NIS2 Österreich: NISG 2026 – Pflichten, Fristen und Umsetzung

Das Wichtigste in Kürze

• NISG 2026 beschlossen – Inkrafttreten am 1. Oktober 2026: Der österreichische Nationalrat hat das Netz- und Informationssystemsicherheitsgesetz 2026 im Dezember 2025 verabschiedet. Rund 4.000 Unternehmen aus 18 Sektoren müssen sich bis 31.12.2026 registrieren und Risikomanagementmaßnahmen umsetzen.
• Geschäftsführer haften persönlich: Erstmals verankert das NISG 2026 eine explizite Verantwortung der Leitungsorgane für Cybersicherheit – inklusive Schulungspflicht und persönlicher Haftung bei Versäumnissen.
• Strafen bis 10 Mio. Euro und Umsetzungsdruck durch Selbstdeklaration: Betroffene Unternehmen müssen bis September 2027 eine strukturierte Selbstdeklaration zu ihren Sicherheitsmaßnahmen einreichen. Wer die Fristen verpasst, riskiert Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Sie verantworten die IT eines österreichischen Unternehmens und spüren seit Monaten den steigenden Druck: NIS2 kommt – aber wann genau? In welcher Form? Und was bedeutet das konkret für Ihre Organisation? Die Unsicherheit war berechtigt, denn Österreich hat sich mit der Umsetzung Zeit gelassen. Doch seit Dezember 2025 ist klar: Das NISG 2026 ist beschlossen, die Fristen laufen.

Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) setzt die EU-weite NIS-2-Richtlinie in Österreich um. Es verpflichtet Unternehmen ab mittlerer Größe in 18 definierten Sektoren zu verbindlichen Cybersicherheitsmaßnahmen, Meldepflichten und einer nachweisbaren IT-Dokumentation. Die Frist dafür ist knapp: Ab 1. Oktober 2026 gelten die Pflichten.

Dieser Artikel erklärt den aktuellen Stand, die wichtigsten Fristen und was Sie jetzt tun müssen – unabhängig davon, ob Sie bereits Maßnahmen ergriffen haben oder gerade erst mit der Planung beginnen.

Was ist das NISG 2026 und warum betrifft es Ihr Unternehmen?

Das NISG 2026 ist die österreichische Umsetzung der europäischen NIS-2-Richtlinie (EU 2022/2555). Es ersetzt das bisherige NISG 2018 vollständig und verfolgt ein klares Ziel: ein unionsweit einheitliches Cybersicherheitsniveau für Unternehmen und Einrichtungen, die für Wirtschaft und Gesellschaft kritisch sind.

Im Kern verpflichtet das Gesetz betroffene Organisationen zu drei Dingen: erstens zur Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen, zweitens zur Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden, und drittens zur nachweisbaren Dokumentation dieser Maßnahmen gegenüber der neu eingerichteten Cybersicherheitsbehörde – dem Bundesamt für Cybersicherheit im BMI.

Der Unterschied zur Vorgängerregelung ist erheblich: Wo das NISG 2018 nur eine überschaubare Anzahl von Betreibern kritischer Infrastrukturen betraf, weitet das NISG 2026 den Anwendungsbereich auf rund 4.000 Unternehmen in Österreich aus.

Welche Unternehmen sind in Österreich betroffen?

Ob Ihr Unternehmen unter das NISG 2026 fällt, hängt von zwei Kriterien ab: Sektor und Größe.

Sektoren: Das Gesetz erfasst 18 gesellschaftlich relevante Sektoren – darunter Energie, Verkehr, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, Bankwesen, öffentliche Verwaltung, Lebensmittelproduktion, Abfallbewirtschaftung, verarbeitendes Gewerbe und Forschung.

Größenkriterien: Betroffen sind mittlere und große Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Bilanzsumme von über 10 Millionen Euro. Kleine Unternehmen unter diesen Schwellen sind grundsätzlich ausgenommen – mit Ausnahmen: Alleinanbieter kritischer Dienste, TLD-Namenregister, DNS-Diensteanbieter und Anbieter öffentlicher Kommunikationsnetze fallen unabhängig von ihrer Größe unter das Gesetz.

Das NISG 2026 unterscheidet zwischen zwei Kategorien:

• Wesentliche Einrichtungen – große Unternehmen aus Sektoren mit hoher Kritikalität (z. B. Energie, Verkehr, Gesundheit). Für sie gelten strengere Aufsichtsmaßnahmen und höhere Sanktionen.
• Wichtige Einrichtungen – mittlere Unternehmen aus den gleichen Sektoren sowie große und mittlere Unternehmen aus sonstigen kritischen Sektoren. Die Aufsicht erfolgt hier primär anlassbezogen.

