Die Bundesregierung hat am 21. November 2025 den Entwurf des Netz- und Informationssicherheits-gesetzes 2026 (NISG 2026) dem Nationalrat vorgelegt und damit das Gesetzgebungsverfahren offiziell eingeleitet. Der Entwurf, für dessen Beschluss eine Zweidrittelmehrheit erforderlich ist, dient einerseits der Umsetzung der NIS-2-Richtlinie (RL 2022/2555) in österreichisches Recht. Er soll das bisherige NISG 2018 vollständig ablösen sowie Anpassungen im Telekommunikationsgesetz 2021 und im Gesundheitstelematikgesetz 2012 vornehmen.
Die Umsetzung erfolgt mit erheblicher Verspätung: Die ursprüngliche Frist vom 17. Oktober 2024 wur-de deutlich überschritten, weshalb gegen Österreich bereits ein Vertragsverletzungsverfahren anhängig ist. Das neue Gesetz soll neun Monate nach Kundmachung im Bundesgesetzblatt in Kraft treten und wäre – bei einer Beschlussfassung noch im Dezember 2025 – frühestens im Herbst 2026 anwendbar.
Verzögerte Umsetzung im europäischen Vergleich
Die verpasste Umsetzungsfrist stellt kein spezifisch österreichisches Phänomen dar. Deutschland hat sein NIS-2-Umsetzungsgesetz erst am 21. November 2025 beschlossen und rechnet mit einem Inkrafttreten Anfang 2026. Auch zahlreiche andere EU-Mitgliedstaaten liegen deutlich hinter dem Zeitplan. Ursachen sind vor allem die inhaltliche Komplexität der Richtlinie, der hohe Abstimmungsbedarf zwischen verschiedenen Ressorts sowie intensive politische Diskussionen in den jeweiligen nationalen Parlamenten.
In Österreich kommt erschwerend hinzu, dass für die Umsetzung eine verfassungsrechtlich gebotene Zweidrittelmehrheit erforderlich ist. Der bisherige nationale Prozess blieb zudem nicht ohne Kritik: Der Ministerrat verzichtete bewusst auf eine außerparlamentarische Begutachtung, was die Opposition beanstandete. Auch aus der Wirtschaft gab es deutliche Rückmeldungen: Unternehmen bereiteten sich bereits auf die Vorgaben der NIS-2-Richtlinie vor, sahen sich mangels nationaler Rechtsgrundlage jedoch mit erheblicher Rechtsunsicherheit bei der Umsetzung entsprechender Compliance-Maßnahmen konfrontiert.
Institutionelle Neuausrichtung
Das NISG 2026 schafft eine umfassend erneuerte institutionelle Architektur für die österreichische Cybersicherheit. Kernstück ist das neu eingerichtete Bundesamt für Cybersicherheit, eine dem Bundesminister für Inneres unterstellte Bundesbehörde mit eigener Direktionsstelle. Es übernimmt künftig die zentrale Rolle im nationalen Cybersicherheitsregime und ersetzt damit die bislang eher dezentral organisierte Struktur des NISG 2018.
Flankierend sieht der Entwurf mehrere Koordinierungsgremien vor: Die Cyber Sicherheit Steuerungsgruppe (CSS) übernimmt die strategische Abstimmung. Der Innere Kreis der Operativen Koordinierungsstruktur (IKDOK) agiert als operatives Koordinierungsgremium zwischen Bundeskanzleramt, Innenministerium, Cybersicherheitsbehörde, Verteidigungsministerium und Außenministerium. Die erweiterte Operative Koordinierungsstruktur (OpKoord) bindet zusätzlich die Cybersecurity Incident Response Teams (CSIRTs) ein und kann bei Bedarf um weitere Akteure ergänzt werden.
