 verlangt keine „Magie“, sondern solide Sicherheitsorganisation. Entscheidend sind Risikomanagement, Incident Management und Nachweisbarkeit – in IT und OT.

Fokus auf Must-haves

1) Risikobasierte Maßnahmen

Risikobild für IT, OT und hybride Systeme (inkl. Altanlagen)
Netzsegmentierung, sichere Zonen/Übergänge (IT/OT)
Fernzugriff & Herstellerzugänge sauber regeln
Backup/Recovery & Wiederanlauf für kritische Prozesse
Lieferkettensicherheit (Integratoren, OT-Lieferanten, MSP)

2) Vorfälle erkennen, steuern, melden

Incident Response: Rollen, Eskalation, Entscheidungswege
OT-taugliches Monitoring/Logging (ohne Prozesse zu gefährden)
Playbooks für typische OT-Szenarien (Ransomware, Fernwartung, Netzstörung)
Meldewege und Kommunikationsplan (intern/extern)

3) Management & Governance

Leitung steuert, priorisiert und verantwortet (nicht delegierbar)
Policies, Rollen, Kontrollen – nachweisbar und gelebte Praxis
Briefings/Schulungen für Führungskräfte (inkl. OT-Risiken)
Dokumentation, Self-Audits, regelmäßige Reviews

Wichtig in der Praxis: In OT ist „Patchen“ oft nicht die erste Maßnahme. Häufig wirken Segmentierung, Fernzugriffskontrolle, Monitoring, sichere Backups und geübte Wiederanlaufpläne schneller und zuverlässiger – ohne Stillstände zu erzwingen.

So starten Sie pragmatisch – ohne Großprojekt

Erst Klarheit schaffen, dann Lücken priorisieren, danach umsetzen – und alles so dokumentieren, dass es bei Nachfragen Bestand hat. In OT zählt: sicherer Betrieb statt Theorie.

OT-/KRITIS-Realität im Fokus

Betroffenheit klären

Branche, Größe, Services, KRITIS-Rolle, Tochterunternehmen, kritische Abhängigkeiten.

Know-how aufbauen, Geschäftsführer schulen

Die Leitungsorgane müssen die Maßnahmen überwachen und billigen – dazu müssen Sie erst wissen worum es geht.

Status Check & Prioritäten

Must-haves zuerst: Wo stehen wir, welche Risiken sind vorhanden, welche muss man sofort anpacken.

Roadmap umsetzen

Maßnahmenpakete, Verantwortliche, Fristen, Budget – ohne Verfügbarkeit/Produktion zu gefährden.

Nachweis & Übung & laufende Pflege

Self-Audits, Tabletop-Übungen, Wiederanlauf testen, Melde-/Krisenabläufe proben.

Bereit für Klarheit zu NIS2 / NISG 2026 – speziell für OT/KRITIS?

90 Minuten meiner Zeit um Sie so rasch wie möglich mit dem Thema vertraut zu machen, abzuklären wo Sie stehen und Klarheit für die nächsten Schritte zu schaffen. Sparen Sie sich die Recherche – ich bringe Sie auf kürzestem Weg dort hin.

FAQ – die 15 wichtigsten Fragen zu NIS2 (inkl. OT/KRITIS)

Kurzantworten, damit Sie schnell entscheiden können, was für Ihr Unternehmen relevant ist.

Einsteigerfreundlich

1) Was ist NIS2 in einem Satz?

NIS2 ist eine EU-Richtlinie, die kritische und wichtige Unternehmen verpflichtet, Cybersicherheit risikobasiert umzusetzen und erhebliche Vorfälle strukturiert zu managen und zu melden.

2) Warum macht die EU das?

Weil Cyberangriffe Versorgung, Produktion und Sicherheit beeinträchtigen können. NIS2 soll verhindern, dass Europa durch Angriffe nachhaltig gestört werden kann – besonders in KRITIS-Sektoren.

3) Was ist das NISG 2026?

Das NISG 2026 ist das österreichische Umsetzungsgesetz, das NIS2 national umsetzt (Zuständigkeiten, Verfahren, Aufsicht, Sanktionen).

4) Betrifft mich das überhaupt?

Das hängt von Branche, Größe und Versorgungsrolle ab. Bei Energie, Wasser, Abwasser, Transport, Industrie/Produktion und zentralen IT-Diensten ist die Wahrscheinlichkeit höher. Eine Betroffenheitsprüfung bringt Klarheit. Sehen Sie dazu unseren Abschnitt weiter oben oder kontaktieren Sie uns – wir helfen Ihnen bei der Einschätzung.

