top of page
Suche

Ist Ihr Unternehmen bereits NISG 2026 konform?

Aktualisiert: vor 2 Tagen


Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) setzt die EU-NIS-2-Richtlinie in Österreich um und erweitert den Kreis der verpflichteten Organisationen deutlich. Cybersicherheit wird damit zur verbindlichen Management- und Compliance-Aufgabe.


Neben Risikomanagementmaßnahmen und Meldepflichten kommen Registrierung, Selbstdeklaration sowie – je nach Kategorie und Anlass – Nachweis- bzw. Auditpflichten hinzu. Die wesentlichen Bestimmungen treten nach Übergangsfrist am 1. Oktober 2026 in Kraft. Bis dahin ist für die betroffenen Unternehmen viel zu tun.


Worum geht es beim NISG 2026?

Das NISG 2026 verpflichtet „wesentliche“ und „wichtige“ Einrichtungen zu einem risikoorientierten Sicherheitsniveau für Netz- und Informationssysteme. Im Mittelpunkt stehen:

  • Governance und Verantwortung der Leitungsorgane

  • Technische, operative und organisatorische Sicherheitsmaßnahmen (§ 32)

  • Melde- und Berichtspflichten bei erheblichen Cybersicherheitsvorfällen (§ 34/§ 35)

  • Registrierung (§ 29) und Selbstdeklaration (§ 33)


Ist Ihr Unternehmen betroffen? So läuft die Einordnung in der Praxis ab


Vom NISG 2026 betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:

Sektoren mit hoher Kritikalität: Anlage 1 des NISG 2026

Sonstige kritische Sektoren: Anlage 2 des NISG 2026

  • Energie

  • Verkehr

  • Bankwesen)

  • Finanzmarktinfrastrukturen)

  • Gesundheitswesen

  • Trinkwasser

  • Abwasser

  • Digitale Infrastruktur

  • Verwaltung von IKT-Diensten B2B

  • öffentliche Verwaltung

  • Weltraum

  • Post- und Kurierdienste

  • Abfallbewirtschaftung

  • Chemie

  • Lebensmittel

  • verarbeitendes/herstellendes Gewerbe)

  • Anbieter digitaler Dienste

  • Forschung (fakultativ)

Eine Einrichtung gilt nach NISG 2026 als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeiter beschäftigt, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über zehn Millionen Euro beläuft.


Eine Einrichtung gilt nach NISG 2026 als „großes Unternehmen“, wenn sie zumindest 250 Mitarbeiter beschäftigt oder wenn sie einen Jahresumsatz von über 50 Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über 43 Millionen Euro beläuft.


Zur Beantwortung der Frage, ob Ihr Unternehmen dem NISG 2026 unterliegt, empfehlen wir folgendes Prüfschema:

  1. Ausschlüsse/Sonderregeln prüfen (z.B. bestimmte staatliche Bereiche, öffentliche Verwaltung).

  2. Sektor und Tätigkeit zuordnen: Relevante Tätigkeiten anhand der Anlagen identifizieren. Unser Praxis-Tipp: Nicht nur den Sektornamen lesen, sondern auch Detaildefinitionen und Verweise in den Anlagen prüfen.

  3. Unternehmensgröße ermitteln. Es ist immer die einzelne juristische Person (z.B. GmbH, AG, Verein), nicht „der Konzern als Ganzes“ zu prüfen. Konzernstrukturen sind dennoch relevant, weil Größen- und Umsatzschwellen nach EU-KMU-Systematik unter Einbeziehung verbundener Unternehmen zu beurteilen sein können.

  4. Einstufung als „wesentliche“ oder „wichtige“ Einrichtung bestimmen. Neben der Grundregel (Sektor + Größe) gibt es größenunabhängige Sondertatbestände (insbesondere im Bereich digitaler Infrastruktur).

  5. Abgrenzung zur Lieferkette: Nur wesentliche/wichtige Einrichtungen unterliegen dem NISG. Lieferanten sind aber häufig mittelbar betroffen – vor allem über vertragliche Sicherheits- und Informationspflichten.


Wer ist verantwortlich und welche Pflichten sind typischerweise umzusetzen?


