NISG 2026: Die NIS2-Umsetzung in Österreich
Was ist das NISG 2026?
Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) ist das österreichische Umsetzungsgesetz zur NIS2-Richtlinie (EU) 2022/2555. Es wurde am 23. Dezember 2025 als BGBl. I Nr. 94/2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft (§ 51). Es löst das NISG aus 2018 samt NIS-Verordnung ab und weitet den Anwendungsbereich deutlich aus: Statt weniger hundert Betreiber wesentlicher Dienste erfasst es künftig wesentliche und wichtige Einrichtungen in den Sektoren der Anlagen 1 und 2 – von Energie und Gesundheit bis Produktion und Post. Neu sind eine eigene Cybersicherheitsbehörde, eine Registrierungspflicht mit Selbstdeklaration, verbindliche Risikomanagementmaßnahmen, eine gestaffelte Meldekette über die CSIRTs und Strafen bis 10 Mio. € oder 2 % des weltweiten Umsatzes.
Welche Fristen gelten?
| Datum | Was passiert | Rechtsgrundlage |
|---|---|---|
| 23.12.2025 | Kundmachung im Bundesgesetzblatt | BGBl. I Nr. 94/2025 |
| 1.10.2026 | Inkrafttreten – alle Pflichten werden scharf | § 51 Abs. 1–2 |
| 31.12.2026 | Ende der Registrierungsfrist (3 Monate ab Inkrafttreten; praktisch über das Unternehmensserviceportal/USP) | § 29 Abs. 3 |
| 30.9.2027 | Selbstdeklaration: strukturierte Meldung der umgesetzten Risikomanagementmaßnahmen (12 Monate nach Eintritt der Registrierungspflicht) | § 33 Abs. 1 |
| frühestens ab Oktober 2028 | Behörde kann unabhängige Nachweisprüfungen anfordern | § 33 Abs. 2 |
Wer ist betroffen?
Wie die Richtlinie kombiniert das NISG 2026 Sektor und Größe: wesentliche Einrichtungen (§ 24 Abs. 1) sind vor allem große Unternehmen der Hochkritikalitäts-Sektoren aus Anlage 1 – daneben größenunabhängig u. a. qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister, DNS-Diensteanbieter und die Bundesverwaltung. Wichtige Einrichtungen (§ 24 Abs. 2) sind mittlere Unternehmen der Anlage 1 sowie große und mittlere Unternehmen der Anlage 2. Die Größenschwellen (§ 25) folgen der EU-Definition: „mittel" ab 50 Beschäftigten oder über 10 Mio. € Jahresumsatz und Bilanzsumme. Darunter kann die Cybersicherheitsbehörde einzelne Einrichtungen per Bescheid größenunabhängig einstufen (§ 26), etwa alleinige Anbieter kritischer Dienste. Für Finanzunternehmen geht DORA als Lex specialis vor (§ 24 Abs. 7; für andere sektorspezifische EU-Rechtsakte gilt § 27). Die grundsätzliche Logik erklärt die NIS2-Betroffenheitsprüfung.
Welche Pflichten bringt das NISG 2026?
- Registrierung (§ 29): Selbstregistrierung bei der Cybersicherheitsbehörde mit Stammdaten, Sektor, IP-Bereichen und Einstufung – laut WKO über das Unternehmensserviceportal (USP); Änderungen sind binnen zwei Wochen bzw. drei Monaten nachzumelden.
- Governance (§ 31): Die Leitungsorgane müssen die Risikomanagementmaßnahmen sicherstellen und beaufsichtigen – und selbst an Schulungen teilnehmen; Mitarbeitern sind regelmäßig Schulungen anzubieten.
- Risikomanagement (§ 32): Zehn Mindestinhalte nach dem gefahrenübergreifenden Ansatz – darunter Bewältigung von Vorfällen, Betriebsaufrechterhaltung inklusive Krisenmanagement, Lieferkettensicherheit und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen.
- Selbstdeklaration (§ 33): Binnen zwölf Monaten nach Eintritt der Registrierungspflicht ist die Umsetzung strukturiert zu deklarieren; später verlangt die Behörde Nachweise durch unabhängige Stellen.
- Meldepflichten (§ 34): Erhebliche Cybersicherheitsvorfälle sind gestaffelt an das zuständige CSIRT zu melden (siehe unten).
Wie funktioniert die Meldekette?