Einen ersten Anhaltspunkt bietet der Online-Ratgeber der WKO zur NIS2-Betroffenheit. Eine vertiefte Analyse der Betroffenheitskriterien finden Sie in unserem Blogartikel NIS2: Wer ist betroffen?

Welche Fristen gelten für das NISG 2026?

Das NISG 2026 wurde am 23. Dezember 2025 im Bundesgesetzblatt kundgemacht (BGBl. I Nr. 94/2025). Der Zeitplan für betroffene Unternehmen ist klar definiert – und die Uhr läuft bereits:

• 1. Oktober 2026 – Inkrafttreten: Ab diesem Datum gelten alle Pflichten des NISG 2026. Risikomanagementmaßnahmen müssen umgesetzt sein, Meldepflichten bei Sicherheitsvorfällen werden wirksam. Das bisherige NISG 2018 tritt gleichzeitig außer Kraft.
• 31. Dezember 2026 – Registrierungsfrist: Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten bei der Cybersicherheitsbehörde registrieren. Die Registrierung erfolgt über das Unternehmer-Service-Portal (USP); das genaue Verfahren wird noch per Verordnung festgelegt.
• 30. September 2027 – Selbstdeklaration: Binnen zwölf Monaten nach Eintritt der Registrierungspflicht ist eine strukturierte Selbstdeklaration einzureichen. Diese umfasst die genutzten Netz- und Informationssysteme, Ergebnisse der Risikoanalyse und den Stand der umgesetzten Maßnahmen.
• 1. Oktober 2028 – Behördliche Prüfungen: Ab diesem Zeitpunkt kann die Cybersicherheitsbehörde wesentliche und wichtige Einrichtungen zur Vorlage von Nachweisen auffordern und Prüfungen durch unabhängige Stellen anordnen.

Für die Praxis heißt das: Sie haben noch rund sechs Monate bis zum Inkrafttreten. Die Implementierung von Risikomanagementmaßnahmen, Meldeprozessen und einer belastbaren IT-Dokumentation erfordert Vorlauf – insbesondere wenn Sie bei null starten.

Warum haftet die Geschäftsführung persönlich?

Das NISG 2026 bringt ein Novum, das die Aufmerksamkeit der Unternehmensleitung verdient: Leitungsorgane sind erstmals explizit für die Einhaltung der Cybersicherheitsanforderungen verantwortlich. Das betrifft Geschäftsführer bei GmbHs und Vorstände bei Aktiengesellschaften.

Konkret bedeutet das drei Pflichten: Die Geschäftsführung muss die Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und an speziell für Leitungsorgane konzipierten Cybersicherheitsschulungen teilnehmen. Wer diese Pflichten vernachlässigt, kann nicht nur behördliche Sanktionen auslösen, sondern setzt sich auch gesellschaftsrechtlichen Regressansprüchen aus.

Cybersicherheit wird damit endgültig zur Chefsache. Die Zeiten, in denen IT-Sicherheit allein in der Fachabteilung verantwortet wurde, sind für betroffene Unternehmen vorbei.

Welche Strafen drohen bei Verstößen?

Das Sanktionsregime des NISG 2026 ist abgestuft – und deutlich schärfer als beim Vorgängergesetz:

• Wesentliche Einrichtungen: Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zusätzlich kann die Behörde im Extremfall die vorübergehende Aussetzung der Tätigkeit oder ein Tätigkeitsverbot für Personen mit Geschäftsleitungsaufgaben anordnen.
• Wichtige Einrichtungen: Geldbußen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
• Organisatorische Pflichtverletzungen: Wer sich nicht registriert oder die Selbstdeklaration nicht fristgerecht einreicht, riskiert Strafen von bis zu 50.000 Euro – im Wiederholungsfall bis zu 100.000 Euro.

Die Durchsetzung erfolgt über das neu eingerichtete Bundesamt für Cybersicherheit. Wesentliche Einrichtungen können jederzeit proaktiv geprüft werden, bei wichtigen Einrichtungen greift ein anlassbezogenes Prüfregime.

Warum ist die Lieferkette so wichtig?

