NIS2 in Austria

Guida all'implementazione e alla conformità NIS2 in Austria.

Questo documento presenta informazioni aggiornate a febbraio 2026. Benché siano stati adottati tutti i ragionevoli accorgimenti per verificare l'accuratezza dei contenuti, le informazioni sono fornite senza garanzia di completezza o accuratezza e possono essere soggette a modifiche. Pur prevedendo aggiornamenti periodici di questi contenuti, si consiglia ai lettori di verificare autonomamente le informazioni critiche.

L'Austria sta attuando il rafforzato quadro di cybersicurezza dell'UE tramite una legislazione nazionale allineata alla Direttiva NIS2. Questa guida fornisce una panoramica strutturata di ambito, obblighi, applicazione e governance nell'ambito del regime nazionale austriaco, su misura per i decisori delle PMI che devono orientarsi tra i requisiti di conformità NIS2 in Austria.

1. Rapida panoramica di applicabilità per le PMI in Austria

NIS2 si applica alle PMI in Austria?

Sì — a seconda del settore e delle dimensioni.

Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
Si applica alle entità stabilite in Austria e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato austriaco.

Le PMI nei settori regolamentati dovrebbero valutare precocemente la qualificazione nell'ambito del regime nazionale di cybersicurezza dell'Austria.

2. Panoramica dell'attuazione della NIS2 in Austria

L'Austria sta trasponendo la NIS2 attraverso il NIS-Gesetz 2024 (NISG 2024), che sostituisce ed espande il precedente quadro di cybersicurezza previsto dalla legge sulla sicurezza dei sistemi di rete e informazione.

La normativa è stata adottata nel 2024 per allinearsi alla Direttiva (UE) 2022/2555 e stabilisce obblighi aggiornati per le Entità Essenziali e Importanti. L'entrata in vigore è legata al calendario formale di attuazione dell'Austria e al processo di notifica all'UE.

L'attuazione della NIS2 da parte dell'Austria riflette in larga misura la base della Direttiva. Ove siano introdotte chiarificazioni settoriali, esse si allineano alla struttura regolamentare esistente in Austria e alle autorità di vigilanza competenti.

3. Campo di applicazione in Austria

Entità essenziali

Entità operanti in settori altamente critici:

Entità importanti

Entità operanti negli altri settori elencati:

L'Austria non amplia in modo sostanziale l'ambito settoriale oltre il minimo previsto dalla Direttiva in questa fase.

4. Soglie dimensionali e applicabilità alle PMI in Austria

Si applicano le soglie di base:

≥50 dipendenti, e
≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione, salvo esenzioni.

Le imprese piccole e micro possono comunque rientrare nei requisiti NIS2 in Austria se designate dalle autorità per importanza critica o rilevanza sistemica.

L'Austria mantiene l'autorità di designare entità quando giustificato dall'esposizione al rischio, da considerazioni di sicurezza nazionale o da rilevanza transfrontaliera.

5. Quadro di classificazione delle entità in Austria

L'Austria classifica le entità nell'ambito come:

Entità essenziali — Soggette a una vigilanza più rigorosa, incluse ispezioni proattive.
Entità importanti — Principalmente soggette a una supervisione reattiva, salvo intervento in presenza di indicatori di rischio.

La classificazione è automatica in base al settore e alle dimensioni, ma può essere adeguata dalle autorità competenti. I regolatori austriaci possono riclassificare le entità quando l'impatto operativo giustifica una vigilanza rafforzata.

6. Requisiti di gestione del rischio di cybersicurezza in Austria

Il regime nazionale dell'Austria è strettamente allineato alla base della Direttiva. Le entità nell'ambito devono implementare misure tecniche e organizzative proporzionate che affrontino:

Analisi dei rischi e sicurezza dei sistemi
Procedure di gestione degli incidenti
Continuità operativa e gestione delle crisi
Controlli dei rischi della catena di fornitura
Acquisizione e sviluppo sicuri dei sistemi
Meccanismi di controllo degli accessi
Cifratura e politiche di crittografia
Gestione e divulgazione delle vulnerabilità
Formazione del personale in materia di cibersicurezza

Le misure devono riflettere lo stato dell'arte e l'esposizione al rischio. È incoraggiato l'allineamento con ISO/IEC 27001 e i quadri di cybersicurezza riconosciuti in Austria.

7. Responsabilità del management e governance in Austria

Gli organi di amministrazione devono approvare le misure di gestione del rischio di cibersicurezza e supervisionarne l'attuazione.

I consigli di amministrazione sono responsabili della supervisione della conformità.
Il top management deve garantire un'adeguata competenza in materia di cibersicurezza.
Le sanzioni amministrative possono riguardare carenze di governance.
La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi allineati alla Direttiva.

Gli standard di responsabilità del management NIS2 in Austria enfatizzano la responsabilità a livello di consiglio di amministrazione piuttosto che una responsabilità puramente tecnica.

8. Obblighi di segnalazione degli incidenti in Austria

Definizione di un incidente significativo

Un incidente si qualifica come significativo se causa:

Grave interruzione operativa
Perdita finanziaria significativa
Impatto sociale sostanziale
Effetti transfrontalieri

Tempistiche di segnalazione

Fase di segnalazione	Scadenza	Autorità
Preallerta	24 ore	Federal Ministry of the Interior (BMI)
Notifica dell'incidente	72 ore	Federal Ministry of the Interior (BMI)
Relazione finale	1 mese	Federal Ministry of the Interior (BMI)

9. Autorità di vigilanza e modello di applicazione in Austria

Autorità principale: Federal Ministry of the Interior (BMI).

