23.02.2026 | Datenschutz & IT | ID: 1254111

NISG 2026: Was kommt auf Unternehmen zu?

Wolfgang Mader - WEKA (eha)

Das NISG 2026 setzt die EU-Richtlinie NIS 2 zur Reduktion von Cyber-Risiken um. Österreichische Besonderheiten sind der spätere Eintritt der Fristen, besondere Koordinationsstrukturen und eigene Geldstrafen für Verwaltungsübertretungen.

Wie setzt Österreich die NIS-2-Richtlinie um?

Die NIS-2-Richtlinie – eigentlich „Europäische Richtlinie (EU) 2022/2555 über ein hohes gemeinsames Cybersicherheitsniveau“ – verpflichtet bestimmte Organisationen zu Maßnahmen für Cybersicherheit. Österreich setzt diese Vorgaben mit dem Netz- und Informationssystemsicherheitsgesetz 2026 um (NISG 2026). Das Gesetz übernimmt das Grundmodell der EU-Richtlinie und ergänzt an mehreren Stellen nationale Organisations-, Koordinierungs- und Datenschutzregeln.

Wie ist der Zeitplan des NISG 2026 in Österreich?

Inhaltlich ist der österreichische Ansatz in weiten Teilen eine Umsetzung der europäischen Systematik. Die auffälligste Abweichung liegt beim Zeitplan: Nach der EU-Richtlinie sollten die nationalen Vorschriften bis 17. Oktober 2024 erlassen und veröffentlicht werden und ab 18. Oktober 2024 gelten. Das NISG 2026 wurde am 24.12.2025 verlautbart und tritt neun Monate nach Kundmachung in Kraft, also am 01.10.2026. Die Frist zur Registrierung für wesentliche und wichtige Einrichtungen ist 31.12.2026; die Frist zur Selbstdeklaration ist 01.10.2027. Ab 01.10.2028 kann die österreichische Cybersicherheitsbehörde Einrichtungen zur Prüfung auffordern.

Welche Pflichten, Governance & Nachweise bestehen nach NISG 2026?

Im Kern verlangt NIS 2 organisatorische und technische Maßnahmen, die Cyber-Risiken reduzieren. Außerdem verlangt die EU-Richtlinie eine aktive Rolle der Leitungsebene im Unternehmen: Leitungsorgane sollen Maßnahmen billigen, ihre Umsetzung überwachen und Schulungen sicherstellen. Das NISG 2026 übernimmt diese Grundidee, es präzisiert aber die Nachweisführung stärker und formaler. Genannt wird insbesondere:

• eine Selbstdeklaration binnen 12 Monaten ab Eintritt der Registrierungspflicht (bis 01.10.2027),
• strukturierte Prüfberichte und Maßnahmenpläne, die von Leitungsorganen und unabhängigen Prüferinnen oder Prüfern zu unterzeichnen sind,
• gegebenenfalls unter Verwendung von Prüfplänen.

Wie sind die Fristen für Meldungen und Veröffentlichung im NISG 2026 geregelt?

Bei Sicherheitsvorfällen bleibt die Fristenlogik im Wesentlichen gleich wie in der NIS-2-Richtlinie. Das NISG 2026 nennt die bekannte Struktur:

• Frühwarnung binnen 24 Stunden,
• Meldung binnen 72 Stunden,
• Zwischenberichte auf Verlangen,
• Abschlussbericht binnen eines Monats.

Nationale Präzisierungen gibt es bei der Weiterverarbeitung und Weiterleitung von Informationen und eine ausdrückliche Veröffentlichungsklausel mit Datenschutzbezug. Danach kann die Behörde – nach Anhörung der betroffenen Einrichtungen – personenbezogene Daten veröffentlichen, wenn Prävention, Bewältigung oder öffentliches Interesse dies erfordern. Dabei wird ausdrücklich auf Verhältnismäßigkeit und Datenminimierung Bezug genommen. Das ist für betroffene Organisationen besonders relevant, weil Incidentmanagement, Reputationsmanagement und Datenschutz in einem Ablauf berücksichtigt werden müssen.

Wo geht das NISG 2026 über die NIS 2 hinaus?

Österreich normiert mit dem NISG 2026 umfangreiche Strukturen für Koordination und Krisenarbeit. Die folgenden Elemente gehen über Mindestvorgaben der EU-Richtlinie hinaus und sollen Lagebild und Krisenkoordination institutionell absichern:

• die Cyber Sicherheit Steuerungsgruppe (CSS),
• der Innere Kreis der Operativen Koordinierungsstruktur (IKDOK),
• sowie die Operative Koordinierungsstruktur (OpKoord).

Zusätzlich werden Informations- und Kommunikationstechnik-Lösungen, ein Meldeanalysesystem und eine IKDOK Plattform vorgesehen.

Wie erfolgen Aufsicht und Sanktionen nach NISG 2026?

Bei Aufsicht und Durchsetzung folgt Österreich dem abgestuften Modell, das zwischen wesentlichen und wichtigen Einrichtungen unterscheidet. Zusätzlich sieht das Gesetz eine Person vor zur Überwachung der Umsetzung von Risikomanagement und Berichtspflichten der wesentlichen Einrichtungen („Überwachungsbeauftragter“; eine Mitarbeiterin oder ein Mitarbeiter der Cybersicherheitsbehörde).

Bei Geldstrafen nennt das NISG 2026 hohe Obergrenzen:

• für wesentliche Einrichtungen bis zu EUR 10 Millionen oder 2 Prozent des weltweiten Umsatzes,
• für wichtige Einrichtungen bis zu EUR 7 Millionen oder 1,4 Prozent des weltweiten Umsatzes.

Außerdem wird beschrieben, dass es zusätzliche nationale Geldstrafen für Verwaltungsübertretungen bis EUR 50.000 geben wird. Für Stellen der öffentlichen Verwaltung sieht das NISG 2026 einen alternativen Vollzugsweg vor, mit Feststellungsbescheid, Fristsetzung und gegebenenfalls Veröffentlichung statt Geldstrafe.

Was ist jetzt konkret zur Umsetzung des NISG 2026 zu tun?

• Betroffenheit sauber klären: anhand Tätigkeit, Sektorzuordnung und Größenlogik, und dabei Anlage 1 und Anlage 2 des NISG 2026 systematisch mappen (Anlage 1: Sektoren mit hoher Kritikalität; Anlage 2: Sonstige kritische Sektoren).
• Leitungsebene einbinden: Governance, Haftungsnähe und Schulungen müssen ausdrücklich mitgedacht werden.
• Nachweisführung früh aufsetzen: Formalisierte Selbstdeklaration, Prüfberichte und Maßnahmenpläne müssen organisatorisch vorbereitet werden.
• Meldeprozesse testen, inklusive Kommunikationsplan, Eskalationswegen und der Frage, welche Informationen intern und extern weitergegeben werden.
• Datenschutz und Veröffentlichung mitdenken: Die Möglichkeit der Veröffentlichung personenbezogener Daten durch die Behörde ist ein eigener Risikotreiber im Incidentmanagement.
• Zeitplan realistisch steuern: Europäische Anforderungen sind in international tätigen Konzernen oft schon vor Vollzugsreife in Österreich praktisch relevant.