Anwendungsbereich und betroffene Einrichtungen
Der Anwendungsbereich des NISG 2026 wird gegenüber dem bisherigen Regime erheblich ausgeweitet. Er umfasst 18 Sektoren sowie zusätzliche Teilsektoren mit hoher oder mittlerer Kritikalität – weit über den klassischen IKT-Bereich hinaus und im Wesentlichen deckungsgleich mit der kritischen Infrastruktur Österreichs. Erfasst sind unter anderem: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser- und Abwasserversorgung, Digitale Infrastruktur, IKT-Dienstverwaltung (B2B), öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe und Herstellung von Waren, Anbieter digitaler Dienste sowie Forschung.
Das NISG 2026 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Einstufung erfolgt einerseits unabhängig von der Unternehmensgröße – etwa bei qualifizierten Vertrauensdiensteanbietern, TLD-Namensregistern oder DNS-Dienstanbietern, die stets als wesentliche Einrichtungen gelten. Andererseits greifen einheitliche Größenkriterien: Alle mittleren und großen Unternehmen, bemessen nach Mitarbeiterzahl, Jahresumsatz und Bilanzsumme, fallen automatisch in den Anwendungsbereich, sofern sie in den genannten Sektoren tätig sind. Klein- und Kleinstunternehmen können als wichtige Einrichtungen qualifiziert werden, wenn sie eine besondere Schlüsselrolle einnehmen. Für zusätzliche Transparenz hat die Cybersicherheitsbehörde ein öffentliches Register der wesentlichen und wichtigen Einrichtungen zu führen. In der bisherigen Praxis hat sich jedoch gezeigt, dass die korrekte Einordnung eine erhebliche praktische Herausforderung darstellt: insbesondere weil viele Unternehmen auch Tätigkeiten in kleinem Umfang ausüben, die dennoch zu einer Erfassung führen können.
Eine Besonderheit des österreichischen Modells ist der bewusste Verzicht auf Ausnahmen für Tätigkeiten von lediglich untergeordneter Bedeutung. Ebenso werden konzerninterne Dienstleistungen nicht privilegiert; Konzernprivilegien – insbesondere für internes IT-Outsourcing – sind nicht vorgesehen. Der Gesetzgeber vermeidet damit ein „Gold Plating“ und hält sich eng an die Vorgaben der NIS-2-Richtlinie, was für bestimmte (insb. unionsweit tätige) Unternehmensstrukturen jedoch zusätzliche Belastungen mit sich bringen kann.
Anforderungen an betroffene Einrichtungen
Wesentliche und wichtige Einrichtungen haben ein umfassendes Cybersicherheits-Risikomanagement zu etablieren. Dazu zählen insbesondere robuste Governance-Strukturen, systematische Risikoanalysen, angemessene technische und organisatorische Sicherheitsmaßnahmen, leistungsfähige Incident-Response-Kapazitäten sowie regelmäßige Tests, Bewertungen und Audits. Wesentliche Einrichtungen unterliegen dabei grundsätzlich strengeren Anforderungen als wichtige Einrichtungen. Zudem müssen Unternehmen die Wirksamkeit ihrer Maßnahmen nachweisen. Angesichts der steigenden Anforderungen werden extern durchgeführte Audits und entsprechende Zertifizierungen wie etwa nach ISO/IEC 27001 in der Praxis wohl zum unverzichtbaren Standard werden.
Der Entwurf des NISG 2026 verstärkt zudem die Governance-Komponente: Wesentliche Einrichtungen müssen Cybersicherheit ausdrücklich auf Ebene des Leitungsorgans verankern und ein Incident-Response-Team einrichten. Verpflichtend vorgesehen sind außerdem regelmäßige Schulungen und Tests, an denen auch die Mitglieder des Leitungsorgans selbst teilnehmen müssen. Während zentrale Anforderungen bereits im Gesetz festgelegt werden, sollen Detailregelungen in nachfolgenden Verordnungen präzisiert werden.
Neu ist schließlich, dass Überwachungsorgane – etwa Aufsichtsräte – nicht mehr als Teil des „Leitungsorgans“ gelten und damit von bestimmten Governance-Pflichten ausdrücklich ausgenommen sind. Das stellt eine klare Abkehr vom NISG 2024 dar, das Überwachungsorgane noch in den Anwendungsbereich einbezogen hatte.
