Die NIS-2-Richtlinie der Europäischen Union sollte bis zum 17. Oktober 2024 in nationales Recht jedes Mitgliedstaats umgesetzt sein. In Österreich kam es zu einer bedeutenden Verzögerung: Ein erster Gesetzesentwurf scheiterte im Nationalrat an der erforderlichen Zweidrittelmehrheit. Erst am 12. Dezember 2025 verabschiedete der Nationalrat das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) — mit Kundmachung am 23. Dezember 2025 und vollem Inkrafttreten am 1. Oktober 2026.
Dieser Leitfaden erklärt, wen das NISG 2026 betrifft, welche zehn Cybersicherheitsmaßnahmen nach Artikel 21 der NIS-2-Richtlinie konkret umzusetzen sind und welche Fristen für österreichische Unternehmen jetzt gelten. Informationen zur europäischen Grundlage bietet unser Beitrag Was ist die NIS2-Richtlinie?
Dieser Artikel dient der allgemeinen Information und stellt keine Rechts- oder Compliance-Beratung dar. Die Anforderungen des NISG 2026 können je nach Sektor und Unternehmenstyp variieren — konsultieren Sie für Ihre spezifische Situation eine qualifizierte Rechts- oder Compliance-Fachkraft.
Das NISG 2026: Hintergrund und Umsetzungsverlauf
Die EU-Richtlinie (EU) 2022/2555 — bekannt als NIS-2 — trat am 16. Jänner 2023 in Kraft. Sie verpflichtet alle Mitgliedstaaten, bis zum 17. Oktober 2024 ein nationales Umsetzungsgesetz zu erlassen. Österreich verfehlte diese Frist als eines der wenigen EU-Länder.
Der Grund lag im österreichischen Verfassungsrecht: Teile des Gesetzes bereifen in Grundrechte und Verwaltungsstrukturen ein, was im Nationalrat eine Zweidrittelmehrheit erfordert. Dieser Konsens gelang erst im Dezember 2025. Das NISG 2018, das noch die ursprüngliche NIS-Richtlinie umsetzte, bleibt bis 1. Oktober 2026 in Kraft — Unternehmen, die bereits heute in den Anwendungsbereich der EU-Richtlinie fallen, sollten jedoch nicht bis zum letzten Moment warten.
Zentrales strukturelles Novum des NISG 2026 ist die Errichtung eines Bundesamts für Cybersicherheit (BfC) als nachgeordnete Behörde des Bundesministeriums für Inneres (BMI). Das BfC übernimmt die Rolle der nationalen NIS-Behörde, koordiniert die Umsetzung und fungiert als Single Point of Contact gegenüber der EU. CERT.at bleibt Österreichs nationales Computer Security Incident Response Team (CSIRT) und ist die erste Anlaufstelle für die Meldung und Koordination erheblicher Sicherheitsvorfälle.
Wichtig für Unternehmen mit Präsenz in mehreren EU-Ländern: Zwischen Oktober 2024 (EU-Deadline) und Oktober 2026 (NISG-Inkrafttreten) besteht eine Rechtslücke. Während dieser Zeit gilt für österreichische Betreiber wesentlicher Dienste noch das NISG 2018 — mit deutlich engerem Anwendungsbereich und schwächeren Anforderungen als die neue EU-Richtlinie.
Wer ist vom NISG 2026 betroffen? Sektoren und Schwellenwerte
Das NISG 2026 ist kein allgemeines IT-Sicherheitsgesetz — es gilt sektoriell und größenabhängig. Betroffen sind nach Schätzungen rund 4.000 Unternehmen in Österreich. Für die Einstufung müssen beide Kriterien erfüllt sein: der Sektor und die Unternehmensgröße.
Sektoren mit hoher Kritikalität (Anlage 1): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum.
Sonstige kritische Sektoren (Anlage 2): Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelproduktion und -verarbeitung, verarbeitendes Gewerbe/Herstellung, Anbieter digitaler Dienste, Forschungseinrichtungen.
Die Größenschwellen orientieren sich an der EU-KMU-Definition:
| Einrichtungstyp | Klassifizierung | Aufsicht | Höchststrafe |
|---|---|---|---|
| Großes Unternehmen (≥250 MA oder >50 Mio. € Umsatz und >43 Mio. € Bilanz) in Anlage 1 | Wesentliche Einrichtung | Proaktiv (ex-ante + ex-post) | 10 Mio. € oder 2% Weltumsatz |
| Mittleres Unternehmen (≥50 MA oder >10 Mio. €) in Anlage 1 oder 2 | Wichtige Einrichtung | Reaktiv (bei Hinweisen oder Stichproben) | 7 Mio. € oder 1,4% Weltumsatz |
| Kleines Unternehmen (<50 MA und ≤10 Mio. €) | Grundsätzlich nicht betroffen | — | — |
Ausnahme: Bestimmte Einrichtungen — darunter qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Resolver-Betreiber und bestimmte Telekommunikationsanbieter — fallen unabhängig von ihrer Größe in den Anwendungsbereich. Detaillierte Sektordefinitionen finden Sie in unserem Beitrag zum NIS2-Anwendungsbereich in der EU.
