NISG 2026: Fahrplan, Fristen und Pflichten für Österreich
Zuletzt aktualisiert: GRC
Kurz erklärt: Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026, BGBl I 94/2025) ist die österreichische Umsetzung der NIS2-Richtlinie. Es wurde am 23. Dezember 2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft (neun Monate nach Kundmachung, § 51); das alte NISG 2018 entfällt. Erfasst sind wesentliche und wichtige Einrichtungen (§ 24) in 18 Sektoren (§ 2, Anlagen 1/2). Kernpflichten: Registrierung binnen 3 Monaten (§ 29), Governance und Schulung der Leitungsorgane (§ 31), Risikomanagement (§ 32), Wirksamkeitsnachweis (§ 33) und Meldung in 24/72 Stunden (§ 34). Aufsicht und Strafen bis 10 Mio. €/2 % (§ 45) liegen beim Bundesamt für Cybersicherheit.
Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) ist die österreichische Umsetzung der NIS2-Richtlinie. Es wurde am 12. Dezember 2025 im Nationalrat beschlossen, am 23. Dezember 2025 als BGBl I 94/2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft. Damit löst es das NISG 2018 ab und bringt für tausende österreichische Unternehmen verbindliche Cybersicherheitspflichten.
Dieser Beitrag erklärt Aufbau, Fristen und Pflichten des Gesetzes mit den maßgeblichen Paragrafen. Wie die Umsetzung im Unternehmen praktisch gelingt, zeigt der Schwester-Leitfaden NIS2 umsetzen: Leitfaden für KMU.
Was ist das NISG 2026?
Das NISG 2026 ist Artikel 1 des Sammelgesetzes BGBl I 94/2025 (das zusätzlich das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 ändert). Es überführt die Vorgaben der Richtlinie (EU) 2022/2555 in nationales Recht und ersetzt das bisherige NISG 2018 (BGBl I 111/2018) samt Netz- und Informationssystemsicherheitsverordnung (NISV) und Verordnung über qualifizierte Stellen (QuaSteV) – diese treten mit dem NISG 2026 außer Kraft.
Der Fahrplan: Fristen auf einen Blick
| Schritt | Frist / Datum | Grundlage |
|---|---|---|
| Kundmachung (BGBl I 94/2025) | 23. Dezember 2025 | — |
| Inkrafttreten | 1. Oktober 2026 | § 51 |
| Registrierung bei der Cybersicherheitsbehörde | binnen 3 Monaten ab Inkrafttreten (bis ~Januar 2027) | § 29 Abs. 3 |
| Nachweis der Wirksamkeit der Maßnahmen | binnen 12 Monaten nach Registrierungspflicht | § 33 |
| Vorfallsmeldung (laufend) | 24 h / 72 h / 1 Monat | § 34 |
Das genaue Inkrafttreten ergibt sich aus § 51: Die Sicherheitspflichten (§§ 2–45 samt Anlagen) treten „nach Ablauf von neun Monaten nach der Kundmachung … mit dem nächstfolgenden Monatsersten” in Kraft. Neun Monate nach dem 23. Dezember 2025 ist der 23. September 2026 – der nächstfolgende Monatserste ist der 1. Oktober 2026.
Wer ist erfasst? Wesentliche und wichtige Einrichtungen
Das Gesetz adressiert ein hohes Cybersicherheitsniveau in 18 Sektoren (§ 2, ausdifferenziert in den Anlagen 1 und 2): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung.
Innerhalb dieser Sektoren unterscheidet § 24 zwei Kategorien:
- Wesentliche Einrichtungen (§ 24 Abs. 1) – typischerweise große Unternehmen in besonders kritischen Sektoren. Sie werden proaktiv beaufsichtigt.
- Wichtige Einrichtungen (§ 24 Abs. 2) – die übrigen mittleren und großen Unternehmen. Sie werden anlassbezogen (ex post) beaufsichtigt.
