Am 21. November 2025 hat die Bundesregierung den Entwurf des Netz- und Informationssystemsicherheitsgesetzes 2026 (NISG 2026) im Nationalrat eingebracht.

Damit soll die NIS-2-Richtlinie (RL 2022/2555) in nationales Recht übergeführt werden. Österreich ist – wie viele andere EU-Mitgliedstaaten – bereits im Verzug: Die Umsetzungsfrist endete am 17. Oktober 2024, weshalb aktuell ein Vertragsverletzungsverfahren läuft. Nun kommt jedoch Bewegung in die Sache – ein finaler Gesetzesbeschluss könnte noch bis Ende 2025 erfolgen.

NIS-2 löst die bisherige NIS-Richtlinie (RL 2016/1148) ab und verfolgt das Ziel einer EU-weit harmonisierten und deutlich höheren Cyber-Resilienz. Der Anwendungsbereich wird erheblich ausgeweitet – damit könnten auch zahlreiche österreichische Unternehmen erstmals betroffen sein. Wer potenziell unter die Vorgaben fällt, sollte daher frühzeitig mit der Umsetzung starten.

📌 𝗪𝗲𝗻 𝗯𝗲𝘁𝗿𝗶𝗳𝗳𝘁 𝗱𝗮𝘀?
Das NISG 2026 umfasst insgesamt 18 Sektoren, darunter Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser- und Abwasserversorgung sowie digitale Infrastruktur.
Große und mittlere Unternehmen in diesen Bereichen müssen künftig geeignete Risikomanagementmaßnahmen für ihre Netz- und Informationssysteme implementieren und umfangreiche Meldepflichten erfüllen.
Die Einstufung erfolgt anhand von Mitarbeiterzahl, Jahresumsatz und Bilanzsumme. Auch kleine und Kleinstunternehmen können erfasst werden, wenn sie als „wichtige Einrichtung“ gelten.

🏛️ 𝗡𝗲𝘂𝗲 𝗖𝘆𝗯𝗲𝗿𝘀𝗶𝗰𝗵𝗲𝗿𝗵𝗲𝗶𝘁𝘀𝗯𝗲𝗵𝗼̈𝗿𝗱𝗲
Ein zentrales Element des Entwurfs ist die (Neu-)Errichtung eines Bundesamts für Cybersicherheit. Dieses soll dem Innenministerium unterstehen und als zentrale Behörde des nationalen Cybersicherheitsregimes fungieren.

⏳ 𝗭𝗲𝗶𝘁𝗽𝗹𝗮𝗻
Das NISG 2026 soll 9 Monate nach Kundmachung in Kraft treten. Nach aktuellem Stand ist eine Anwendbarkeit frühestens ab Herbst 2026 realistisch.
Ab dann gilt für betroffene Unternehmen:
• Registrierung bei der Cybersicherheitsbehörde binnen 3 Monaten
• Nachweis bzw. Information zu implementierten Risikomanagementmaßnahmen binnen 12 Monaten

➡️ 𝗙𝗮𝘇𝗶𝘁: NIS-2 kommt – und der Kreis der Betroffenen wird größer. Jetzt ist der ideale Zeitpunkt, die eigene Relevanz zu prüfen und Cyber-Security-Strukturen sowie Melde- und Governance-Prozesse rechtzeitig aufzubauen.