Der WKÖ stellt unter ratgeber.wko.at/nis2 ein kostenloses Selbsttest-Tool bereit, mit dem Unternehmen in wenigen Minuten prüfen können, ob sie unter das NISG 2026 fallen.
Artikel-21-Pflichten: Die zehn Cybersicherheitsmaßnahmen
Artikel 21 der NIS-2-Richtlinie — in Österreich durch das NISG 2026 umgesetzt — verpflichtet alle betroffenen Einrichtungen zu zehn Kategorien von Risikomanagementmaßnahmen. Der Umsetzungsmaßstab ist risikobasiert: Die Intensität der Maßnahmen muss verhältnismäßig zum Risikoprofil der Einrichtung sein.
| Maßnahme (Artikel 21(2)) | Was das konkret bedeutet | Aufwand |
|---|---|---|
| (a) Risikoanalyse und Sicherheitskonzepte | Dokumentierte Bewertung aller relevanten Cyberrisiken; schriftliche Sicherheitsrichtlinien | Hoch |
| (b) Bewältigung von Sicherheitsvorfällen | Incident-Response-Prozess, Eskalationsplan, CERT.at-Meldekette | Mittel |
| (c) Betriebskontinuität und Krisenmanagement | Business-Continuity-Plan, Backup-Strategie, Wiederherstellungsprozesse | Hoch |
| (d) Sicherheit der Lieferkette | Vertragliche Sicherheitsanforderungen an direkte Lieferanten und Dienstleister | Hoch |
| (e) Sicherheit bei Beschaffung und Entwicklung | Sicherheitsanforderungen bei Kauf und Entwicklung von IT-Systemen, Schwachstellenmanagement | Mittel |
| (f) Effektivitätsbewertung | Regelmäßige Überprüfung der Sicherheitsmaßnahmen, Penetrationstests | Mittel |
| (g) Cyber-Hygiene und Schulungen | Pflichtschulungen für alle Mitarbeiter; separate Management-Schulung zu NISG-Pflichten | Niedrig |
| (h) Kryptografie und Verschlüsselung | Einsatz von Verschlüsselung für Datenspeicherung und -übertragung; Zertifikatsverwaltung | Mittel |
| (i) Personalverwaltung, Zugangssteuerung und Asset-Management | Rollen- und Rechtekonzept, Asset-Inventar, Onboarding/Offboarding-Prozesse | Mittel |
| (j) Multi-Faktor-Authentifizierung und gesicherte Kommunikation | MFA für alle privilegierten Zugänge; verschlüsselte Kommunikationskanäle | Niedrig–Mittel |
Bestehende Zertifizierungen nach ISO/IEC 27001 können vom Bundesamt für Cybersicherheit als Nachweis für organisatorische Maßnahmen anerkannt werden. Sie ersetzen jedoch nicht den Nachweis technischer Wirksamkeit — insbesondere Penetrationstests müssen gesondert dokumentiert werden.
Praktisch relevante Erfahrung: Viele Unternehmen unterschätzen Punkt (d) Lieferkettensicherheit. Das NISG 2026 verpflichtet nicht nur zur eigenen Compliance, sondern zur Prüfung und vertraglichen Absicherung der unmittelbaren Zulieferer und Dienstleister. Ohne Lieferketten-Due-Diligence ist keine vollständige Selbstauskunft möglich.
Registrierung, Meldepflichten und zuständige Behörden
Das NISG 2026 schafft eine neue Behördenarchitektur in Österreich. Zuständig ist primär das neu gegründete Bundesamt für Cybersicherheit (BfC) unter dem BMI. Für bestimmte Sektoren können sektorspezifische Behörden zusätzlich zuständig sein: So könnte für den Energiesektor die E-Control und für Telekommunikation die RTR als Sektorbehörde fungieren — die genaue Kompetenzverteilung ist Gegenstand der noch ausständigen Sekundärgesetzgebung.
CERT.at bleibt als nationales CSIRT die operative Meldestelle für Sicherheitsvorfälle und koordiniert grenzüberschreitende Vorfälle im europäischen CSIRT-Netzwerk.