Die Einstufung folgt der Unternehmensgröße (§ 25, EU-Empfehlung 2003/361/EG): Die Pflichten greifen grundsätzlich ab mittleren Unternehmen (ab 50 Beschäftigten bzw. mehr als 10 Mio. € Jahresumsatz). Anders als unter dem NISG 2018 müssen Einrichtungen ihre Betroffenheit selbst feststellen und sich registrieren – nicht die Behörde identifiziert sie vorab.
Die Pflichten – Paragraf für Paragraf
| § | Pflicht | Kurzbeschreibung |
|---|---|---|
| § 29 | Registrierung | Eintragung im Register der Einrichtungen, binnen 3 Monaten ab Inkrafttreten |
| § 31 | Governance | Leitungsorgane stellen Risikomanagement sicher, beaufsichtigen es und nehmen an Cybersicherheitsschulungen teil – nicht delegierbar |
| § 32 | Risikomanagement | geeignete, verhältnismäßige technische/operative/organisatorische Maßnahmen nach Stand der Technik (gefahrenübergreifend) |
| § 33 | Wirksamkeitsnachweis | Nachweis, dass die Maßnahmen wirken, binnen 12 Monaten nach Registrierungspflicht |
| § 34 | Berichtspflichten | gestaffelte Meldung erheblicher Vorfälle: 24 h Frühwarnung, 72 h Meldung, 1 Monat Abschlussbericht |
| § 35 | Erheblicher Vorfall | Definition, wann ein Cybersicherheitsvorfall meldepflichtig ist |
Die Maßnahmen nach § 32 entsprechen inhaltlich dem Mindestkatalog aus Art. 21 NIS2-RL (Risikoanalyse, Incident Response, Business Continuity, Lieferketten-Sicherheit, sichere Beschaffung/Entwicklung, Wirksamkeitsbewertung, Cyberhygiene/Schulungen, Kryptografie, Zugriffskontrolle, Multi-Faktor-Authentifizierung). Strukturell deckt sich das mit einem ISMS; der ISMS-Aufbau und ein systematisches Informationssicherheits-Risikomanagement sind daher der naheliegende Umsetzungsweg.
Aufsicht, Behörde und Sanktionen
Zuständig ist die Cybersicherheitsbehörde, organisatorisch das Bundesamt für Cybersicherheit, mit einer zentralen Anlaufstelle und Anbindung an die nationalen Computer-Notfallteams (CSIRTs). Die Aufsicht und Durchsetzung gegenüber wesentlichen und wichtigen Einrichtungen regelt das Gesetz im Abschnitt „Aufsicht und Durchsetzung” (§§ 38 ff.) – mit dem beschriebenen Unterschied zwischen proaktiver und anlassbezogener Kontrolle.
Die Verwaltungsstrafbestimmungen in § 45 sind nach Einrichtungstyp gestaffelt:
- Wesentliche Einrichtung: bis zu 10 000 000 € oder 2 % des gesamten weltweiten Jahresumsatzes.
- Wichtige Einrichtung: bis zu 7 000 000 € oder 1,4 % des weltweiten Jahresumsatzes.
- Für Stellen der öffentlichen Verwaltung gilt ein eigener Tarif (bis 50 000 €, im Wiederholungsfall bis 100 000 €).
Dazu kommt die persönliche Verantwortung der Leitungsorgane aus § 31 – siehe Geschäftsführerhaftung und Cybersicherheit.
Was ändert sich gegenüber dem NISG 2018?
- Breiterer Anwendungsbereich: von wenigen „Betreibern wesentlicher Dienste” auf 18 Sektoren mit wesentlichen und wichtigen Einrichtungen.
- Selbstidentifikation statt Behörden-Bescheid: Unternehmen prüfen ihre Betroffenheit selbst und registrieren sich (§ 29).
- Governance-Pflicht: Leitungsorgane sind persönlich verantwortlich und schulungspflichtig (§ 31).