1) Leitungsorgane

Leitungsorgane (typischerweise Geschäftsführung/Vorstand) bleiben verantwortlich, auch wenn die operative Umsetzung delegiert wird. Das NISG 2026 verlangt insbesondere:

  • Schulungen für Leitungsorgane und Awareness-Maßnahmen für Mitarbeitende (§ 31)

  • Klare Rollen, Reporting-Linien und dokumentierte Entscheidungen


2) Risikomanagementmaßnahmen (§ 32) – Mindestkategorien

Jedenfalls müssen folgende Maßnahmen ergriffen werden, um vor Cybersicherheitsvorfällen zu schützen:

  • Risikoanalyse & Informationssicherheit: Konzepte zur Analyse von Risiken und zur Absicherung von Informationssystemen.

  • Incident Response: Vorgehen zur Bewältigung von Cybersicherheitsvorfällen.

  • Betriebsfortführung: Backup, Wiederherstellung nach Notfällen und Krisenmanagement.

  • Lieferkettensicherheit: Sicherheitsaspekte bei Beziehungen zu unmittelbaren Anbietern/Dienstleistern.

  • Sichere Beschaffung/Entwicklung/Wartung: Sicherheitsmaßnahmen über den Lebenszyklus von Systemen, inkl. Schwachstellenmanagement und -offenlegung.

  • Wirksamkeitsprüfung: Konzepte/Verfahren zur Bewertung, ob die Maßnahmen funktionieren.

  • Cyberhygiene & Schulungen: Grundlegende Sicherheitspraktiken und Awareness/Training.

  • Kryptografie/Verschlüsselung: Konzepte/Verfahren für Krypto und ggf. Verschlüsselung.

  • Personal-, Zugriffs- & Asset-Sicherheit: Personalsicherheit, Zugriffskontrolle und Asset-Management.

  • Starke Authentifizierung & sichere Kommunikation: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, gesicherte Sprach-/Video-/Textkommunikation und ggf. sichere Notfallkommunikation.


3) Melde- und Berichtspflichten (§ 34/§ 35)

Erhebliche Cybersicherheitsvorfälle sind unverzüglich zu melden. Das Gesetz sieht dafür gestufte Fristen vor. In der Praxis besonders relevant sind ein sehr früher Erstkontakt mit der Behörde sowie weitere Berichte binnen 72 Stunden und ein Abschlussbericht. Wichtig ist eine belastbare interne Entscheidungslogik: Wann ist ein Vorfall „erheblich“? Wer entscheidet? Wer meldet? Wer kommuniziert (auch gegenüber Kunden/Medien/Behörden)?


4) Registrierung und Selbstdeklaration (§ 29 / § 33)

Wesentliche und wichtige Einrichtungen müssen sich registrieren und Änderungen melden. Zudem ist eine Selbstdeklaration abzugeben: Binnen 12 Monaten nach Eintritt der Registrierungspflicht sind strukturierte Informationen zu übermitteln (u.a. umgesetzte Maßnahmen, Lieferkettensicherheit, Ergebnisse der Risikoanalyse). Falsche Angaben und Fristversäumnisse sind strafbewehrt.


Aufsicht und Nachweise: Was Unternehmen erwartet


Zunächst steht die Selbstdeklaration im Vordergrund. Darauf aufbauend kann – abhängig von Kategorie und Anlass – eine behördlich angeordnete Nachweisführung durch unabhängige Stellen folgen. In der Praxis können etwa fehlende/auffällige Selbstdeklarationen, Nicht-Registrierung oder Hinweise aus Vorfallmeldungen sein.


Typische Stolpersteine aus der Praxis


Häufige Fehlerquellen sind:

  • Sektorzuordnung nur nach „Etikett“, ohne Detaildefinitionen der Anlagen zu prüfen

  • Größenprüfung ohne Berücksichtigung verbundener Unternehmen (EU-KMU-Systematik)

  • Unklare Zuständigkeit

  • Meldeprozess ohne klare Kriterien für „Erheblichkeit“ und ohne belastbare Dokumentation

  • Lieferkette ohne vertragliche Vorfalls-Informationspflichten und Mindeststandards

  • „Papier-Compliance“ ohne Wirksamkeitsnachweise (Tests, Übungen, Monitoring)


Wie wir unterstützen


Wir unterstützen Mandanten insbesondere bei der rechtlichen Einordnung (Anwendungsbereich, Kategorie, Schnittstellen), der korrekten Registrierung, der Umsetzung von Risikomanagementmaßnahmen, der Erstellung/Prüfung von Richtlinien und Vertragsklauseln innerhalb der Lieferkette. Zudem bieten wir individuelle Schulungen für Führungskräfte und Unternehmen an.


Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine einzelfallbezogene Rechtsberatung.

 
 
bottom of page