Umsetzung der Cybersicherheits-Richtlinie NIS 2 (NISG 2026) − Mögliche Betroffenheit von Reisebüros und Reiseveranstaltern

Das NISG 2026 tritt am 1.10.2026 in Kraft und dient der Umsetzung der EU-NIS-2-Richtlinie. Es soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in Österreich und der EU verbessern.

Das NISG 2026 sieht für Einrichtungen ab mittlerer Größe (mehr als 50 Mitarbeitende und mehr als 10 Mio. Euro Jahresumsatz bzw. Jahresbilanz) aus 18 festgelegten gesellschaftlich relevanten Sektoren verpflichtend Maßnahmen zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen vor. Dazu gehören Risikomanagementmaßnahmen wie Backupmanagement, Mitarbeiterschulungen und Notfallmanagement. Dabei ist auch die Sicherheit der Lieferkette zu gewährleisten, sodass in Folge auch direkte Dienstleister und Lieferanten betroffener Einrichtungen vertraglich zu diesen Maßnahmen verpflichtet werden. 

Betroffenheit von Reisebüros und Reiseveranstaltern

Mittlere und große Reiseveranstalter und Reisebüros mit mehr als 50 Mitarbeitenden und mehr als 10 Mio. Euro Jahresumsatz bzw. Jahresbilanz) können unter das NISG 2026 fallen, sofern sie als Anbieter digitaler Dienste einen Online-Marktplatz betreiben. 

Ausnahme für kleine Unternehmen

Ausgenommen vom NISG 2026 sind kleine Reisebüros und Reiseveranstalter. Als solche gelten Unternehmen, die weniger als 50 Mitarbeitende beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft.

Zur Definition eines "Online Marktplatzes"

"Online-Marktplatz" ist ein Dienst, der es Verbrauchern durch die Verwendung von Software, einschließlich einer Website, eines Teils einer Website oder einer Anwendung, die vom oder im Namen des Gewerbetreibenden betrieben wird, ermöglicht, Fernabsatzverträge mit anderen Gewerbetreibenden oder Verbrauchern, abzuschließen.

Unter die Definition eines Online-Marktplatzes kann dem Wortlaut zu folge somit auch die Vermittlung von Reiseleistungen über eine Webseite fallen, da hier Reisenden ermöglicht wird Verträge mit Anbietern von Reiseleistungen zu schließen (z.B. Reisebüro XY vermittelt über seine Webseite eine Pauschalreise des Reiseveranstalters Z, Reiseveranstalter A vermittelt über seine Website einen Flug der Airline B).

Fraglich ist in der Praxis hingegen, ob solche Onlinebuchungsmöglichkeiten über Reisebüro-Webseiten tatsächlich vom oder im Namen des Reisebüros betrieben werden, oder ob es sich dabei nicht vielmehr um die bloße Einbindung einer externen Buchungssoftware auf der Webseite des Reisebüros handelt. Die integrierte Buchungssoftware ermöglicht es dem Reisenden direkt mit dem Reiseveranstalter einen Vertrag über eine Reiseleistung zu schließen. Hinter diesen Onlinebuchungsmöglichkeiten stehen in aller Regel externe Buchungssoftwareanbieter, die vom Reisebüro bloß auf der eigenen Webseite "gespiegelt" werden.

Nachdem ein Reisebüro im Falle der bloßen Einbindung einer externen zugekauften Buchungssoftware eines Drittanbieters keinerlei Kontrolle über die technische Infrastruktur der Buchungsmöglichkeit verfügt, kann mitunter argumentiert werden, dass das Reisebüro keine Buchungsplattform "betreibt" und somit kein Anbieter eines Online-Marktplatzes im Sinne des NISG 2026 ist. Eine endgültige Rechtsauslegung zu dieser Frage liegt aber nicht vor.

Wichtige Pflichten und Fristen für betroffene Unternehmen

Registrierungspflicht

Unternehmen, die vom NISG 2026 erfasst sind, müssen sich binnen 3 Monaten nach Inkrafttreten des NISG 2026, somit bis 31.12.2026 registrieren (in welcher Form die Registrierung zu erfolgen hat, wird noch mittels Verordnung festgelegt). 

Selbstdeklaration

Binnen 12 Monaten nach Eintritt der Registrierungspflicht, somit bis 30.09.2027 ist eine Information hinsichtlich der umgesetzten Risikomanagementmaßnahmen an die Cybersicherheitsbehörde zu übermitteln (Selbstdeklaration).

Prüfungen auf Aufforderung der Cybersicherheitsbehörde

Die Cybersicherheitsbehörde kann auffordern, die Umsetzung der Risikomanagementmaßnahmen durch eine Prüfung durch eine unabhängige Stelle nachzuweisen. Bei wichtigen Einrichtungen – z.B. mittlere und große Reisebüros, die einen Online-Marktplatz betreiben - kann dies nur bei begründeten Hinweisen auf mutmaßliche Pflichtverletzungen erfolgen (z.B. aufgrund mangelhafter Selbstdeklaration). Frühester Zeitpunkt der Aufforderung ist der 01.10.2028.

Risikomanagementmaßnahmen und Berichtspflichten

Ab 01.10.2026 sind Risikomanagementmaßnahmen einzuhalten und Berichtspflichten zu beachten. Details dazu finden Sie hier: NISG 2026 - Pflichten im Unternehmen

Verantwortlich dafür sind die Leitungsorgane (Geschäftsführer:in bei GmbH, Vorstand bei Aktiengesellschaft). Details dazu finden Sie hier: Die Leitungsorgane im Sinne der NIS-Gesetzgebung.

Was passiert, wenn Unternehmen die Regelungen nicht einhalten?

Das NISG 2026 sieht eine Reihe von Aufsichts- und Durchsetzungsmaßnahmen vor, um die Einhaltung der Pflichten zu überprüfen und durchzusetzen.

Etwaige Strafen bei Nicht-Registrierung oder fehlender Übermittlung der Selbstdeklaration umfassen Geldstrafen bis zu 50.000 Euro, im Wiederholungsfall bis zu 100.000 Euro.

Verletzen wichtigen Einrichtungen – z.B. mittlere und große Reisebüros, die einen Online-Marktplatz betreiben − relevante Kernpflichten (wie z.B. Nichtumsetzung der Risikomanagementmaßnahmen wie Mitarbeiterschulungen oder Nichtumsetzung behördlicher Durchsetzungsmaßnahmen) drohen Geldstrafen von bis zu 1,4 % der gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsätze des Unternehmens bzw. bis zu 7.000.000 Euro.

Links zu weiterführenden Informationen rund um die NIS 2 auf WKO.at:

• Cybersicherheits-Richtlinie­­ NIS 2 und NISG 2026
• Cybersicherheitsgesetz NISG 2026 kommt: Rechtssicherheit stärkt digitale Resilienz der Wirtschaft