Die zentralen Fristen im Überblick:
| Meilenstein | Frist | Was zu tun ist |
|---|---|---|
| NISG 2026 tritt in Kraft | 1. Oktober 2026 | Meldepflichten beginnen; Registrierungsfenster öffnet |
| Registrierung beim BfC | 31. Dezember 2026 | Anmeldung als wesentliche oder wichtige Einrichtung |
| Selbstauskunft (Risikomaßnahmen) | 30. September 2027 | Schriftliche Bestätigung der implementierten Artikel-21-Maßnahmen |
| Erste Behördenprüfungen möglich | Ab Oktober 2028 | On-site-Inspektionen durch BfC, Ad-hoc-Prüfungen möglich |
Meldepflichten bei erheblichen Sicherheitsvorfällen folgen einem dreistufigen Schema, das direkt aus Artikel 23 der NIS-2-Richtlinie übernommen wurde:
- 24 Stunden: Frühwarnung an CERT.at — erster Hinweis auf den Vorfall, einschließlich ob rechtswidriges Handeln oder grenzüberschreitende Auswirkungen vorliegen könnten
- 72 Stunden: Aktualisierter Lagebericht mit erster Schätzung von Schwere und Auswirkungen
- 1 Monat: Abschlussbericht mit vollständiger Beschreibung, Ursachenanalyse und getroffenen Gegenmaßnahmen
Was als „erheblicher Sicherheitsvorfall“ gilt, wird durch das BfC in Sekundärgesetzgebung präzisiert werden. Als Orientierung gelten die EU-weiten Kriterien nach Artikel 23 NIS-2: schwerwiegende Betriebsunterbrechungen, erheblicher finanzieller Schaden oder bedeutende Auswirkungen auf andere Einrichtungen oder Personen.
Hinweis: Konkrete Meldeschwellen, Formularvorlagen und das Registrierungsportal des BfC werden voraussichtlich vor Oktober 2026 veröffentlicht. Prüfen Sie die offizielle Anlaufstelle unter nis.gv.at für aktuelle Informationen.
Strafen und persönliche Haftung nach NISG 2026
Das NISG 2026 sieht empfindliche Verwaltungsstrafen vor. Maßgeblich ist jeweils der höhere der beiden Werte:
| Einrichtungstyp | Höchststrafe | Auslöser |
|---|---|---|
| Wesentliche Einrichtung | Bis zu 10 Mio. € oder 2% des globalen Jahresumsatzes | Verstoß gegen Risikomanagement- oder Meldepflichten |
| Wichtige Einrichtung | Bis zu 7 Mio. € oder 1,4% des globalen Jahresumsatzes | Verstoß gegen Risikomanagement- oder Meldepflichten |
| Organisationswidrigkeit | Bis zu 50.000 € (Wiederholung: 100.000 €) | Fehlende Registrierung, verspatete Meldung, mangelnde Schulungsdokumentation |
Besonders relevant für Geschäftsführungen und Vorstände: Das NISG 2026 sieht eine persönliche Haftung von Führungskräften vor. Geschäftsführer haften persönlich, wenn nachgewiesen wird, dass Cybersicherheitsverstöße durch mangelhafte Aufsicht oder unzureichende Kontrolle des Managements ermöglicht oder gefördert wurden. Das NISG 2026 enthält darüber hinaus die ausdrückliche Pflicht, dass die Geschäftsleitung an Schulungen zu den NISG-Anforderungen teilnimmt.
Wesentliche Einrichtungen unterliegen ab Oktober 2028 proaktiven Aufsichtsmaßnahmen des BfC: Vor-Ort-Inspektionen, Sicherheitsaudits und Ad-hoc-Prüfungen. Bei wichtigen Einrichtungen greift die Aufsicht reaktiv — also bei begründeten Hinweisen auf Verstöße oder im Rahmen von Stichprobenprüfungen.
Praktische Umsetzung: Erste Schritte für österreichische Unternehmen
Die Zeitspanne zwischen heute und Oktober 2026 ist kürzer als sie erscheint. Unternehmen, die die Registrierungsfrist (31. Dezember 2026) und die Selbstauskunft (30. September 2027) ernstnehmen, benötigen bereits jetzt eine strukturierte Gap-Analyse. Der folgende Stufenplan orientiert sich an der Sequenz, die Compliance-Berater für mittelständische Unternehmen empfehlen:
1. Betroffenheitspüfung (sofort): Nutzen Sie das kostenlose Tool der WKÖ unter ratgeber.wko.at/nis2. Klären Sie Sektor und Größenschwelle, bevor Sie in Umsetzungsmaßnahmen investieren.
