NIS2 en Austria

Guía de implementación y cumplimiento de NIS2 en Austria.

Este documento presenta información vigente a febrero de 2026. Aunque se han adoptado todas las medidas razonables para verificar la exactitud del contenido, la información se proporciona sin garantía de integridad o exactitud y puede estar sujeta a cambios. Aunque prevemos realizar actualizaciones periódicas de este contenido, se aconseja a los lectores verificar de forma independiente la información crítica.

Austria está implementando el marco reforzado de ciberseguridad de la UE mediante legislación nacional alineada con la Directiva NIS2. Esta guía ofrece una visión estructurada del alcance, las obligaciones, la ejecución y la gobernanza en el régimen nacional de Austria, adaptada para responsables de decisión de PYMES que navegan por los requisitos de cumplimiento de NIS2 en Austria.

1. Instantánea rápida de aplicabilidad para PYMES en Austria

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Austria?

Sí — dependiendo del sector y del tamaño.

Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
Se aplica a entidades establecidas en Austria y, en determinados casos, a proveedores digitales extranjeros que prestan servicios en el mercado austríaco.

Las PYMES en sectores regulados deben evaluar su calificación tempranamente en el régimen nacional de ciberseguridad de Austria.

2. Panorama de la implementación de NIS2 en Austria

Austria está trasponiendo NIS2 a través de la NIS-Gesetz 2024 (NISG 2024), que sustituye y amplía el marco previo de ciberseguridad bajo la Ley de Seguridad de Redes y Sistemas de Información.

La legislación fue adoptada en 2024 para alinearse con la Directiva (UE) 2022/2555 y establece obligaciones actualizadas tanto para Entidades Esenciales como Importantes. La entrada en vigor está vinculada al calendario formal de implementación de Austria y al proceso de notificación a la UE.

La implementación de NIS2 en Austria refleja en gran medida la línea de base de la Directiva. Cuando se introducen aclaraciones sectoriales, estas se alinean con la estructura regulatoria existente de Austria y sus autoridades supervisoras.

3. Ámbito de aplicación en Austria

Entidades esenciales

Entidades que operan en sectores altamente críticos:

Entidades importantes

Entidades que operan en otros sectores enumerados:

Austria no amplía de forma material el alcance sectorial más allá del mínimo de la Directiva en esta fase.

4. Umbrales de tamaño y aplicabilidad a PYMES en Austria

Se aplican los umbrales básicos:

≥50 empleados y
≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios en los sectores cubiertos entran automáticamente en el ámbito de aplicación, salvo exención.

Las empresas pequeñas y micro también pueden quedar sujetas a los requisitos de NIS2 en Austria si son designadas por las autoridades debido a su importancia crítica o relevancia sistémica.

Austria mantiene la facultad de designar entidades cuando esté justificado por la exposición al riesgo, consideraciones de seguridad nacional o relevancia transfronteriza.

5. Marco de clasificación de entidades en Austria

Austria clasifica las entidades dentro del ámbito en:

Entidades Esenciales — Sujetos a una supervisión más estricta, incluidas inspecciones proactivas.
Entidades Importantes — Sujetos principalmente a supervisión reactiva, salvo que los indicadores de riesgo justifiquen la intervención.

La clasificación es automática en función del sector y el tamaño, pero puede ser ajustada por las autoridades competentes. Los reguladores austríacos pueden reclasificar entidades cuando el impacto operativo justifique una supervisión reforzada.

6. Requisitos de gestión de riesgos de ciberseguridad en Austria

El régimen nacional de Austria se alinea estrechamente con la línea de base de la Directiva. Las entidades dentro del ámbito deben implantar medidas técnicas y organizativas proporcionadas que aborden:

Análisis de riesgos y seguridad de los sistemas
Procedimientos de gestión de incidentes
Continuidad de negocio y gestión de crisis
Controles de riesgos de la cadena de suministro
Adquisición y desarrollo seguros de sistemas
Mecanismos de control de acceso
Políticas de cifrado y criptografía
Gestión y divulgación de vulnerabilidades
Formación del personal en ciberseguridad

Las medidas deben reflejar el estado de la técnica y la exposición al riesgo. Se fomenta la alineación con ISO/IEC 27001 y marcos de ciberseguridad reconocidos en Austria.

7. Responsabilidad de la dirección y gobernanza en Austria

Los órganos de administración deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

Los consejos de administración son responsables de la supervisión del cumplimiento.
La alta dirección debe garantizar conocimientos adecuados en ciberseguridad.
Las sanciones administrativas pueden abordar fallos de gobernanza.
La suspensión temporal de funciones directivas puede estar disponible con arreglo a mecanismos alineados con la Directiva.

Las normas de responsabilidad de la dirección bajo NIS2 en Austria enfatizan la responsabilidad a nivel de consejo más que la responsabilidad puramente técnica.

8. Obligaciones de notificación de incidentes en Austria

Definición de un incidente significativo

Un incidente se considera significativo si causa:

Interrupción operativa grave
Pérdidas financieras significativas
Impacto social sustancial
Efectos transfronterizos

Cronograma de notificación

Fase de notificación	Plazo	Autoridad
Alerta temprana	24 horas	Federal Ministry of the Interior (BMI)
Notificación de incidente	72 horas	Federal Ministry of the Interior (BMI)
Informe final	1 mes	Federal Ministry of the Interior (BMI)

9. Autoridades supervisoras y modelo de ejecución en Austria

Autoridad principal: Federal Ministry of the Interior (BMI).

