Regelungen zur Cybersicherheit in der EU - NIS-2-Richtlinie und NISG 2026
Im Dezember 2025 wurde das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) kundgemacht, mit welchem die Vorgaben der NIS-2-Richtlinie auf nationaler Ebene umgesetzt wurden. Das Gesetz tritt mit 1. Oktober 2026 in Kraft und ersetzt ab diesem Zeitpunkt das derzeit noch geltende NISG 2018 zur Gänze. Damit gelten ab 1. Oktober 2026 für Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten gesellschaftlich relevanten Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Auch maßgebend ist die Gewährleistung der Sicherheit der Lieferkette, sodass in Folge auch Dienstleister:innen und Lieferant:innen betroffener Einrichtungen vertraglich zu Risikomanagementmaßnahmen verpflichtet werden.

Für Unternehmen gilt: Nun sind auch die grundlegenden Vorgaben zur Cybersicherheit auf nationaler Ebene bekannt. Es ist daher wichtig, sich zeitgerecht entsprechend vorzubereiten, da die Implementierung der Maßnahmen abhängig vom Reifegrad der Cybersicherheit des Unternehmens einiges an Zeit in Anspruch nehmen kann.

Ab wann gilt was? - Fristen und Pflichten für wesentliche und wichtige Einrichtungen im Überblick:

01.10.2026

Inkrafttreten NISG 2026
NISG 2018 tritt zeitgleich außer Kraft
Unternehmen haben Risikomanagementmaßnahmen inklusive Sicherheit der Lieferkette und Melde- und Berichtspflichten einzuhalten, wobei die Verantwortung bei den Leitungsorganen liegt.
Aufsicht- und Durchsetzungsmaßnahmen der Behörde sind möglich.

01.01.2027

 

Die Registrierung wesentlicher und wichtiger Einrichtungen muss erfolgt sein (§ 29 NISG, nähere Vorgabe zur Registrierung werden noch mittels Verordnung festgelegt).

01.10.2027

 

Selbstdeklaration muss erfolgt sein: Wesentliche und wichtige Einrichtungen haben Informationen hinsichtlich umgesetzter Risikomanagementmaßnahmen, insbesondere betreffend die genutzten Netz- und Informationssysteme und die Sicherheit der Lieferketten sowie die Ergebnisse der durchgeführten Risikoanalyse, binnen 12 Monaten nach Eintritt der Registrierungspflicht an die Cybersicherheitsbehörde zu übermitteln (§ 33 NISG 2026).

01.10.2028

 

Cybersicherheitsbehörde kann Einrichtungen zur Prüfung auffordern, wobei wesentliche Einrichtungen jederzeit zur Nachweisführung aufgefordert werden können und eine Prüfung gegenüber wichtigen Einrichtungen nur dann angeordnet werden kann, wenn konkrete Anhaltspunkte für Versäumnisse vorliegen (z. B. bei Mängeln in der Selbstdeklaration).

30.11.2028

 

frühester Zeitpunkt zu dem wesentliche Einrichtung nach Aufforderung operative und organisatorische Umsetzung der
Risikomanagementmaßnahmen nachzuweisen hat.

30.09.2030

 

frühester Zeitpunkt zu dem wesentliche oder wichtige Einrichtung Prüfbericht durch unabhängige Stelle nachzuweisen hat;
jeweils nur nach Aufforderung; wichtige Einrichtungen nur bei begründeten Hinweisen.

Anwendungsbereich:
Der Anwendungsbereich des NISG 2026 erstreckt sich auf Einrichtungen, die kumulativ zwei Kriterien erfüllen: 

  • die Ausübung einer Tätigkeit in einem der in Anlage 1 oder 2 genannten NIS-Sektoren sowie 

  • das Erreichen der Größenschwelle für mittlere Unternehmen.

Betroffen sind daher beispielsweise große und mittlere Unternehmen aus folgenden Sektoren (Prüfung anhand Anlage 1 und Anlage 2, Spalte 3): Energie, Trink-/Abwasser, Gesundheitswesen, Post, Lebensmittel, Forschung etc.

Ob eine Einrichtung als mittleres oder großes Unternehmen eingestuft wird, hängt von drei Faktoren ab: der Beschäftigtenanzahl, dem erzielten Jahresumsatz sowie der Bilanzsumme des Geschäftsjahres.