- Höhere Strafen: statt vergleichsweise moderater Beträge nun bis 10 Mio. € bzw. 2 % des Umsatzes (§ 45) — bis hin zur persönlichen Haftung der Geschäftsführung.
- Einheitliche Meldelogik: klares 24/72-Stunden-Schema plus Abschlussbericht (§ 34).
NISG 2026, RKEG und CER – wie hängt das zusammen?
NIS2 bzw. das NISG 2026 ist nicht das einzige Resilienz-Gesetz. Parallel regelt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) die physische und organisatorische Widerstandsfähigkeit – in Österreich umgesetzt durch das RKEG (Bundesgesetz über die Resilienz kritischer Einrichtungen). Während das NISG 2026 auf Cybersicherheit zielt, adressiert das RKEG den Schutz vor physischen Störungen (Ausfälle, Naturgefahren, Sabotage). In Deutschland entspricht dem die Kombination aus NIS2UmsuCG und dem geplanten KRITIS-Dachgesetz. Manche Einrichtungen fallen unter beide Regime und sollten die Pflichten gemeinsam planen.
Was Unternehmen jetzt tun sollten
Bis zum 1. Oktober 2026 bleibt Zeit – aber Risikomanagement und ISMS baut man nicht über Nacht auf. Sinnvolle erste Schritte:
- Betroffenheit feststellen (Sektor nach Anlagen 1/2, Unternehmensgröße nach § 25).
- Status erheben mit einem Cybersecurity Risk Assessment.
- Umsetzung starten entlang des NIS2-Praxisleitfadens und – als Struktur – über den ISMS-Aufbau.
- Registrierung und Meldewege für den Stichtag vorbereiten.
Wer die laufende Umsetzung nicht intern stemmen kann, holt sich Unterstützung — etwa über eine vCISO-Beratung.
Weiterführende Links
Häufige Fragen
- Was ist das NISG 2026?
- Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) ist Artikel 1 des Bundesgesetzes BGBl I 94/2025 und setzt die EU-Richtlinie NIS2 (2022/2555) in österreichisches Recht um. Es ersetzt das NISG 2018 und die NIS-Verordnung (NISV) und regelt die Cybersicherheitspflichten wesentlicher und wichtiger Einrichtungen.
- Wann tritt das NISG 2026 in Kraft?
- Am 1. Oktober 2026. Das Gesetz wurde am 23. Dezember 2025 kundgemacht; § 51 ordnet das Inkrafttreten neun Monate nach Kundmachung mit dem nächstfolgenden Monatsersten an – das ergibt den 1. Oktober 2026.
- Welche Fristen müssen Unternehmen nach dem NISG 2026 einhalten?
- Nach Inkrafttreten am 1. Oktober 2026 müssen sich betroffene Einrichtungen innerhalb von drei Monaten bei der Cybersicherheitsbehörde registrieren (§ 29). Den Nachweis der Wirksamkeit ihrer Risikomanagementmaßnahmen müssen sie binnen zwölf Monaten nach Eintritt der Registrierungspflicht erbringen (§ 33). Vorfälle sind in 24 Stunden, 72 Stunden und einem Monat zu melden (§ 34).
- Welche Behörde ist in Österreich zuständig?
- Zuständig ist die Cybersicherheitsbehörde, organisiert als Bundesamt für Cybersicherheit, mit einer zentralen Anlaufstelle. Vorfallsmeldungen laufen über das zuständige Computer-Notfallteam (CSIRT/CERT) an die Behörde.
- Was ändert sich gegenüber dem NISG 2018?
- Das NISG 2026 erweitert den Anwendungsbereich von wenigen Betreibern wesentlicher Dienste auf 18 Sektoren mit wesentlichen und wichtigen Einrichtungen, führt die Selbstidentifikation samt Registrierungspflicht ein, verpflichtet die Leitungsorgane persönlich (Governance und Schulung) und erhöht die Strafen deutlich – bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.