Ein Punkt, der in der NIS2-Debatte oft unterschätzt wird: Das NISG 2026 verpflichtet betroffene Unternehmen, die Cybersicherheit ihrer Lieferkette vertraglich abzusichern. Konkret müssen wesentliche und wichtige Einrichtungen die Schwachstellen ihrer unmittelbaren Dienstleister und Zulieferer bewerten und entsprechende Sicherheitsanforderungen vertraglich verankern.

Die Konsequenz: Auch wenn Ihr Unternehmen nicht direkt unter das NISG 2026 fällt, können Sie als IT-Dienstleister, Managed Service Provider oder Zulieferer eines betroffenen Unternehmens indirekt reguliert werden. Große Kunden werden vertragliche Nachweise verlangen – über Backup-Strategien, Zugriffskonzepte, Patch-Management und Incident-Response-Fähigkeiten.

Wer seine IT-Infrastruktur nicht transparent dokumentieren kann, riskiert nicht nur Compliance-Probleme, sondern auch den Verlust von Geschäftsbeziehungen.

Was hat sich 2025/2026 geändert?

Die Entwicklung des NISG 2026 war ein politisches Langstreckenprojekt. Hier die wichtigsten Meilensteine:

Februar 2024: Der erste Gesetzesentwurf (NISG 2024) scheitert im Nationalrat an der erforderlichen Zweidrittelmehrheit. SPÖ, FPÖ und NEOS kritisieren handwerkliche Mängel und unzureichende Stakeholder-Einbindung.

2024/2025: Die EU leitet ein Vertragsverletzungsverfahren gegen Österreich ein, da die Umsetzungsfrist vom 17. Oktober 2024 verstrichen ist – wie in den meisten anderen Mitgliedstaaten auch.

21. November 2025: Die neue Bundesregierung bringt den überarbeiteten Entwurf des NISG 2026 ohne außerparlamentarische Begutachtung als Regierungsvorlage in den Nationalrat ein.

12. Dezember 2025: Der Nationalrat beschließt das NISG 2026 mit Zweidrittelmehrheit (ÖVP, SPÖ, NEOS und Grüne stimmen zu, die FPÖ lehnt ab).

23. Dezember 2025: Kundmachung im Bundesgesetzblatt (BGBl. I Nr. 94/2025).

1. Oktober 2026: Inkrafttreten des NISG 2026.

Gegenüber dem gescheiterten Entwurf von 2024 enthält das NISG 2026 gezielte Anpassungen: praxistauglichere Fristen, ein geschärftes Aufsichtsregime, die Einrichtung des Bundesamts für Cybersicherheit als zentrale Behörde und eine stärkere Betonung des Datenschutzes.

Wie unterscheidet sich Österreich von Deutschland?

Sowohl Österreich als auch Deutschland haben ihre NIS2-Umsetzung erst Ende 2025 beschlossen – mit unterschiedlichen Schwerpunkten:

Zeitlicher Rahmen: Das deutsche NIS2-Umsetzungsgesetz trat bereits am 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Das österreichische NISG 2026 gewährt dagegen neun Monate Übergangsfrist bis zum 1. Oktober 2026. Für den Vergleich der deutschen Umsetzung lesen Sie unseren Artikel zur NIS-2-Richtlinie: Umsetzung in Deutschland.

Terminologie: Deutschland spricht von „wichtigen" und „besonders wichtigen" Einrichtungen. Österreich verwendet „wesentliche" und „wichtige" Einrichtungen. Die Kategorien sind inhaltlich vergleichbar, aber in den Details unterschiedlich geregelt.

Behördenstruktur: In Deutschland ist das BSI die zentrale Aufsichtsbehörde. In Österreich übernimmt das neu geschaffene Bundesamt für Cybersicherheit im Bundesministerium für Inneres diese Rolle.

Betroffenheitsschwellen: Österreich verfolgt bei der Einstufung einen Ansatz, der neben der Unternehmensgröße auch die sektorale Bedeutung und die potenziellen Auswirkungen eines Ausfalls berücksichtigt. So können auch kleinere, aber versorgungskritische Organisationen in den Anwendungsbereich fallen.

Wie können sich österreichische Unternehmen vorbereiten?

Die Umsetzung des NISG 2026 ist kein Sprint, sondern ein strukturierter Prozess. Drei Bereiche verdienen Priorität: Bestandsaufnahme, Risikomanagement und Nachweisfähigkeit.

Schritt 1: Betroffenheit klären. Prüfen Sie anhand von Sektor und Größenkriterien, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist. Beachten Sie dabei auch die indirekte Betroffenheit über die Lieferkette.

