NISG 2026: Aktueller Stand

Die NIS-2-Richtlinie ist auf EU-Ebene mit Wirkung ab 16. Jänner 2023 in Kraft. Der Umsetzungsstichtag in nationales Recht war der 17. Oktober 2024. Österreich konnte diese Vorgabe nicht einhalten.

Am 20. November 2025 brachte der Ministerrat der Republik Österreich den Entwurf des Netz‑ und Informationssystemsicherheitsgesetz 2026 (NISG 2026) auf Basis der NIS-2-Richtlinie in das parlamentarische Verfahren ein. Mit 12.12.2025 wurde das Gesetz mit der notwendigen Zweidrittelmehrheit im Parlament beschlossen.

Das NISG 2026 tritt mit einer Übergangsfrist von 9 Monaten nach Kundmachung im Bundesgesetzblatt in Kraft.

NISG 2026: Bedeutung für Unternehmen in Österreich

  1. Erweiterter Geltungsbereich

Die NIS-2-Richtlinie umfasst deutlich mehr Unternehmen als das bisherige NISG. Betroffen sind künftig nicht nur Betreiber kritischer Dienste, sondern zahlreiche mittelgroße und große Unternehmen aus definierten Sektoren (z. B. Energie, Transport, Gesundheitswesen, Produktion, digitale Dienste, Abfallwirtschaft, öffentliche Verwaltung). Dadurch steigt die Anzahl verpflichteter Organisationen erheblich.

  1. Strengere Sicherheitsanforderungen

Unternehmen müssen ein systematisches Risikomanagement für Cyber- und Informationssicherheit etablieren. Dazu gehören:

  • technische Maßnahmen (z. B. Netzwerksicherheit, Zugangskontrolle, Backups),
  • organisatorische Maßnahmen (z. B. Richtlinien, Rollen, Verantwortlichkeiten),
  • Governance-Regelungen auf Geschäftsführungsebene,
  • Schutz der Lieferkette und Sicherheitsanforderungen an Dienstleister.

Die Anforderungen orientieren sich an internationalen Standards wie ISO 27001 und sind mit Managementsystem-Ansätzen gut integrierbar.

  1. Verpflichtende Vorfallserkennung und -meldung

Cybersicherheitsvorfälle müssen frühzeitig erkannt und nach festgelegten Fristen an die zuständige Behörde gemeldet werden. Dies erfordert klare Prozesse, definierte Schwellenwerte und ein funktionierendes Incident-Response-Management.

  1. Erhöhte Haftung und Verantwortung des Managements

NISG 2026 macht die Unternehmensleitung explizit verantwortlich für die Umsetzung der Sicherheitsmaßnahmen. Geschäftsführungen können bei Pflichtverletzungen haftbar gemacht werden. Schulungen und ein dokumentiertes Sicherheits-Governance-System werden damit zu zentralen Anforderungen.

  1. Hohe Verwaltungs- und Strafrahmen

Bei Verstößen drohen künftig empfindliche Sanktionen:

  • bis zu 10 Mio. € oder
  • bis zu 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Damit wird Cybersicherheit rechtlich und wirtschaftlich zu einem strategischen Unternehmensrisiko.

  1. Stärkere Anforderungen an Dokumentation und Nachweise

Unternehmen müssen Sicherheitsmaßnahmen nachvollziehbar dokumentieren und deren Wirksamkeit regelmäßig überprüfen. Das entspricht auditierbaren Strukturen und begünstigt den Aufbau bzw. die Weiterentwicklung von Informationssicherheits-Managementsystemen.

  1. Auswirkungen auf Lieferketten und Dienstleister

NISG 2026 nimmt die Supply Chain stärker in die Pflicht. Unternehmen müssen sicherstellen, dass wesentliche externe Dienstleister sicherheitskonform arbeiten, was vertragliche Anforderungen, Bewertungen und Audits notwendig macht.

  1. Notwendigkeit frühzeitiger Vorbereitung

Auch wenn das österreichische NISG 2026 noch in der Übergangsfrist ist, entsteht für betroffene Unternehmen ein unmittelbarer Handlungsbedarf:

  • Gap-Analyse gegenüber NISG 2026,
  • Aufbau oder Weiterentwicklung eines ISMS,
  • Vorbereitung von Meldeprozessen,
  • Anpassung vertraglicher Regelungen in der Lieferkette,
  • Schulung von Führungskräften und Schlüsselpersonen.