2. Gap-Analyse gegen Artikel 21 (Q3 2026): Gleichen Sie Ihre bestehenden Sicherheitsmaßnahmen gegen die zehn Artikel-21-Kategorien ab. ISO/IEC-27001-Zertifizierungen können als Nachweis für organisatorische Maßnahmen anerkannt werden — dokumentieren Sie, welche Controls welche Artikel-21-Anforderungen abdecken.
3. Priorisierte Maßnahmenimplementierung (Q3–Q4 2026): Beginnen Sie mit den Bereichen mit höchstem Risikopotenzial und kürzester Umsetzungszeit: MFA (j), Schulungen (g) und Incident-Response-Prozess (b) lassen sich typischerweise in Wochen umsetzen. Risikoanalyse (a), Lieferkettensicherheit (d) und Business Continuity (c) benötigen mehrere Monate.
4. Registrierung beim BfC (bis 31. Dezember 2026): Sobald das Registrierungsportal des BfC verfügbar ist, melden Sie sich als wesentliche oder wichtige Einrichtung an. Halten Sie Sektorzugehörigkeit, Unternehmensgröße und Kontaktdaten für den Sicherheitsbeauftragten bereit.
5. Selbstauskunft vorbereiten (bis 30. September 2027): Die Selbstauskunft ist kein Formular — sie erfordert eine dokumentierte Erklärung, welche der zehn Artikel-21-Maßnahmen implementiert wurden, in welchem Umfang und mit welchen Nachweisen. Ohne vollständige Dokumentation ist keine glaubwürdige Selbstauskunft möglich.
6. Lieferkette absichern: Identifizieren Sie Ihre kritischen Zulieferer und Dienstleister. Prüfen Sie deren Cybersicherheitsstandards und verankern Sie Mindestanforderungen vertraglich. Das BfC kann hier Nachweise verlangen.
Häufige Fragen zum NISG 2026 in Österreich
Muss mein Unternehmen bereits jetzt handeln, oder erst ab Oktober 2026?
Jetzt. Die Registrierungsfrist läuft bis 31. Dezember 2026, die Selbstauskunft bis 30. September 2027. Wer erst nach dem Inkrafttreten beginnt, riskiert, die Selbstauskunftsfrist ohne ausreichende Dokumentation zu erreichen. Außerdem: Lieferkettensicherheit und Business-Continuity-Pläne brauchen Zeit.
Gilt das NISG 2026 auch für Tochtergesellschaften ausländischer Konzerne in Österreich?
Ja, wenn die österreichische Einheit eigenständig in einem der 18 regulierten Sektoren tätig ist und die Größenschwellen erfüllt. Konzernweite Compliance in Deutschland oder einem anderen Mitgliedstaat entbindet die österreichische Tochter nicht von eigenen NISG-Pflichten.
Was ist der Unterschied zwischen einer wesentlichen und einer wichtigen Einrichtung?
Wesentliche Einrichtungen unterliegen proaktiver Aufsicht: Das BfC kann auch ohne konkreten Anlass Audits durchführen. Bei wichtigen Einrichtungen greift die Aufsicht reaktiv — erst bei begründeten Hinweisen auf Verstöße oder im Rahmen von Stichproben. Die Pflichten (zehn Artikel-21-Maßnahmen, Meldepflichten) sind für beide Kategorien identisch.
Ersetzt eine ISO-27001-Zertifizierung die NISG-Compliance?
Nein. ISO 27001 kann als Nachweis für organisatorische Sicherheitsmaßnahmen anerkannt werden und vereinfacht die Dokumentation erheblich. Sie ersetzt aber nicht den Nachweis technischer Wirksamkeit — insbesondere Penetrationstests, MFA-Implementierung und spezifische NISG-Meldeprozesse müssen gesondert belegt werden.
Wann wird das Registrierungsportal des BfC verfügbar sein?
Das BfC wird die Registrierungsinfrastruktur voraussichtlich vor Oktober 2026 bereitstellen. Aktuelle Informationen veröffentlicht die offizielle Anlaufstelle unter nis.gv.at.
Quellen
- Bundesministerium für Inneres. Die neue NIS-2-Richtlinie. Anlaufstelle NISG — nis.gv.at
- Bundesministerium für Inneres. Allgemeine Informationen zu NIS-2. Anlaufstelle NISG — nis.gv.at
- Wirtschaftskammer Österreich. NISG 2026 — neue Pflichten zur Cybersicherheit für Unternehmen — wko.at
- CHG Czernich Rechtsanwälte. NISG 2026 in Österreich: Wer betroffen ist und was jetzt zu tun ist — chg.at
- BG&P Rechtsanwälte. NIS2 in Österreich: NISG 2026 bringt neue Pflichten und hohe Strafen — bgundp.com
- NIS 2 Directive Tracker. NIS 2 Directive — Transposition in Austria — nis-2-directive.com