Austria opera un modelo de coordinación centralizada, con apoyo de reguladores sectoriales cuando corresponda.

Supervisory powers include:

Requerimientos de información
Auditorías de seguridad
Inspecciones in situ
Instrucciones de cumplimiento vinculantes
Participación en la coordinación de ciberseguridad de la UE

La estructura de ejecución se integra con los marcos de coordinación de ciberseguridad de la UE.

10. Multas y sanciones NIS2 en Austria

Austria aplica sanciones administrativas alineadas con la Directiva.

Entidades esenciales

Hasta €10 million o 2% del volumen de negocios anual mundial total (lo que sea mayor)

Entidades importantes

Hasta €7 million o 1.4% del volumen de negocios anual mundial total (lo que sea mayor)

La ejecución de las multas de NIS2 en Austria también puede incluir:

Órdenes de subsanación vinculantes
Identificación pública de las entidades incumplidoras
Suspensión de la certificación o la autorización
Facultades de suspensión de funciones directivas

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Austria

Las entidades deben gestionar el riesgo cibernético de terceros mediante:

Diligencia debida de proveedores
Obligaciones contractuales de seguridad
Supervisión continua de proveedores
Examen de proveedores de servicios TIC
Evaluación del riesgo de concentración
Análisis de propagación de incidentes

El marco nacional de Austria se alinea con la línea de base de la Directiva en este ámbito, con énfasis en una supervisión proporcionada de la cadena de suministro.

12. Deberes de registro y autoidentificación en Austria

Entities within scope must:

Registrarse ante las autoridades competentes
Facilitar los datos de identificación corporativa
Comunicar la clasificación sectorial
Mantener la información de contacto actualizada

Los plazos y la mecánica procedimental siguen la norma de ejecución de Austria. Según el estado actual de transposición, Austria sigue el marco base de la Directiva NIS2. Los detalles nacionales de implementación pueden afinar obligaciones específicas.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con el GDPR y otras leyes en Austria

El Reglamento General de Protección de Datos sigue aplicándose de forma concurrente.

Las consideraciones de solapamiento incluyen:

Notificación de violaciones de datos personales en 72 horas
Coordinación de las autoridades de supervisión
Investigaciones paralelas de ciberseguridad y protección de datos
Legislación austriaca específica del sector en materia de ciberseguridad

Un ciberincidente puede activar obligaciones de notificación en ambos marcos normativos.

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Austria son supervisadas por autoridades austríacas para servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Austria pueden estar sujetos a obligaciones locales según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que atienden al mercado austríaco.

15. Calendario de implementación en Austria

Adopción de la Directiva: 2022
Adopción de legislación nacional: 2024
Entrada en vigor: Según el calendario de publicación nacional
Notificación a la Comisión: Pendiente/en curso de alineación
Hito de cumplimiento: Alineado con los plazos de la Directiva

La implementación de NIS2 en Austria refleja el calendario de transposición de la UE sin periodos de gracia extendidos anunciados.

16. Aspectos clave para PYMES en Austria

Las entidades medianas de los sectores cubiertos están automáticamente dentro del ámbito de aplicación.
Las entidades pequeñas pueden ser designadas si son operativamente críticas.
La supervisión de la gobernanza a nivel de consejo es obligatoria.
La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
Las sanciones económicas pueden alcanzar €10 million o 2% del volumen de negocios mundial.
La gestión de riesgos de proveedores es una obligación clave.
La planificación temprana del cumplimiento reduce la exposición a actuaciones de ejecución y sanción.

FAQ: Guía NIS2 para PYMES en Austria

¿NIS2 se aplica a las pequeñas empresas en Austria?

Las pequeñas empresas generalmente están excluidas salvo designación o si operan en sectores altamente críticos. Las entidades medianas que cumplen los umbrales de tamaño quedan automáticamente cubiertas.

¿Cuáles son las multas de NIS2 en Austria?

Las Entidades Esenciales se enfrentan a sanciones de hasta €10 million o 2% del volumen de negocios anual global. Las Entidades Importantes afrontan hasta €7 million o 1.4% del volumen de negocios anual global.

¿Cuándo entra en vigor NIS2 en Austria?

Austria adoptó la legislación de implementación en 2024. La entrada en vigor se alinea con los procesos de publicación nacional y notificación a la UE.

¿Quién hace cumplir NIS2 en Austria?

El Federal Ministry of the Interior (BMI) actúa como autoridad supervisora principal, coordinando con reguladores sectoriales cuando corresponda.

¿Pueden los directores ser personalmente responsables bajo NIS2 en Austria?

Los órganos de dirección deben aprobar y supervisar las medidas de ciberseguridad. Las autoridades pueden imponer consecuencias administrativas, incluidas facultades de suspensión en casos graves.

¿En qué se diferencia NIS2 del GDPR en Austria?

NIS2 regula la gestión del riesgo de ciberseguridad y la resiliencia operativa. GDPR se centra en la protección de datos personales. Ambos pueden aplicarse simultáneamente tras un incidente cibernético.

¿Qué se considera un incidente significativo bajo NIS2 en Austria?

Un incidente que cause una grave interrupción, pérdidas financieras sustanciales, impacto social o efectos transfronterizos generalmente cumple el umbral de notificación.