{"id":3562,"date":"2025-12-12T16:44:45","date_gmt":"2025-12-12T14:44:45","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=3562"},"modified":"2025-12-16T09:10:50","modified_gmt":"2025-12-16T07:10:50","slug":"nis-2-in-osterreich-umgesetzt-nisg-2026","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/nis-2-in-osterreich-umgesetzt-nisg-2026\/","title":{"rendered":"NIS-2 in \u00d6sterreich umgesetzt (NISG 2026)"},"content":{"rendered":"\n<p><strong>Nationalrat beschlie\u00dft Netz- und Informationssystemsicherheitsgesetz&nbsp;2026<\/strong><\/p>\n\n\n\n<p>Das Netz- und Informationssystemsicherheitsgesetz&nbsp;2026 (NISG 2026) wurde heute (12.12.2025) im Nationalrat beschlossen. Die Kundmachung erfolgt nach Beschluss des Bundesrates und Unterzeichnung des Bundespr\u00e4sidenten. Das Gesetz wird neun Monate nach seiner Kundmachung (voraussichtlich im Herbst 2026) in Kraft treten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Registrierungspflicht<\/strong><\/h2>\n\n\n\n<p>Unternehmen m\u00fcssen <strong>selbstst\u00e4ndig <\/strong>anhand der drei kumulativ anzuwendenden Kriterien (Unternehmensgr\u00f6\u00dfe, anwendbarer Sektor, Territorialit\u00e4t) <strong>die Anwendbarkeit des NISG 2026 pr\u00fcfen und sich <\/strong>innerhalb von <strong>drei Monaten nach Inkrafttreten<\/strong> (Ende des Jahres 2026) beim neuen Bundesamt f\u00fcr Cybersicherheit, das beim Innenministerium angesiedelt ist, registrieren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Anwendungsbereich<\/h2>\n\n\n\n<p>Der Anwendungsbereich wird analog zur NIS-2-Richtlinie sektoral und entsprechend der Unternehmensgr\u00f6\u00dfe erweitert. Das Gesetz unterscheidet wie die Richtlinie zwischen <strong>wesentlichen und wichtigen Einrichtungen. <\/strong>W\u00e4hrend besonders kritische Sektoren nun <strong>gr\u00f6\u00dfenunabh\u00e4ngig <\/strong>erfasst sind, sind in weiteren Sektoren nur <strong>gro\u00dfe<\/strong> (ab 250 Mitarbeiter oder \u00fcber 50 Millionen Euro Jahresumsatz und \u00fcber 43 Millionen Euro Bilanzsumme) und <strong>mittlere Unternehmen<\/strong> (ab 50 Mitarbeiter oder \u00fcber zehn Millionen Euro Jahresumsatz und \u00fcber zehn Millionen Euro Bilanzsumme) erfasst.<\/p>\n\n\n\n<p>Auch andere Unternehmen, die nicht direkt vom Anwendungsbereich des NISG 2026 erfasst sind,&nbsp;werden z.T. indirekt betroffen sein, da wesentliche oder wichtige Einrichtungen aufgefordert sind, auch ihre Lieferkette abzusichern.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Selbstdeklaration<\/strong><\/h2>\n\n\n\n<p>Mit der Registrierung beim Bundesamt f\u00fcr Cybersicherheit beginnt gleichzeitig die Frist f\u00fcr die Selbstdeklaration.&nbsp;Wesentliche und wichtige Einrichtungen haben<strong> innerhalb von zw\u00f6lf Monaten<\/strong> nach Eintritt der Registrierungspflicht der Cybersicherheitsbeh\u00f6rde \u2013 voraussichtlich Ende des Jahres 2027 \u2013 Informationen hinsichtlich umgesetzter Risikomanagementma\u00dfnahmen sowie die Ergebnisse der durchgef\u00fchrten Risikoanalyse und zur Sicherheit der Lieferketten zu \u00fcbermitteln.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Risikomanagementma\u00dfnahmen<\/strong><\/h2>\n\n\n\n<p>Die <strong>wesentlichen und wichtigen Betreiber<\/strong> m\u00fcssen angemessene und verh\u00e4ltnism\u00e4\u00dfige Risikomanagementma\u00dfnahmen in<strong> technischer, operativer und organisatorischer <\/strong>Hinsicht ergreifen.