Meldepflichten und Berichterstattung
Wesentliche und wichtige Einrichtungen müssen erhebliche Cybersicherheitsvorfälle an das zuständige Computer-Notfallteam (CSIRT) oder direkt an die Cybersicherheitsbehörde melden. Ein Vorfall ist als erheblich einzustufen, wenn er zu gravierenden Betriebsstörungen, erheblichen finanziellen Verlusten oder zu materiellen bzw. immateriellen Schäden für betroffene Personen führt oder führen kann. Für die Praxis entscheidend ist der enge Zeitrahmen: Die Erstmeldung („Frühwarnung“) muss unverzüglich, spätestens innerhalb von 24 Stunden erfolgen. Innerhalb von 72 Stunden ist diese durch eine vollständige Meldung zu ergänzen – inklusive erster Bewertung, Ursachenanalyse (soweit möglich) und Angaben zu getroffenen Sofortmaßnahmen. Vertrauensdiensteanbieter unterliegen sogar noch kürzeren Fristen und müssen die vollständige Meldung binnen 24 Stunden erstatten.
Für Unternehmen bedeutet das: Incident-Response-Prozesse müssen so strukturiert sein, dass binnen Stunden belastbare Informationen vorliegen: inklusive Entscheidungswegen, interner Kommunikationslinien und technischer Erhebungsmethoden. Versäumnisse resultieren nicht nur in aufsichtsrechtlichem Risiko, sondern können bei Verzögerungen auch die Schadenslage verschärfen.
Das Gesetz regelt außerdem den Informationsfluss zwischen Behörden: Wird ein Vorfall an eine Sektoralbehörde gemeldet, muss diese ihn unverzüglich an das CSIRT weiterleiten. Bei Vorfällen mit grenzüberschreitender oder sektorenübergreifender Relevanz werden die zentralen Anlaufstellen der jeweils betroffenen Mitgliedstaaten informiert. Unternehmen müssen daher mit zusätzlichen Rückfragen rechnen.
Ein wichtiger Reformschritt ist die geplante Bündelung der Meldewege über einen zentralen Anlaufpunkt („Single Entry Point“) – ein Konzept, das auch im Digital Omnibus-Paket vorgesehen ist (siehe unseren vorherigen Blog-Beitrag). Das NISG 2026 bereitet dieses Modell bereits vor und schafft nationale Grundlagen für die Zentralisierung der Meldepflichten. Für die Praxis bedeutet das perspektivisch: weniger Doppel- und Mehrfachmeldungen, klarere Zuständigkeiten und ein einheitlicherer Meldeprozess.
Informationsaustausch und Zertifizierung
Das Gesetz sieht die Schaffung von Rahmenbedingungen für freiwillige Informationsaustauschvereinbarungen über Cyberbedrohungen, Schwachstellen und Abwehrtechniken zwischen Unternehmen sowie zwischen Unternehmen und Behörden vor. Ein „Legal Safe Harbor” soll teilnehmende Unternehmen vor zivilrechtlicher Haftung schützen und verhindern, dass freiwillig mitgeteilte Informationen gegen das ursprüngliche berichtende Unternehmen verwendet werden, womit die Transparenz ohne privatrechtliche Risiken gefördert werden soll. Ohne diese Maßnahmen hätten Unternehmen wohl auch kaum einen Anreiz, entsprechende Informationen freiwillig zu teilen.
Eine organisatorische Erleichterung für betroffene Unternehmen schafft die geplante Anerkennung verbreiteter Cybersicherheitszertifizierungen, insbesondere der ISO/IEC 27001. Zertifizierte Unternehmen können ihr Zertifikat als Nachweis der organisatorischen sowie operativen Umsetzung von Risikomanagementmaßnahmen nutzen und benötigen damit weniger behördliche Audits. Dies ist angesichts der Umsetzungsverzögerung ein pragmatischer Zugang.
