Kategorien

NIS-2 in Österreich umgesetzt (NISG 2026)

Geschrieben von Florian Schweitzer am

Nationalrat beschließt Netz- und Informationssystemsicherheitsgesetz 2026

Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) wurde heute (12.12.2025) im Nationalrat beschlossen. Die Kundmachung erfolgt nach Beschluss des Bundesrates und Unterzeichnung des Bundespräsidenten. Das Gesetz wird neun Monate nach seiner Kundmachung (voraussichtlich im Herbst 2026) in Kraft treten.

Registrierungspflicht

Unternehmen müssen selbstständig anhand der drei kumulativ anzuwendenden Kriterien (Unternehmensgröße, anwendbarer Sektor, Territorialität) die Anwendbarkeit des NISG 2026 prüfen und sich innerhalb von drei Monaten nach Inkrafttreten (Ende des Jahres 2026) beim neuen Bundesamt für Cybersicherheit, das beim Innenministerium angesiedelt ist, registrieren.

Anwendungsbereich

Der Anwendungsbereich wird analog zur NIS-2-Richtlinie sektoral und entsprechend der Unternehmensgröße erweitert. Das Gesetz unterscheidet wie die Richtlinie zwischen wesentlichen und wichtigen Einrichtungen. Während besonders kritische Sektoren nun größenunabhängig erfasst sind,sind inweiteren Sektoren nur große (ab 250 Mitarbeiter oder über 50 Millionen Euro Jahresumsatz und über 43 Millionen Euro Bilanzsumme) und mittlere Unternehmen (ab 50 Mitarbeiter oder über zehn Millionen Euro Jahresumsatz und über zehn Millionen Euro Bilanzsumme) erfasst.

Auch andere Unternehmen, die nicht direkt vom Anwendungsbereich des NISG 2026 erfasst sind, werden z.T. indirekt betroffen sein, da wesentliche oder wichtige Einrichtungen aufgefordert sind, auch ihre Lieferkette abzusichern.

Selbstdeklaration

Mit der Registrierung beim Bundesamt für Cybersicherheit beginnt gleichzeitig die Frist für die Selbstdeklaration. Wesentliche und wichtige Einrichtungen haben innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht der Cybersicherheitsbehörde – voraussichtlich Ende des Jahres 2027 – Informationen hinsichtlich umgesetzter Risikomanagementmaßnahmen sowie die Ergebnisse der durchgeführten Risikoanalyse und zur Sicherheit der Lieferketten zu übermitteln.

Risikomanagementmaßnahmen

Die wesentlichen und wichtigen Betreiber müssen angemessene und verhältnismäßige Risikomanagementmaßnahmen in technischer, operativer und organisatorischer Hinsicht ergreifen.

Die geforderten Maßnahmen umfassen:

  • Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
  • Prozesse zum Umgang mit Sicherheitsvorfällen (Vorbeugung, Erkennung und Reaktion auf Vorfälle)
  • Vorkehrungen zur Geschäftskontinuität (Backup-Management und Wiederherstellung nach einem Notfall) und zum Krisenmanagement
  • Verfahren in Bezug auf die Sicherheit der Lieferkette
  • Prozesse zur Sicherheit bei Erwerb, Entwicklung und Instandhaltung von Netzwerk- und Informationssystemen einschließlich Handhabung und Offenlegung von Schwachstellen
  • Erstellung der Richtlinien und Verfahren (Testen und Auditieren) zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle von Anlagen
  • Awareness-Schulungen für Mitarbeiter, Verfahren für „Cyberhygiene“
  • Prozesse für die Verwendung von Kryptografie und Verschlüsselung
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung
  • gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Externe Audits

Das Bundesamt für Cybersicherheit kann wesentliche und wichtige Einrichtungen zusätzlich zur Selbstdeklaration auch externen Audits zur Überprüfung der technischen, operativen und organisatorischen Umsetzung der Risikomanagementmaßnamen auffordern.

Der Nachweis muss für wichtige Einrichtungen binnen 2 Jahren ab Aufforderung erfolgen. Davon abweichend müssen wesentliche Einrichtungen den Nachweis für operative und organisatorische Risikomanagementmaßnahmen bereits binnen 2 Monaten erbringen. Dies heißt de-facto, dass wesentliche Einrichtungen entsprechende Audits regelmäßig durchführen müssen, um eine solche First einhalten zu können.

Der Nachweis der operativen sowie organisatorischen Umsetzung kann dabei auch durch einschlägige gültige Zertifikate, wie bspw. einem ISO 270001 Zertifikat, erfolgen. Für die Umsetzung der technischen Maßnahmen muss hingegen ein aktueller Prüfbericht an die Cybersicherheitsbehörde übermittelt werden. Die erstmalige Aufforderung für eine externe Überprüfung kann frühestens zwei Jahren ab Inkrafttreten des Gesetzes – im Herbst 2028 – erfolgen.

Meldepflichten

Ab Inkrafttreten des Gesetzes im Herbst 2026 sind betroffene Unternehmen verpflichtet, erhebliche Sicherheitsvorfälle in einem dreistufigen System zu melden: Frühwarnungen sind spätestens binnen 24 Stunden zu erstatten. Binnen 72 Stunden muss eine Meldung mit einer strukturierten Bewertung der Auswirkungen und eingeleiteten Gegenmaßnahmen erfolgen. Spätestens einen Monat nach dem Vorfall erfolgt ein Abschlussbericht mit einer Analyse der wahrscheinlichen Ursachen und Angaben zu den getroffenen und laufenden Abhilfemaßnahmen. Ein Sicherheitsvorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste für die betreffende Einrichtung oder andere natürliche oder juristische Personen verursachen kann.

Schulungen

Die Leitungsorgane von betroffenen Unternehmen müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen. Die Einrichtungen müssen zudem den Mitarbeitern regelmäßig sowohl Schulungen für Managementpraktiken im Bereich der Informationssicherheit als auch allgemeine Awareness-Schulungen anbieten, um die Fähigkeiten zur Erkennung und Bewertung von Risiken zu verbessern.

Sanktionen

Die Nichteinhaltung der Vorschriften durch die Betreiber kann in Form von Bußgeldern – Strafen von zumindest EUR 10 Mio., bzw. wenn höher, 2% des weltweiten Umsatzes für das vergangene Geschäftsjahr – bestraft werden. Darüber hinaus haften Leitungsorgane persönlich für Schäden, die dem Unternehmen durch eine schuldhafte Pflichtverletzung entstanden sind.

Umsetzung und Überprüfung

Die Expert:innen von Certitude Consulting unterstützen Unternehmen und Körperschaften des öffentlichen Rechts sowohl bei der operativen Umsetzung des NISG 2026 und damit der NIS-2 EU-Richtlinie als auch bei der technischen und organisatorischen Überprüfung der Maßnahmen. Certitude ist bereits bisher, u.a. als Qualifizierte Stelle (QuaSte bzw. NIS-Prüfer) im Sinne des NIS1-Gesetzes, intensiv im Bereich der österreichischen kritischen Infrastruktur beschäftigt und führte NIS-Audits kritischer Einrichtungen durch. Darüber hinaus hat Certitude ein umfangreiches Schulungsangebot , das die NIS2-Schulungspflichten für Mitarbeiter und Leitungsorgane abdeckt. Für weitere Informationen und Referenzen treten Sie gerne mit uns in Kontakt.

Verweise

NIS 2 Schulungen für Leitungsorgane
Certitude ist NISG qualifizierte Stelle (QuaSte / NIS-Prüfer)