<\/p>\n\n\n\n<p>Die geforderten Ma\u00dfnahmen umfassen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Risikoanalyse und Sicherheitsrichtlinien f\u00fcr Informationssysteme<\/li>\n\n\n\n<li>Prozesse zum Umgang mit Sicherheitsvorf\u00e4llen (Vorbeugung, Erkennung und Reaktion auf Vorf\u00e4lle)<\/li>\n\n\n\n<li>Vorkehrungen zur Gesch\u00e4ftskontinuit\u00e4t (Backup-Management und Wiederherstellung nach einem Notfall) und zum Krisenmanagement<\/li>\n\n\n\n<li>Verfahren in Bezug auf die Sicherheit der Lieferkette<\/li>\n\n\n\n<li>Prozesse zur Sicherheit bei Erwerb, Entwicklung und Instandhaltung von Netzwerk- und Informationssystemen einschlie\u00dflich Handhabung und Offenlegung von Schwachstellen<\/li>\n\n\n\n<li>Erstellung der Richtlinien und Verfahren (Testen und Auditieren) zur Bewertung der Wirksamkeit von Risikomanagementma\u00dfnahmen<\/li>\n\n\n\n<li>Sicherheit des Personals, Konzepte f\u00fcr die Zugriffskontrolle von Anlagen<\/li>\n\n\n\n<li>Awareness-Schulungen f\u00fcr Mitarbeiter, Verfahren f\u00fcr \u201eCyberhygiene\u201c<\/li>\n\n\n\n<li>Prozesse f\u00fcr die Verwendung von Kryptografie und Verschl\u00fcsselung<\/li>\n\n\n\n<li>Verwendung von L\u00f6sungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung<\/li>\n\n\n\n<li>gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Externe Audits<\/strong><\/h2>\n\n\n\n<p>Das Bundesamt f\u00fcr Cybersicherheit kann wesentliche und wichtige Einrichtungen zus\u00e4tzlich zur Selbstdeklaration auch zu externen Audits zur \u00dcberpr\u00fcfung der technischen, operativen und organisatorischen Umsetzung der Risikomanagementma\u00dfnamen auffordern.<\/p>\n\n\n\n<p>Der Nachweis muss f\u00fcr wichtige Einrichtungen binnen 2 Jahren ab Aufforderung erfolgen. Davon abweichend m\u00fcssen wesentliche Einrichtungen den Nachweis f\u00fcr operative und organisatorische Risikomanagementma\u00dfnahmen bereits binnen 2 Monaten erbringen. Dies hei\u00dft de-facto, dass wesentliche Einrichtungen entsprechende Audits regelm\u00e4\u00dfig durchf\u00fchren m\u00fcssen, um eine solche Frist einhalten zu k\u00f6nnen.<\/p>\n\n\n\n<p>Der Nachweis der operativen sowie organisatorischen Umsetzung kann dabei auch durch einschl\u00e4gige g\u00fcltige Zertifikate, wie bspw. einem ISO 270001 Zertifikat, erfolgen. F\u00fcr die Umsetzung der technischen Ma\u00dfnahmen muss hingegen ein aktueller Pr\u00fcfbericht an die Cybersicherheitsbeh\u00f6rde \u00fcbermittelt werden. Die erstmalige Aufforderung f\u00fcr eine externe \u00dcberpr\u00fcfung kann <strong>fr\u00fchestens zwei Jahren ab Inkrafttreten<\/strong> des Gesetzes \u2013 im Herbst 2028 \u2013 erfolgen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Meldepflichten<\/strong><\/h2>\n\n\n\n<p>Ab Inkrafttreten des Gesetzes im Herbst 2026 sind betroffene Unternehmen verpflichtet, <strong>erhebliche Sicherheitsvorf\u00e4lle<\/strong> in einem dreistufigen System zu melden: Fr\u00fchwarnungen sind sp\u00e4testens binnen 24&nbsp;Stunden zu erstatten. Binnen 72&nbsp;Stunden muss eine Meldung mit einer strukturierten Bewertung der Auswirkungen und eingeleiteten Gegenma\u00dfnahmen erfolgen. Sp\u00e4testens einen Monat nach dem Vorfall erfolgt ein Abschlussbericht mit einer Analyse der wahrscheinlichen Ursachen und Angaben zu den getroffenen und laufenden Abhilfema\u00dfnahmen. Ein Sicherheitsvorfall gilt als erheblich, wenn er <strong>schwerwiegende Betriebsst\u00f6rungen<\/strong> oder <strong>finanzielle Verluste<\/strong> f\u00fcr die betreffende Einrichtung oder andere nat\u00fcrliche oder juristische Personen verursachen kann.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Schulungen<\/strong><\/h2>\n\n\n\n<p>Die Leitungsorgane von betroffenen Unternehmen m\u00fcssen an f\u00fcr diese spezifisch gestalteten <strong>Cybersicherheitsschulungen<\/strong> teilnehmen. Die Einrichtungen m\u00fcssen zudem den Mitarbeitern regelm\u00e4\u00dfig sowohl Schulungen f\u00fcr Managementpraktiken im Bereich der Informationssicherheit als auch allgemeine Awareness-Schulungen anbieten, um die F\u00e4higkeiten zur Erkennung und Bewertung von Risiken zu verbessern.