Die Meldekette entspricht der Richtlinie – gemeldet wird an das sektorspezifische, sonst an das nationale CSIRT (§ 34):
- 24 Stunden nach Kenntnis: Frühwarnung
- 72 Stunden: Meldung mit erster Bewertung (Schweregrad, Auswirkungen, ggf. Kompromittierungsindikatoren)
- auf Ersuchen: Zwischenbericht
- 1 Monat nach der Meldung: Abschlussbericht
Sind Empfänger der Dienste beeinträchtigt, müssen diese unverzüglich informiert werden (§ 34 Abs. 3). Ob ein Vorfall „erheblich" ist, definiert § 35 – maßgeblich sind schwerwiegende Betriebsstörungen, finanzielle Verluste oder Schäden Dritter.
Welche Strafen drohen?
Der Strafrahmen (§ 45) folgt der Richtlinie: wesentliche Einrichtungen bis 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes, wichtige Einrichtungen bis 7 Mio. € oder 1,4 % – jeweils der höhere Betrag. Bemerkenswert: Neben fehlendem Risikomanagement und Meldeverstößen sind auch fehlende Cybersicherheitsschulungen für Leitungsorgane und Mitarbeiter eigene Straftatbestände (§ 45 Abs. 1 Z 1–2). Verspätete Registrierung oder Selbstdeklaration kostet bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 € (§ 45 Abs. 4).
Was heißt das für Übungen und Schulungen?
Das NISG 2026 verlangt nicht nur Maßnahmen auf dem Papier: § 32 Abs. 4 fordert ausdrücklich Krisenmanagement (lit. c), Verfahren zur Bewertung der Wirksamkeit (lit. f) und Schulungen (lit. g) – und die Selbstdeklaration nach § 33 macht die Umsetzung gegenüber der Behörde transparent. Eine dokumentierte Tabletop-Übung adressiert alle drei Punkte in einem Termin: Sie trainiert die 24/72-Stunden-Meldekette, bindet die Leitungsorgane nachweisbar ein (§ 31) und erzeugt mit dem After-Action-Report genau das Artefakt, das in Selbstdeklaration und spätere Nachweisprüfungen einzahlt. Für die strukturierte Bestandsaufnahme gibt es die kostenlose NIS2-Readiness-Checkliste mit allen Fristen für Österreich und Deutschland.
Worin unterscheidet sich Österreich von Deutschland?
Deutschland ist früher dran: Das NIS2-Umsetzungsgesetz gilt dort bereits seit 6. Dezember 2025, während Österreich bis 1. Oktober 2026 Vorlauf lässt – dafür mit fixem Registrierungsstichtag (1.1.2027) und der Selbstdeklaration als eigenem Instrument, das das deutsche BSIG so nicht kennt. Auch die Terminologie weicht ab: Österreich bleibt bei „wesentlichen" Einrichtungen (wie die Richtlinie), Deutschland nennt sie „besonders wichtige" Einrichtungen.
Häufige Fragen
Wann tritt das NISG 2026 in Kraft?
Am 1. Oktober 2026. Das Gesetz wurde am 23. Dezember 2025 als BGBl. I Nr. 94/2025 kundgemacht und tritt nach § 51 neun Monate später mit dem nächstfolgenden Monatsersten in Kraft. Gleichzeitig treten das NISG aus 2018 und die NISV außer Kraft.
Bis wann muss man sich in Österreich registrieren?
Wesentliche und wichtige Einrichtungen müssen sich binnen drei Monaten ab Inkrafttreten – also von 1. Oktober bis 31. Dezember 2026 – bei der Cybersicherheitsbehörde registrieren (§ 29 Abs. 3 NISG 2026); praktisch läuft die Registrierung über das Unternehmensserviceportal (USP). Wer erst später unter das Gesetz fällt, hat ab diesem Zeitpunkt drei Monate.
Was ist die Selbstdeklaration nach § 33 NISG 2026?
Binnen zwölf Monaten nach Eintritt der Registrierungspflicht – für von Anfang an betroffene Einrichtungen bis 30. September 2027 – müssen Einrichtungen der Cybersicherheitsbehörde strukturiert übermitteln, welche Risikomanagementmaßnahmen sie umgesetzt haben, inklusive Ergebnissen der Risikoanalyse und Lieferkettensicherheit. Wissentlich falsche Angaben sind strafbar (bis 50.000 €, § 45 Abs. 4).
Drohen Strafen, wenn Schulungen fehlen?
Ja – das ist eine Besonderheit des NISG 2026: Fehlende Cybersicherheitsschulungen für Leitungsorgane oder Mitarbeiter (§ 31 Abs. 2) sind eigene Straftatbestände (§ 45 Abs. 1 Z 1 und 2), für die derselbe Bußgeldrahmen gilt wie für fehlendes Risikomanagement: bis 10 Mio. € oder 2 % des weltweiten Umsatzes bei wesentlichen, bis 7 Mio. € oder 1,4 % bei wichtigen Einrichtungen.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.