Neue Cybersecurity-Gesetzgebung in Österreich: Das Netz- und Informationssystemsicherheitsgesetz 2026 („NIS 2“ Umsetzung in Österreich)

Mit einiger Verspätung wurde in Österreich kurz vor Jahresende 2025 die NIS-2-Richtlinie der EU umgesetzt. Das Netz- und Informationssystemsicherheitsgesetz 2026 (kurz: NISG 2026) wurde am 12.12.2025 im Nationalrat beschlossen und beinhaltet relevante Neuerungen im Bereich der Cybersecurity. Zu den Pflichten der umfassten Einrichtungen gehören neben der rechtzeitigen Registrierung bei der Cybersicherheitsbehörde auch Risikomanagement- und Governancemaßnahmen sowie Meldepflichten bei Sicherheitsvorfällen.

Our Yearly Focus

1. Einleitung

Das NISG 20261 setzt die unionsrechtlichen Vorgaben der Richtlinie (EU) 2022/2555 (kurz: NIS-2-Richtlinie)2 in österreichisches Bundesrecht3 um und ersetzt das bisherige NISG 2018, welches mit 30.09.2026 außer Kraft tritt. Gegenstand des NISG 2026 ist die Stärkung der Cybersicherheit durch einen (im Vergleich zu NIS 1) erweiterten Anwendungsbereich, verschärfte organisatorische und technische Pflichten sowie ein neu strukturiertes Aufsichts- und Sanktionssystem.

 

2. Gesetzessystematik, Überblick und Anwendungsbereich

Das NISG 2026 tritt im Wesentlichen mit 01.10.2026 in Kraft (§ 51 NISG 2026). Innerhalb von 3 Monaten ab Inkrafttreten, also bis zum 31.12.2026, müssen sich betroffene Einrichtungen bei der Cybersicherheitsbehörde registrieren (§ 29 Abs. 3 NISG 2026). Innerhalb von 12 Monaten ab der Registrierungspflicht, also bis zum 31.12.2027, müssen diese Einrichtungen dann eine sogenannte Selbstdeklaration bei der Cybersicherheitsbehörde hinsichtlich der von ihnen umgesetzten Risikomanagementmaßnahmen vornehmen (§ 33 Abs. 1 NISG 2026).

Frühestens nach Ablauf von zwei Jahren ab Inkrafttreten, also frühestens ab 01.10.2028, kann die Cybersicherheitsbehörde Einrichtungen zur Nachweiserbringung iSd. § 33 Abs. 2 NISG 2026 auffordern. Handelt es sich um eine wesentliche Einrichtung, muss diese binnen zwei Monaten nach Aufforderung (also frühestens zum 30.11.2028) den geforderten Nachweis erbringen. Handelt es sich um eine wichtige Einrichtung, so beträgt die Nachweisfrist zwei Jahre ab Aufforderung (also frühestens zum 30.09.2030).

Der sachliche Anwendungsbereich des NISG erstreckt sich auf Einrichtungen in den in den Anlagen des Gesetzes genannten Sektoren sowie Teilsektoren, sofern die jeweiligen Schwellenwerte (insbesondere Mitarbeiterzahl und Jahresumsatz) erreicht werden. Bei verbundenen Unternehmen sind die relevanten Schwellenwerte grundsätzlich konzernweit zusammenzurechnen (§ 25 Abs. 4 NISG 2026).

In Anlage 1 sind Sektoren mit hoher Kritikalität geregelt, also wesentliche Einrichtungen, wie beispielsweise:4

  • Energie, Verkehr, Bankwesen, Gesundheitswesen, Wasser, digitale Infrastruktur, IKT-Dienste, öffentliche Verwaltung, Weltraum.

In Anlage 2 sind sonstige kritische Sektoren, also wichtige Einrichtungen geregelt, wie beispielsweise:5

  • Post, Abfallwirtschaft, chemische Stoffe, Lebensmittel, Medizinprodukte, Fahrzeugbau, digitale Dienste, Forschungseinrichtungen.

Darüber hinaus können auch weitere Unternehmen indirekt von NIS 2 betroffen sein, da § 32 Abs. 4 lit. d NISG 2026 regelt, dass sich die Risikomanagementmaßnahmen auch auf die (unmittelbare) Lieferkette zu erstrecken haben. Die Österreichische Strategie für Cybersicherheit (ÖSCS) hat dabei für die Sicherheit der Lieferkette Konzepte auszuarbeiten (§ 15 Abs. 4 Z. 1 NISG 2026). Derzeit liegt jedoch noch keine aktuelle Fassung dieser Strategie vor.6

 

3. Wesentliche Änderungen im Vergleich zu NIS 1

Gegenüber dem NISG 20187 kommt es durch das NISG 2026 insbesondere zu einer erheblichen Ausweitung des Anwendungsbereichs, einer Konkretisierung der Risikomanagementmaßnahmen sowie zu deutlich erhöhten Strafrahmen (insbesondere § 45 NISG 2026, Verwaltungsstrafen bis zu 10 Mio. EUR bzw. 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen). 