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Sanktionen<\/strong><\/h2>\n\n\n\n<p>Die <strong>Nichteinhaltung<\/strong> der Vorschriften durch die Betreiber kann in Form von <strong>Bu\u00dfgeldern<\/strong> \u2013 Strafen von zumindest EUR 10 Mio., bzw. wenn h\u00f6her, 2% des weltweiten Umsatzes f\u00fcr das vergangene Gesch\u00e4ftsjahr \u2013 bestraft werden. Dar\u00fcber hinaus haften <strong>Leitungsorgane<\/strong> pers\u00f6nlich f\u00fcr Sch\u00e4den, die dem Unternehmen durch eine schuldhafte Pflichtverletzung entstanden sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Umsetzung und \u00dcberpr\u00fcfung<\/strong><\/h2>\n\n\n\n<p>Die <strong>Expert:innen von Certitude<\/strong> <strong>Consulting<\/strong> unterst\u00fctzen Unternehmen und K\u00f6rperschaften des \u00f6ffentlichen Rechts sowohl bei der <strong>operativen Umsetzung des NISG 2026 und damit der NIS-2 EU-Richtlinie<\/strong> als auch bei der technischen und organisatorischen <strong>\u00dcberpr\u00fcfung der Ma\u00dfnahmen<\/strong>. Certitude&nbsp;ist bereits bisher, u.a. als Qualifizierte Stelle (QuaSte bzw. NIS-Pr\u00fcfer) im Sinne des NIS1-Gesetzes, intensiv im Bereich der \u00f6sterreichischen kritischen Infrastruktur besch\u00e4ftigt und f\u00fchrte NIS-Audits kritischer Einrichtungen durch. Dar\u00fcber hinaus hat Certitude ein umfangreiches <a href=\"https:\/\/certitude.consulting\/uploads\/nis2-2026.pdf\">Schulungsangebot<\/a>&nbsp;, das die NIS2-Schulungspflichten f\u00fcr Mitarbeiter und Leitungsorgane abdeckt.&nbsp;F\u00fcr weitere Informationen und Referenzen treten Sie gerne mit uns in <a href=\"https:\/\/certitude.consulting\/kontakt.html\">Kontakt<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Verweise<\/h2>\n\n\n\n<p><a href=\"https:\/\/certitude.consulting\/uploads\/nis2-2026.pdf\">NIS 2 Schulungen f\u00fcr Leitungsorgane<\/a><br><a href=\"https:\/\/certitude.consulting\/blog\/de\/certitude-ist-nisg-qualifizierte-stelle-quaste-nis-prufer\/\">Certitude ist NISG qualifizierte Stelle (QuaSte \/ NIS-Pr\u00fcfer)<\/a><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><a id=\"_msocom_1\"><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nationalrat beschlie\u00dft Netz- und Informationssystemsicherheitsgesetz&nbsp;2026 Das Netz- und Informationssystemsicherheitsgesetz&nbsp;2026 (NISG 2026) wurde heute (12.12.2025) im Nationalrat beschlossen. Die Kundmachung erfolgt nach Beschluss des Bundesrates und Unterzeichnung des Bundespr\u00e4sidenten. Das Gesetz wird neun Monate nach seiner Kundmachung (voraussichtlich im Herbst 2026) in Kraft treten. Registrierungspflicht Unternehmen m\u00fcssen selbstst\u00e4ndig anhand der drei kumulativ anzuwendenden Kriterien (Unternehmensgr\u00f6\u00dfe, anwendbarer [&hellip;]<\/p>\n","protected":false},"author":15,"featured_media":3563,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[228,34,217],"tags":[356,693],"class_list":["post-3562","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-expert","category-presseaussendung","tag-nis","tag-nis2-de"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3562","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=3562"}],"version-history":[{"count":3,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3562\/revisions"}],"predecessor-version":[{"id":3570,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3562\/revisions\/3570"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/3563"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=3562"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=3562"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=3562"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}