Das NISG 2026 schafft erstmals einen klaren rechtlichen Rahmen für freiwillige Informationsaustauschvereinbarungen über Cyberbedrohungen, Schwachstellen und Abwehrtechniken, sowohl zwischen Unternehmen als auch zwischen Unternehmen und Behörden. Zentral ist dabei ein “Legal Safe Harbor”, der sicherstellt, dass freiwillig mitgeteilte Informationen nicht gegen das meldende Unternehmen verwendet werden dürfen und keine zivilrechtliche Haftung auslösen. In der Praxis ist das entscheidend: Ohne einen solchen Schutz hätten Unternehmen kaum Anreize, sicherheitsrelevante Informationen offen zu teilen. Der Safe Harbor senkt diese Hürde deutlich und soll einen offeneren, sektorübergreifenden Austausch fördern.
Unternehmen sollten daher frühzeitig prüfen, welchen Mehrwert der Informationsaustausch für ihre eigene Threat-Intelligence-Strategie bietet, etwa durch schnellere Erkenntnisse zu aktuellen Angriffsmustern oder Schwachstellen. Zudem empfiehlt sich die Vorbereitung standardisierter Prozesse, um Informationen rechtssicher und konsistent zu teilen.
Ein weiterer praxisrelevanter Aspekt ist die geplante Anerkennung etablierter Cybersicherheitszertifizierungen, insbesondere der ISO/IEC 27001. Zertifizierte Unternehmen können ihr Zertifikat künftig als Nachweis für die organisatorische und operative Umsetzung von Risikomanagementmaßnahmen verwenden und profitieren dadurch von reduzierten behördlichen Prüfungen. Angesichts der ohnehin verspäteten Umsetzung der NIS-2-Richtlinie ist dies ein ausgesprochen pragmatischer Ansatz, der Unternehmen spürbar entlasten kann.
Wer bereits eine ISO/IEC 27001-Zertifizierung besitzt, verschafft sich einen klaren Compliance-Vorteil. Unternehmen ohne Zertifizierung sollten ernsthaft prüfen, ob eine Zertifizierung (kombiniert mit unabhängigen Audits) nicht ohnehin Teil ihrer NISG-Vorbereitung sein sollte.
Was bedeutet das für Unternehmen und ihre Leitungsorgane?
Die Cybersicherheitsbehörde erhält umfassende Aufsichtsbefugnisse: Sie kann Audits anordnen, Vor-Ort-Inspektionen durchführen und bei wesentlichen Einrichtungen sogar Überwachungsbeauftragte entsenden, die unmittelbar in der Organisation tätig werden. Die Cybersicherheitsbehörde selbst verhängt jedoch keine Geldbußen. Für Verwaltungsstrafen sind nach dem Entwurf des NISG 2026 die Bezirksverwaltungsbehörden zuständig. Das bedeutet zugleich, dass der Rechtszug bei Millionenstrafen über die Landesverwaltungsgerichte führt.
Die Sanktionsrahmen orientieren sich am DSGVO-Modell: Für wesentliche Einrichtungen bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu EUR 7 Mio. oder 1,4 % (jeweils der höhere Betrag). Daneben bestehen Tatbestände für bestimmte Verstöße mit Maximalstrafen bis EUR 50.000 bzw. 100.000.
Die Aufsicht unterscheidet klar zwischen wesentlichen und wichtigen Einrichtungen. Bei wesentlichen Einrichtungen sind proaktive Prüfungen möglich: Vor-Ort-Kontrollen, Remote-Audits, technische Sicherheitsscans, detaillierte Dokumentationsanforderungen und die Begleitung durch externe Prüfer. Bei wichtigen Einrichtungen greifen diese Maßnahmen typischerweise erst, wenn Hinweise auf Verstöße vorliegen.
Kommt es zu Pflichtverletzungen, kann die Behörde gestuft eskalieren – von Korrekturanordnungen über die öffentliche Bekanntmachung von Compliance-Mängeln bis hin zur Entsendung eines Überwachungsbeauftragten, der die Umsetzung der Risiko- und Meldepflichten sicherstellen soll. In schweren Fällen können Zertifizierungen oder Genehmigungen ausgesetzt und Mitgliedern des Leitungsorgans die Ausübung ihrer Funktion vorübergehend untersagt werden. Öffentliche Stellen sind von diesen schärfsten Maßnahmen ausgenommen.