 

4. Wesentliche Änderungen im Vergleich zum Gesetzesentwurf 2024

Bereits im Jahr 2024 wurde ein Initiativantrag zur Umsetzung der NIS-2-Richtlinie der EU im österreichischen Parlament eingebracht. Dieser Gesetzesentwurf fand allerdings nicht die erforderliche Zwei-Drittel-Mehrheit.8 Einer der Kritikpunkte am Entwurf des NISG 2024 war die Behördenstruktur, insbesondere die Ansiedelung der nationalen Cybersicherheitsbehörde beim Innenministerium.9 Mit dem neuen NISG 2026 wurde nunmehr ein eigenes Bundesamt für Cybersicherheit eingerichtet, welches zwar dem Bundesminister für Inneres unmittelbar nachgeordnet ist, allerdings organisatorisch außerhalb der Generaldirektion für die öffentliche Sicherheit eingerichtet ist (§ 3a Abs. 2 NISG 2026).

 

5. Pflichtenkatalog

  1. Registrierungspflicht
    Betroffene Einrichtungen haben sich innerhalb der gesetzlich vorgesehenen Fristen (siehe oben) bei der zuständigen Behörde zu registrieren (§ 29 NISG 2026).
     
  2. Risikomanagementmaßnahmen und Nachweis deren Wirksamkeit
    Betroffene Einrichtungen haben angemessene technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für Netz- und Informationssysteme zu reduzieren (§ 32 NISG 2026). Zur Konkretisierung dieser Risikomanagementmaßnahmen ist die Cybersicherheitsbehörde dazu ermächtigt, nähere Anforderungen mittels Verordnung festzulegen. Die gesetzliche Regelung in Österreich erlaubt dabei explizit, dass die von der EU-Kommission erlassenen Durchführungsrechtsakte für bestimmte Sektoren auf andere Sektoren übertragen werden können (§ 32 Abs. 5 NISG 2026). Diese Regelung ist insbesondere für die Durchführungsverordnung der EU vom 17.10.2024 für bestimmte digitale Dienste relevant,10 welche somit durch eine österreichische Verordnung auch auf andere Sektoren übertragen werden kann.
    Innerhalb bestimmter Fristen haben betroffene Einrichtungen auch einen Nachweis über die Wirksamkeit der Risikomanagementmaßnahmen zu erbringen (§ 33 NISG 2026, und dazu bereits weiter oben). Dabei bestehen auch relevante Unterschiede zwischen wesentlichen und wichtigen Einrichtungen. Dieser Nachweis kann durch die Prüfung durch eine unabhängige Stelle erfolgen, die nicht länger als zwei Jahre zurückliegt. Der Nachweis der operativen sowie organisatorischen Umsetzung ist dabei auch durch einschlägige gültige Zertifikate möglich.11
     
  3. Governancemaßnahmen
    Die Leitungsorgane betroffener Einrichtungen haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen. Weiters müssen die Leitungsorgane an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen. Auch den Mitarbeitern sind regelmäßig entsprechende Schulungen anzubieten.
    Im aktuellen NISG 2026 ist die Haftung der Leitungsorgane nicht explizit geregelt, vielmehr richtet sich diese nach allgemeinen Grundsätzen. Auch die Verwaltungsstrafen richten sich nicht an die Leitungsorgane selbst, sondern an die jeweiligen Einrichtungen als juristische Personen.12
     
  4. Berichts- und Meldepflichten
    Kommt es zu einem erheblichen Cybersicherheitsvorfall, müssen die betroffenen Einrichtungen diesen unverzüglich an das für sie zuständige Computer-Notfallteam (CSIRT, § 8 NISG 2026) melden (Berichtspflicht, § 34 NISG 2026). Das CSIRT leitet diese Meldung anschließend an die Cybersicherheitsbehörde weiter. Für die Berichtspflichten der betroffenen Einrichtungen gelten folgende Fristen:
  • Frühwarnung binnen 24 Stunden,
  • Meldung inklusive Bewertung binnen 72 Stunden und
  • Abschlussbericht binnen einem Monat.