5) Betrifft NIS2 auch OT (SCADA/PLC/Leittechnik)?

Ja – häufig sogar besonders. Wenn OT-Ausfälle Versorgung oder Produktion stören können, ist OT-Sicherheit ein Kernbestandteil der NIS2-Umsetzung.

6) Was sind „wesentliche“ und „wichtige“ Einrichtungen?

NIS2 unterscheidet typischerweise zwei Kategorien mit unterschiedlicher Aufsicht/Prüf-Logik. In beiden Fällen sind wirksame Sicherheitsmaßnahmen und saubere Prozesse erforderlich. Die Unterschiede liegen im Umfang der behördlichen Kontrollen und im Strafrahmen bei Nicht-Einhaltung. Siehe dazu unseren Absatz weiter oben.

7) Muss ich ISO 27001 einführen?

Nein, nicht zwingend. NIS2 verlangt ein nachweisbares Sicherheitsniveau. ISO 27001 kann ein guter Weg sein – in OT braucht es oft ergänzende technische/operative Maßnahmen. Auf jeden Fall ist ISO 27001 ein guter Ansatz – aber kein Muß.

8) Welche Maßnahmen werden „typisch“ erwartet?

Risikomanagement, Segmentierung (IT/OT), sichere Fernzugriffe, Monitoring/Logging, Backup/Recovery, Lieferkettensicherheit, klare Rollen/Prozesse, Awareness und regelmäßige Reviews – dokumentiert und geübt.

9) Wie lässt sich OT-Sicherheit umsetzen, ohne den Betrieb zu gefährden?

Mit OT-tauglichen Prioritäten: Zonen/Segmentierung, Zugriffskontrolle, kontrollierte Fernwartung, Monitoring ohne Prozessrisiko, sichere Backups und getestete Wiederanläufe. Patchen erfolgt geplant und risikobewusst.

10) Was ist ein „erheblicher“ Vorfall?

Typischerweise ein Vorfall mit spürbarer Auswirkung auf Verfügbarkeit, Integrität oder Vertraulichkeit eines wichtigen Dienstes – z. B. Anlagenstillstand, Steuerungsbeeinflussung, massiver IT/OT-Ausfall oder Datenabfluss.

11) Was sind die wichtigsten Fristen?

Das NISG2026 tritt ab 1.10.2026 in Kraft, ab dann sind die Maßnahmen zu z.B. Risikomanagement verpflichtend. 3 Monate später (bis 31.12.2026) müssen betroffene Unternehmen sich selbst registriert haben. Bis 30.9.2027 müssen Sie dann die ergriffenen Maßnahmen im Zuge einer Selbstdeklaration an die Behörden übermitteln. Ab 1.10.2028 können betroffene Unternehmen auch geprüft werden.

12) Was muss die Geschäftsführung konkret tun?

Priorisieren und steuern: Verantwortlichkeiten festlegen, Budget und Ressourcen sichern, Status regelmäßig einfordern, Schulungen wahrnehmen und sicherstellen, dass Maßnahmen wirksam und nachweisbar umgesetzt werden.

13) Welche Rolle spielt die Lieferkette (Integratoren, Hersteller, Dienstleister)?

Eine zentrale Rolle. Sie müssen sicherstellen, dass Lieferanten dass Thema Cybersicherheit ernst nehmen. Fernwartung und externe Abhängigkeiten müssen in Risikoanalyse, Mindeststandards, Verträge, Monitoring und Notfallpläne eingebunden sein – gerade im OT-Umfeld.

14) Was ist der schnellste sinnvolle erste Schritt?

Betroffenheit klären und eine kompakte IT/OT-Ist-Stand-Aufnahme durchführen. Danach eine priorisierte Roadmap (Must-haves zuerst) sowie Incident-/Krisenabläufe definieren und üben. Auch die obligatorische Führungskräfteschulung ist ein guter Startpunkt um Know-how ins Unternehmen zu bringen.

15) Was passiert, wenn wir nichts tun?

Erhöhtes Ausfall- und Haftungsrisiko – und je nach Einstufung behördliche Maßnahmen, Prüfungen und Sanktionen. In der Praxis ist der größte Schaden oft die Betriebsunterbrechung. Und ja, es gibt auch Strafen – für wichtige Einrichtungen ab 1,4% Jahresumsatz bzw. 7 Mio. EUR bis hin zu 2% bzw. 10 Mio. EUR bei wesentlichen Einrichtungen.

Hinweis: Diese Seite ist eine verständliche Orientierung. Verbindlich sind die jeweils anwendbaren Rechtsgrundlagen und behördlichen Vorgaben (EU NIS2 und das nationale Umsetzungsgesetz).