NISG 2024 (Netz- und Informationssystemsicherheitsgesetz 2024)
Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) ist das österreichische Bundesgesetz zur Umsetzung der EU-NIS-2-Richtlinie. Es verpflichtet rund 4.000 mittlere und große Unternehmen aus kritischen Sektoren zu umfassenden Cybersicherheitsmaßnahmen, Meldepflichten und Risikomanagement.
Ausführliche Erklärung
Das NISG 2026 wurde am 12. Dezember 2025 vom österreichischen Nationalrat beschlossen und am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Es tritt am 1. Oktober 2026 in Kraft und ersetzt das bisherige NISG 2018. Die Verabschiedung erfolgte mit Verzögerung – die EU-Frist zur Umsetzung der NIS-2-Richtlinie war bereits im Oktober 2024 abgelaufen. Ein erster Anlauf unter der Bezeichnung NISG 2024 war im Juli 2024 am Fehlen der erforderlichen Zweidrittelmehrheit gescheitert.
Das Gesetz richtet sich an wesentliche und wichtige Einrichtungen aus 18 gesellschaftlich relevanten Sektoren, darunter Energie, Gesundheit, Verkehr, digitale Infrastruktur, Finanzwesen und verarbeitendes Gewerbe. Als Schwellenwert gilt die EU-Definition mittlerer Unternehmen (ab 50 Beschäftigte und 10 Millionen Euro Jahresumsatz oder Bilanzsumme). Betroffen sind schätzungsweise 4.000 Organisationen in Österreich. Über Lieferkettenvorgaben wirkt das NISG 2026 auch auf Dienstleister und Zulieferer dieser Einrichtungen.
Die zentralen Pflichten umfassen technische und organisatorische Risikomanagementmaßnahmen, gestaffelte Meldepflichten bei Cybersicherheitsvorfällen (Frühwarnung binnen 24 Stunden, detaillierte Meldung binnen 72 Stunden) sowie eine Registrierungspflicht bei der Cybersicherheitsbehörde bis 31. Dezember 2026. Binnen zwölf Monaten nach der Registrierung müssen Einrichtungen eine Selbstdeklaration über umgesetzte Maßnahmen abgeben. Die Aufsichtsbehörde kann unabhängige Prüfungen anordnen. Bei Verstößen drohen Verwaltungsstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen.
Das NISG 2026 errichtet zudem ein nationales Cybersicherheitszentrum und benennt Computer-Notfallteams (CSIRTs) zur Unterstützung betroffener Einrichtungen. Es stellt damit einen grundlegenden Paradigmenwechsel im österreichischen Cybersicherheitsrecht dar und bringt die nationale Gesetzgebung auf den Stand der verschärften EU-Anforderungen.
Praxisbeispiel
Ein österreichisches Softwarehaus mit 80 Mitarbeitenden, das Cloud-Dienste für Kunden im Gesundheitssektor anbietet, fällt als wichtige Einrichtung unter das NISG 2026. Das Unternehmen muss sich bis Ende 2026 bei der Cybersicherheitsbehörde registrieren, ein dokumentiertes Risikomanagement implementieren, Sicherheitsvorfälle innerhalb festgelegter Fristen melden und bis September 2027 eine Selbstdeklaration zur Umsetzung der Maßnahmen abgeben.
Quellen
- RIS – Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025
- WKO: NISG 2026 – neue Pflichten zur Cybersicherheit für Unternehmen
- Parlament Österreich: Netz- und Informationssystemsicherheitsgesetz 2026 (308 d.B.)
- Hochleitner Rechtsanwälte: Neue Cybersecurity-Gesetzgebung in Österreich – Das NISG 2026
- Anlaufstelle NISG: Die neue NIS-2-Richtlinie