L'Austria opera con un modello di coordinamento centralizzato, supportato da regolatori settoriali ove pertinente.

Supervisory powers include:

Richieste di informazioni
Audit di sicurezza
Ispezioni in loco
Istruzioni vincolanti in materia di conformità
Partecipazione al coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione si integra con i quadri di coordinamento della cybersicurezza dell'UE.

10. Sanzioni e ammende NIS2 in Austria

L'Austria applica sanzioni amministrative allineate alla Direttiva.

Entità essenziali

Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

Entità importanti

Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

L'applicazione delle ammende NIS2 in Austria può includere anche:

Ordini vincolanti di adozione di misure correttive
Identificazione pubblica delle entità non conformi
Sospensione di certificazioni o autorizzazioni
Poteri di sospensione dei dirigenti

11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Austria

Le entità devono gestire il rischio cyber dei terzi attraverso:

Due diligence sui fornitori
Obblighi contrattuali di sicurezza
Monitoraggio continuo dei fornitori
Vigilanza sui fornitori di servizi ICT
Valutazione del rischio di concentrazione
Analisi della propagazione degli incidenti

Il quadro nazionale dell'Austria è allineato alla base della Direttiva in quest'area, enfatizzando una vigilanza proporzionata sulla catena di fornitura.

12. Obblighi di registrazione e autoidentificazione in Austria

Entities within scope must:

Registrarsi presso le autorità competenti
Fornire i dati identificativi societari
Dichiarare la classificazione settoriale
Mantenere aggiornate le informazioni di contatto

Le scadenze e le meccaniche procedurali seguono il regolamento attuativo austriaco. Allo stato attuale della trasposizione, l'Austria segue il quadro di base della Direttiva NIS2. I dettagli di attuazione nazionali possono affinare specifici obblighi.

L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge.

13. Interazione con il GDPR e altre leggi in Austria

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

Notifica delle violazioni dei dati personali entro 72 ore
Coordinamento delle autorità di vigilanza
Indagini parallele in materia di cybersicurezza e protezione dei dati
Legislazione austriaca settoriale sulla cybersicurezza

Un incidente informatico può attivare obblighi di segnalazione in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la propria stabilimento principale in Austria sono sorvegliate dalle autorità austriache per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Austria possono essere soggetti a obblighi locali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono il mercato austriaco.

15. Cronologia di attuazione in Austria

Adozione della Direttiva: 2022
Adozione della legislazione nazionale: 2024
Entrata in vigore: Secondo il calendario di pubblicazione nazionale
Notifica alla Commissione: Allineamento in sospeso/in corso
Scadenza di conformità: Allineata alle scadenze della Direttiva

L'attuazione della NIS2 da parte dell'Austria riflette il calendario di trasposizione dell'UE senza periodi di grazia estesi annunciati.

16. Punti chiave per le PMI in Austria

Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
Le entità di piccole dimensioni possono essere designate se considerate operativamente critiche.
La supervisione della governance a livello di consiglio di amministrazione è obbligatoria.
La segnalazione degli incidenti segue le scadenze 24h / 72h / 1 mese.
Le sanzioni pecuniarie possono raggiungere €10 million o il 2% del fatturato globale.
La gestione dei rischi dei fornitori è un obbligo centrale.
Una pianificazione anticipata della conformità riduce il rischio di interventi sanzionatori.

FAQ: Guida NIS2 per PMI in Austria

La NIS2 si applica alle piccole imprese in Austria?

Le piccole imprese sono generalmente escluse, salvo designazione o operatività in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali sono automaticamente coperte.

Quali sono le ammende NIS2 in Austria?

Le Entità Essenziali affrontano sanzioni fino a €10 milioni o al 2% del fatturato annuo globale. Le Entità Importanti fino a €7 milioni o all'1,4% del fatturato annuo globale.

Quando entra in vigore la NIS2 in Austria?

L'Austria ha adottato la normativa di attuazione nel 2024. L'entrata in vigore è allineata alla pubblicazione nazionale e ai processi di notifica all'UE.

Chi applica la NIS2 in Austria?

Il Federal Ministry of the Interior (BMI) funge da autorità di vigilanza primaria, coordinandosi con i regolatori settoriali ove applicabile.

Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Austria?

Gli organi di gestione devono approvare e sovrintendere alle misure di cybersicurezza. Le autorità possono imporre conseguenze amministrative, incluse facoltà di sospensione nei casi gravi.

In che cosa la NIS2 differisce dal GDPR in Austria?

La NIS2 disciplina la gestione del rischio di cybersicurezza e la resilienza operativa. Il GDPR si concentra sulla protezione dei dati personali. Entrambi possono applicarsi simultaneamente a seguito di un incidente informatico.

Cosa costituisce un incidente significativo ai sensi della NIS2 in Austria?

Un incidente che provochi grave interruzione, perdita finanziaria sostanziale, impatto sociale o effetti transfrontalieri in genere soddisfa la soglia di segnalazione.