Betroffen sind große Unternehmen

  • mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Jahresumsatz und über 43 Mio. Euro Jahresbilanzsumme 

und mittlere Unternehmen:

  • die nicht als großes Unternehmen einzuordnen sind und
  • deren Belegschaft mindestens 50 Beschäftigte umfasst oder
  • deren Jahresumsatz UND die Jahresbilanzsumme jeweils über 10 Millionen Euro liegen.

Kleine Unternehmen – also Betriebe mit weniger als 50 Mitarbeitenden und einem Jahresumsatz bzw. einer Bilanzsumme von höchstens 10 Mio. Euro – sind grundsätzlich vom NISG 2026 ausgenommen.

Bestimmte Unternehmen fallen jedoch - unabhängig von ihrer Größe – trotzdem in den Anwendungsbereich:

  • Vertrauensdiensteanbieter:innen
  • Anbieter:innen von öffentlichen elektronischen Kommunikationsnetzen oder -diensten
  • DNS-Diensteanbieter:innen sowie TLD-Namenregister (exklusive Root-Nameserver-Betreiber)
  • Alleinanbieter:innen von Diensten, die für kritische gesellschaftliche oder wirtschaftliche Aktivitäten in einem Mitgliedstaat unerlässlich sind.

Wichtig für die Lieferkette: Auch nicht direkt betroffene Lieferant:innen und Dienstleister:innen müssen Sicherheitsvorkehrungen treffen, wenn ihre Kund:innen unter das NISG 2026 fallen (siehe unten).

Als wesentliche Einrichtungen gelten große Unternehmen aus den Sektoren mit hoher Kritikalität laut Anlage 1 des Gesetzes, zB. Energie, Verkehr, Gesundheit, Trink-/Abwasser, etc. Mittlere Unternehmen dieser Sektoren gelten als wichtige Einrichtungen

Als wichtige Einrichtungen gelten große und mittlere Unternehmen aus den sonstigen kritischen Sektoren laut Anlage 2, zB. Post, Lebensmittel, Digitale Dienste, Forschung etc. 

Sowohl wesentliche als auch wichtige Einrichtungen haben die geforderten Sicherheitsmaßnahmen umzusetzen. Bei der Aufsicht und den Sanktionen etc. gibt es jedoch Unterschiede (vgl. §§ 29 ff NISG 2026). 

Was bedeutet Sicherheit der Lieferkette?
Wesentliche und wichtige Einrichtungen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren (Dienste-)Anbieter:innen beachten.

Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter:innen und Diensteanbieter:innen sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter:innen und Diensteanbieter:innen, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen und entsprechende Sicherheitsmaßnahmen zu treffen. 

Dienstleister:innen oder Lieferant:innen eines NIS2-betroffenen Unternehmens können indirekt betroffen sein. Wenn Sie Dienstleister:in eines betroffenen Unternehmens sind, empfehlen wir Ihnen, so rasch als möglich mit dem jeweiligen Unternehmen das Gespräch zu suchen. Gegebenenfalls wird das betroffene Unternehmen mit Ihnen vertraglich festlegen wollen, welche Sicherheitsvorgaben – abhängig vom jeweiligen Risiko – von Ihnen zu erfüllen sein werden. Sicherheitsnachweise können auf verschiedene Weise erfolgen (z.B. Zertifizierungen, Ratings, Audits, individuelle Nachweise der Compliance und Sicherheitsanforderungen). Bei der Überprüfung der unternehmensinternen Sicherheitsmaßnahmen kann Sie beispielsweise auch ein:e Ziviltechniker:in für Informationstechnologie unterstützen! 

Da die NIS2 Bestimmungen insbesondere auch große und mittlere gewerblich tätige Unternehmungen betreffen könnten, kann es als Dienstleister:in eines solchen Unternehmens auch sinnvoll sein, die weiterführenden Informationen der Wirtschaftskammer zu studieren:

Zusätzliche Informationen finden Sie unter https://www.nis.gv.at/fragen-und-antworten/nis-2-richtlinie/allgemeine-informationen-zu-nis-2.html 

 

Stand: Jänner 2026