Was der neue NISG 2026 für Unternehmen bedeutet – von Risikomanagement über Selbstdeklaration bis hin zur neuen Cybersicherheitsbehörde
Mit dem Umlaufbeschluss im Ministerrat vom 20. November 2025 hat Österreich die nationale Umsetzung der NIS-2-Richtlinie offiziell gestartet. Der Entwurf des Netz- und Informationssystemsicherheitsgesetzes 2026 (NISG 2026) wurde ins parlamentarische Verfahren eingebracht.
Ziel ist ein einheitlich hohes Cybersicherheitsniveau in ganz Europa. Die NIS-2-Richtlinie verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen, ihre Informationssysteme technisch und organisatorisch abzusichern – ein entscheidender Schritt angesichts einer wachsenden Bedrohungslage.
Laut der KPMG/KSÖ-Studie Cybersecurity in Österreich 2025 war jeder siebte Cyberangriff auf heimische Unternehmen erfolgreich. Damit steigt der Druck auf Organisationen, ihr Sicherheitsmanagement messbar zu verbessern.
Übergangsfristen und neue Pflichten
Der aktuelle Gesetzesentwurf bringt wichtige Änderungen gegenüber dem NISG 2024:
- Inkrafttreten: neun Monate nach Kundmachung, voraussichtlich im Herbst 2026.
- Selbstdeklaration: zwölf Monate nach Inkrafttreten müssen Unternehmen ohne behördliche Aufforderung nachweisen, wie wirksam ihre Sicherheitsmaßnahmen sind.
- Risikomanagementmaßnahmen: Der Verweis auf eine feste Liste entfällt. Stattdessen nennt das Gesetz übergeordnete Themen, die per Verordnung konkretisiert werden können.
Unternehmen mit bestehenden ISO/IEC 27001-Zertifizierungen können diese teilweise anrechnen lassen – ein Vorteil für Organisationen, die bereits ein ISMS implementiert haben.
Technische und organisatorische Maßnahmen im Fokus
Laut KPMG-Studie sehen sich 34 Prozent der befragten Unternehmen technisch gut vorbereitet, 39 Prozent attestieren sich organisatorische Reife. Ob diese Selbsteinschätzung den Prüfungen der sogenannten Qualifizierten Stellen (QuaSte) standhält, bleibt abzuwarten. Diese unabhängigen Audits werden künftig entscheidend sein, um den tatsächlichen Sicherheitsstatus zu bestimmen.
Zusammenarbeit statt Einzelmaßnahmen
Ein zentrales Element der NIS-2-Umsetzung ist die Zusammenarbeit zwischen Wirtschaft und Behörden.
Die geplanten Risikomanagementmaßnahmen sollen sich unter anderem an der EU-Durchführungsverordnung 2024/2690 sowie den Ergebnissen der Arbeitsgruppen der Cyber Sicherheitsplattform (CSP) orientieren.
Laut KPMG fördern 38 Prozent der Unternehmen den Austausch in Arbeitsgruppen wie jenen des Kompetenzzentrums Sicheres Österreich (KSÖ). Diese Kooperationen gelten als Schlüssel für eine nachhaltige Cybersicherheitskultur.
Neuer Anwendungsbereich und Cybersicherheitsbehörde
Der Geltungsbereich des NISG 2026 wird neu definiert:
- Unternehmen ermitteln künftig selbst, ob sie unter die NIS-2-Pflichten fallen, und registrieren sich aktiv bei der zuständigen Behörde.
- Das bisherige Konzernprivileg entfällt – jede Gesellschaft muss separat betrachtet werden.
- Zuständige Behörde wird eine nachgelagerte Cybersicherheitsstelle im BMI, vergleichbar mit dem deutschen BSI.
Damit schafft Österreich eine klare, zentrale Struktur für Aufsicht, Meldewesen und Unterstützung betroffener Unternehmen.
Fazit: NIS-2 als Chance begreifen
Mit dem NISG 2026 schafft Österreich die gesetzliche Grundlage für ein hohes, europaweit vergleichbares Sicherheitsniveau.
Unternehmen sollten die Übergangszeit bis 2026 nutzen, um ihre technischen, organisatorischen und rechtlichen Strukturen zu überprüfen und nachweisfähig zu machen.
Wer Compliance als strategischen Vorteil versteht, stärkt nicht nur sein Sicherheitsniveau, sondern auch das Vertrauen von Kunden und Partnern.
ITanic GmbH unterstützt Unternehmen bei der Umsetzung von NIS-2 – von der Gap-Analyse über Risikomanagement und Awareness bis zur technischen Absicherung und Incident Response.