Die Bemessung aufsichtsrechtlicher Maßnahmen richtet sich unter anderem nach der Schwere und Dauer des Verstoßes, etwaigen Wiederholungen, verspäteten oder unterlassenen Meldungen, der Behinderung von Prüfungen, vorsätzlich oder fahrlässig falschen Angaben, dem entstandenen Schaden sowie dem Vorliegen präventiver Maßnahmen, anerkannter Zertifizierungen und dem Kooperationsverhalten der betroffenen Einrichtung.
Für die Praxis heißt das: Unternehmen benötigen klar definierte Verantwortlichkeiten, geprüfte Sicherheitskonzepte, belastbare Incident-Response-Prozesse und eine lückenlose Dokumentation. Alles, was im Audit nicht sofort vorgelegt werden kann, „existiert“ faktisch nicht.
Der Entwurf verankert eine klare Managementverantwortung, schafft aber keine eigene verwaltungsstrafrechtliche Organhaftung. Leitungsorgane müssen Risikomanagementmaßnahmen sicherstellen, überwachen und an speziell auf sie ausgerichteten Schulungen teilnehmen. Verwaltungsstrafen richten sich nach den Gesetzesmaterialen primär gegen die Einrichtung (also die juristische Person) und nicht gegen die Leitungsorgane; eine Doppelbestrafung der Leitungsorgane ist ausgeschlossen. Dennoch bleibt der persönliche Haftungsdruck allgemein hoch: Auch wenn die Verletzung der Pflichten durch Leitungsorgane nach den klaren Aussagen des Gesetzgebers in den Gesetzesmaterialien keine Verwaltungsstrafe für diese zur Folge haben soll, bleibt es bei der allgemeinen zivilrechtlichen Innenhaftung der Leitungsorgane gegenüber der Gesellschaft. Der Gesetzgeber geht allerdings davon aus, dass etwa in Fällen, in dem einem Leitungsorgan die Einflussmöglichkeiten fehlen oder es bei einem rechtswidrigen Beschluss überstimmt wurde, dem Leitungsorgan hinsichtlich der Nichteinhaltung der Pflichten aus dem NISG 2026 durch die jeweilige Einrichtung kein Schuldvorwurf gemacht werden kann und dieses somit nicht im Innenverhältnis gegenüber der Gesellschaft haftet.
Für Führungskräfte bedeutet das: Leitungsorgane sollten Cybersicherheit strukturell als dauerhaftes Compliance-Thema auf Vorstandsebene verankern. Dazu gehören klare Ressourcenzuteilungen, regelmäßige Berichte der IT- und Sicherheitsverantwortlichen, dokumentierte Beschlussfassungen sowie ein belastbares Kontroll- und Eskalationssystem. Entscheidend ist, dass Leitungsorgane nachweisbar aktiv steuern und überwachen – denn nur so lässt sich im Haftungsfall zeigen, dass angemessene organisatorische Maßnahmen gesetzt wurden. Daher ist es entscheidend, (i) interne Verantwortlichkeiten präzise festzulegen, (ii) regelmäßig Schulungen und Strategie-Reviews wahrzunehmen, (iii) externe Audits und Zertifizierungen einzuholen und (iv) bei Unklarheiten rechtzeitig Widerspruch gegen rechtswidrige Beschlüsse zu erheben. Wer diese Grundstrukturen etabliert und dokumentiert, minimiert das persönliche Haftungsrisiko und erfüllt gleichzeitig die gesteigerten Governance-Erwartungen des NISG 2026.
Organisatorische Lücken oder unzureichende Kontrollen sind nicht mehr vertretbar. Cybersicherheits-Compliance wird faktisch zum Hochrisikothema, das regulatorisch auf Augenhöhe mit Datenschutz- und Finanzmarktregulierung steht. Unternehmen müssen jederzeit auditbereit sein – technisch, organisatorisch und dokumentarisch.