Ein Cybersicherheitsvorfall gilt als erheblich (§ 35 NISG 2026), wenn er

  1. schwerwiegende Betriebsstörungen der erbrachten Dienste der Einrichtung oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
  2. andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.13

Die Cybersicherheitsbehörde kann dazu mittels Verordnung auch nähere Kriterien festlegen (§ 35 Abs. 3 NISG 2026).

 

6. Internationaler Kontext

Territorialität (§ 28 NISG 2026): Das Gesetz findet Anwendung auf Einrichtungen mit Hauptniederlassung in Österreich.

Definition der Hauptniederlassung: Maßgeblich ist jener Ort, an dem die wesentlichen unternehmerischen Entscheidungen betreffend Risikomanagement getroffen werden.

 

7. Weiterführende Rechtsakte

  • Durchführungsverordnung der EU-Kommission (EU) 2024/2690 vom 17.10.2024 zur Konkretisierung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit für bestimmte digitale Dienste.14
  • Österreichische Strategie für Cybersicherheit (ÖSCS), durch die Cybersicherheitsbehörde zu erlassen, § 15 NISG 2026.
  • Verordnungsermächtigungen für die Cybersicherheitsbehörde, wie z.B.:
    • Verordnungsermächtigung § 32 Abs. 5 NISG 2026: nähere Anforderung an Risikomanagementmaßnahmen.
    • Verordnungsermächtigung § 35 Abs. 3 NISG 2026: Definition erheblicher Sicherheitsvorfall.

 

8. Conclusio

Das NISG 2026 stellt einen wesentlichen Paradigmenwechsel im österreichischen Cybersicherheitsrecht dar. Unternehmen sind gut beraten, sich frühzeitig mit den neuen Pflichten auseinanderzusetzen.

1 Beschluss des Nationalrats: https://www.parlament.gv.at/dokument/XXVIII/BNR/126/fname_1729726.pdf; Erläuternde Regierungsvorlage: https://www.parlament.gv.at/dokument/XXVIII/I/308/fname_1723246.pdf (zuletzt besucht am 09.01.2026).

2 NIS-2-Richtlinie: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555 (zuletzt besucht am 09.01.2026).

3 BGBl I Nr. 94/2025: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2025_I_94/BGBLA_2025_I_94.pdf (zuletzt besucht am 09.01.2026).

4 Anlage1: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2025_I_94/Anlagen_0001_EAE421E2_DE4E_4B71_BD36_81BFBE39AF53.pdf (zuletzt besucht am 09.01.2026).

5 Anlage 2: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2025_I_94/Anlagen_0002_C54CCCDB_5C86_4D0A_9BEB_EFA8D9B259EE.pdf (zuletzt besucht am 09.01.2026).

6 https://www.bmi.gv.at/504/start.aspx (zuletzt besucht am 09.01.2026).

7 NISG 2018: https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010536 (zuletzt besucht am 09.01.2026);
NISV 2019: https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010722 (zuletzt besucht am 09.01.2026).

8 Vgl. Website Parlament https://www.parlament.gv.at/gegenstand/XXVII/A/4129 (zuletzt besucht 09.01.2026).

9 Vgl. Parlamentskorrespondenz https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785#XXVII_A_04129 (zuletzt besucht am 09.01.2026).

10 https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:L_202402690&qid=1736332059214#anx_1 (zuletzt besucht am 09.01.2026).

11 Aus dem Wortlaut des § 33 Abs. 2 NISG 2026 ist zu schließen, dass der Nachweis der technischen Umsetzung nicht durch einschlägige Zertifikate, sondern nur durch eine unabhängige Prüfung möglich ist. Nähere Ausführungen zu der technischen Überprüfung finden sich in der Erläuternden Regierungsvorlage Seite 37, vgl. https://www.parlament.gv.at/dokument/XXVIII/I/308/fname_1723246.pdf (zuletzt besucht 09.01.2026).

12 ErlRV 308 Blg NR XXVIII. GP, Seite 35, vgl. https://www.parlament.gv.at/dokument/XXVIII/I/308/fname_1723246.pdf (zuletzt besucht 09.01.2026).

13 Aus den Erläuterungen zur Regierungsvorlage ergibt sich, dass die beiden Tatbestandsmerkmale Z. 1 und Z. 2 alternativ und nicht kumulativ zu verstehen sind, vgl. ErlRV 308 Blg NR XXVIII. GP, Seite 41, vgl. https://www.parlament.gv.at/dokument/XXVIII/I/308/fname_1723246.pdf (zuletzt besucht 10.01.2026).

14 https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:L_202402690&qid=1736332059214#anx_1 (zuletzt besucht am 11.01.2026).

Von: Hochleitner Rechtsanwälte
Veröffentlicht: 13.01.2026

Zurück zu Kanzlei Nachrichten