Schritt 2: IT-Infrastruktur dokumentieren. Eine vollständige Inventarisierung aller Systeme, Netzwerke, Anwendungen und Zugriffsrechte ist die Grundlage für jedes Risikomanagement. Ohne diesen Überblick lässt sich weder eine Risikoanalyse durchführen noch die Selbstdeklaration erstellen. Agentenlose Inventarisierungswerkzeuge wie Docusnap machen diesen Schritt in wenigen Stunden möglich – statt in wochenlanger manueller Arbeit.

Schritt 3: Risikomanagementmaßnahmen umsetzen. Das NISG 2026 verlangt unter anderem Risikoanalysen, Backup-Strategien mit getesteter Wiederherstellung, Patch-Management, Zugriffskonzepte, Notfallpläne und Mitarbeiterschulungen. Orientieren Sie sich an der EU-Durchführungsverordnung (EU) 2024/2690, die für digitale Sektoren bereits konkrete Anforderungen definiert.

Schritt 4: Meldeprozesse etablieren. Definieren Sie klare interne Abläufe für den Ernstfall: Wer entscheidet? Wer meldet? Wer kommuniziert? Die 24-Stunden-Frist für die Frühwarnung lässt keinen Spielraum für Improvisation.

Schritt 5: Selbstdeklaration vorbereiten. Beginnen Sie frühzeitig mit der Dokumentation Ihrer Maßnahmen. Je besser Ihre IT-Dokumentation, Berechtigungsanalysen und Netzwerkpläne aufbereitet sind, desto reibungsloser verläuft die Selbstdeklaration – und desto belastbarer sind Ihre Nachweise bei einer späteren Prüfung.

Ein strukturierter Einstieg gelingt am besten mit einem kostenlosen NIS2-Framework mit Kontrollkatalog und Gap-Analyse – eine Excel-Toolbox, die den Reifegrad Ihrer Maßnahmen sichtbar macht und konkrete Prüfpunkte liefert.

FAQ: Häufig gestellte Fragen zum NISG 2026 in Österreich

Wann tritt das NISG 2026 in Österreich in Kraft?

Das NISG 2026 wurde am 23. Dezember 2025 im Bundesgesetzblatt kundgemacht und tritt am 1. Oktober 2026 in Kraft. Bis dahin bleibt das bisherige NISG 2018 gültig. Betroffene Unternehmen sollten die verbleibende Übergangsfrist nutzen, um Risikomanagementmaßnahmen und Meldeprozesse aufzubauen.

Wie kann ich prüfen, ob mein Unternehmen betroffen ist?

Die Betroffenheit ergibt sich aus der Kombination von Sektor und Unternehmensgröße. Mittlere und große Unternehmen ab 50 Beschäftigten oder über 10 Mio. Euro Umsatz in einem der 18 definierten NIS-Sektoren fallen unter das Gesetz. Die Wirtschaftskammer Österreich bietet einen Online-Ratgeber zur Ersteinschätzung an. Auch indirekt über die Lieferkette betroffene Unternehmen sollten sich vorbereiten.

Was ist die Selbstdeklaration und bis wann muss sie eingereicht werden?

Die Selbstdeklaration ist ein strukturierter Bericht an die Cybersicherheitsbehörde über die umgesetzten Risikomanagementmaßnahmen, die genutzten Netz- und Informationssysteme und die Ergebnisse der Risikoanalyse. Sie muss bis spätestens 30. September 2027 elektronisch eingereicht werden. Format und Inhalt gibt die Behörde vor.

Welche Rolle spielt die Lieferkette im NISG 2026?

Das NISG 2026 verpflichtet betroffene Unternehmen, die Cybersicherheit ihrer unmittelbaren Dienstleister und Zulieferer zu bewerten und vertraglich abzusichern. Auch Unternehmen, die nicht direkt unter das Gesetz fallen, können als Teil der Lieferkette von NIS2-betroffenen Einrichtungen indirekt Sicherheitsnachweise erbringen müssen.

Welche Strafen drohen bei der Verletzung der Registrierungspflicht?

Die Nichtregistrierung oder verspätete Registrierung wird mit Geldstrafen von bis zu 50.000 Euro geahndet, im Wiederholungsfall mit bis zu 100.000 Euro. Bei schwerwiegenderen Pflichtverletzungen – etwa der Nichtumsetzung von Risikomanagementmaßnahmen – drohen wesentlichen Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.