Übergangsfrist und Implementierung
Das NISG 2026 soll neun Monate nach seiner Kundmachung in Kraft treten. Wird das Gesetz noch 2025 beschlossen, wäre daher frühestens im Herbst 2026 mit der Anwendbarkeit zu rechnen. Ab diesem Zeitpunkt haben betroffene Unternehmen drei Monate Zeit, sich bei der Cybersicherheitsbehörde zu registrieren. Da diese Behörde jedoch erst aufgebaut wird und die detaillierenden Verordnungen erst nach Verabschiedung des NISG 2026 ausgearbeitet werden, ist zu erwarten, dass zu Beginn sowohl praktische Unklarheiten als auch organisatorische Anlaufschwierigkeiten auftreten werden.
Fazit und Ausblick
Mit dem NISG 2026 liegt nun endlich ein umfassender Entwurf für die nationale Umsetzung der NIS-2-Richtlinie vor – spät, aber strukturell deutlich ambitionierter als das bisherige Regime. Der Entwurf bringt nicht nur eine massive Ausweitung des Anwendungsbereichs, sondern auch eine tiefgreifende Neuordnung der institutionellen Landschaft, strengere Governance-Pflichten und ein deutlich interventionistischeres Aufsichtsmodell. Für Unternehmen – und insbesondere ihre Leitungsorgane – wird Cybersicherheit damit endgültig zu einem strategischen Compliance-Kernbereich.
Besonders relevant: Deutlich mehr Unternehmen werden künftig unter das NISG 2026 fallen als unter das bisherige NISG 2018. Der erweiterte sektorale Zuschnitt sowie die einheitlichen Größenkriterien führen dazu, dass viele Unternehmen erstmals in den Anwendungsbereich rutschen – auch solche, die bislang nie mit NIS-Compliance in Berührung kamen. Für manche wird die Erfassung sogar auf einzelne, bislang wenig beachtete Tätigkeitsbereiche zurückgehen.
Daher gilt umso mehr: Unternehmen müssen zunächst sorgfältig scopen, also prüfen, welche ihrer Tätigkeiten überhaupt unter das NISG 2026 fallen. Gerade weil das Gesetz keine Ausnahmen für Tätigkeiten geringer Bedeutung vorsieht und bereits kleine Aktivitätsbereiche eine Erfassung auslösen können, ist dieser Schritt entscheidend. Erst ein vollständiger Überblick über die betroffenen Geschäftsbereiche ermöglicht eine korrekte Einordnung als wesentliche oder wichtige Einrichtung – und damit die Fähigkeit, die richtigen Maßnahmen in der richtigen Tiefe zu setzen.
Gleichzeitig bleibt die Umsetzungsphase herausfordernd. Das neue Bundesamt für Cybersicherheit muss erst aufgebaut werden, zentrale Detailregelungen werden in nachgelagerten Verordnungen konkretisiert, und die Praxis muss sich auf ein Aufsichtssystem einstellen, das in seiner Intensität an Datenschutz- und Finanzmarktregulierung erinnert. Unternehmen sollten daher nicht auf die endgültige Kundmachung warten, sondern die Zeit bis zum Inkrafttreten aktiv nutzen: Verantwortlichkeiten klären, Prozesse dokumentieren, Incident-Response-Strukturen testen, Audits vorbereiten und Governance-Entscheidungen nachvollziehbar festhalten.
Der Ausblick ist klar: Mit dem NISG 2026 verlagert sich der Fokus für viele Unternehmen von freiwilligen Sicherheitsstandards hin zu verbindlicher, überprüfbarer und sanktionierbarer Cybersicherheits-Compliance. Die kommenden Monate werden entscheidend dafür sein, ob Unternehmen den Übergang geordnet bewältigen oder erst unter dem Druck der Aufsicht reagieren müssen. Wer frühzeitig investiert, korrekt einordnet und klare Strukturen etabliert, reduziert nicht nur Risiken, sondern verschafft sich auch einen nachhaltigen operativen und regulatorischen Vorteil.
