Am 12. Dezember 2025 hat der österreichische Nationalrat das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) mit Zweidrittelmehrheit beschlossen. Es setzt die EU-Richtlinie NIS-2 in nationales Recht um und tritt am 1. Oktober 2026 in Kraft. Für rund 4.000 Unternehmen in Österreich bedeutet das: neue Pflichten, enge Fristen und erstmals persönliche Haftung der Geschäftsführung.
Das NISG 2026 ersetzt das bisherige NIS-Gesetz aus 2018 und setzt die EU-weite NIS-2-Richtlinie (2022/2555) in österreichisches Recht um. Ziel ist ein einheitliches, hohes Cybersicherheitsniveau für kritische und wichtige Einrichtungen. Im Vergleich zum Vorgängergesetz erweitert das NISG 2026 den Anwendungsbereich massiv: Statt bisher rund 100 Betreibern wesentlicher Dienste fallen nun circa 4.000 Unternehmen und Einrichtungen unter die neuen Regelungen.
Das Gesetz unterscheidet erstmals zwischen wesentlichen und wichtigen Einrichtungen aus 18 Sektoren. Betroffen sind Unternehmen ab mittlerer Größe (ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz) in Bereichen wie Energie, Transport, Bankwesen, Gesundheit, Wasserversorgung, digitale Infrastruktur, öffentliche Verwaltung, Post, Abfallwirtschaft, Chemie, Lebensmittel, Medizinprodukte, Fahrzeugbau, digitale Dienste und Forschung. Auch Zulieferer kritischer Unternehmen können indirekt betroffen sein.
Risikomanagement: Unternehmen müssen ein dokumentiertes, kontinuierlich überwachtes Risikomanagementsystem implementieren, das technische, organisatorische und operative Maßnahmen umfasst — von Netzwerksicherheit über Identitäts- und Zugriffsmanagement bis hin zu Kryptografie und Lieferkettensicherheit.
Meldepflicht: Cybervorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Innerhalb von 72 Stunden muss eine detaillierte Bewertung folgen.
Registrierung: Alle betroffenen Einrichtungen müssen sich bis spätestens 31. Dezember 2026 im nationalen Register eintragen.
Schulungspflicht: Die Geschäftsführung muss persönlich an Cybersicherheitsschulungen teilnehmen — diese Pflicht ist nicht delegierbar.
Ein zentraler Baustein des NISG 2026 ist die Errichtung eines Bundesamts für Cybersicherheit im Innenministerium. Die neue Behörde fungiert als nationale NIS-Behörde, koordiniert die Umsetzung und dient als Single Point of Contact (SPOC) auf EU-Ebene.
Die Sanktionen sind empfindlich: Bei Verstößen drohen Strafen von bis zu 10 Millionen Euro. Erstmals haften auch Geschäftsführer und Leitungsorgane persönlich für mangelnde Cybersicherheit — ein Paradigmenwechsel im österreichischen Recht.
Der 1. Oktober 2026 kommt schneller als gedacht. Unternehmen sollten jetzt mit der Vorbereitung beginnen: Prüfen Sie, ob Ihr Unternehmen betroffen ist. Starten Sie mit einer Gap-Analyse Ihrer bestehenden Sicherheitsmaßnahmen. Planen Sie Budget und Ressourcen für die Umsetzung. Und vergessen Sie nicht die Schulungspflicht der Geschäftsführung.
Sie wollen wissen, ob Ihr Unternehmen betroffen ist und was konkret zu tun ist? In einem kostenlosen 20-Minuten-Erstgespräch analysieren wir Ihre Situation und zeigen Ihnen den optimalen Weg zur NIS-2 Compliance. Jetzt Termin vereinbaren.
Das NISG 2026 setzt die EU-Richtlinie 2022/2555 (NIS-2-Richtlinie) in nationales Recht um. Ziel ist ein einheitliches, hohes Cybersicherheitsniveau in der gesamten Europäischen Union. Österreich folgt damit dem Beispiel anderer EU-Mitgliedstaaten und schafft einen verbindlichen Rechtsrahmen für die Absicherung kritischer und wichtiger Infrastrukturen.
Laut dem Bundesministerium für Inneres werden durch das neue Gesetz deutlich mehr Unternehmen und Organisationen erfasst als bisher. Betroffen sind insbesondere die Sektoren Energie, Transport, Gesundheit, digitale Infrastruktur, Finanzwesen sowie die öffentliche Verwaltung. Auch Zulieferer und Dienstleister in diesen Bereichen können unter die Regelung fallen.
Besonders relevant für Geschäftsführer: Das NISG 2026 sieht eine persönliche Haftung der Leitungsorgane vor. Wer die vorgeschriebenen Cybersicherheitsmaßnahmen nicht umsetzt, riskiert Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Die Europäische Agentur für Cybersicherheit (ENISA) stellt umfangreiche Leitfäden und Best Practices zur Verfügung, die bei der Umsetzung helfen können.
Unternehmen, die frühzeitig handeln, profitieren nicht nur von Rechtssicherheit, sondern stärken auch das Vertrauen ihrer Kunden und Geschäftspartner. Eine strukturierte Vorbereitung — von der Bestandsaufnahme über die Risikoanalyse bis zur Implementierung technischer und organisatorischer Maßnahmen — ist der Schlüssel zum Erfolg.
Bleiben Sie mit den neuesten Artikeln zu Technologie, Gesundheit, Finanzen und mehr auf dem Laufenden. Entdecken Sie aufschlussreiche Inhalte für eine fundierte Entscheidungsfindung.
Legal4Startups
Legal4Startups
Legal4Startups
Legal4Startups
Legal4Startups
Legal4Startups
