Am 21. November 2025 hat die Bundesregierung den Entwurf des Netz- und Informationssystemsicherheitsgesetzes 2026 (NISG 2026) im Nationalrat eingebracht.

Damit soll die NIS-2-Richtlinie (RL 2022/2555) in nationales Recht übergeführt werden. Österreich ist – wie viele andere EU-Mitgliedstaaten – bereits im Verzug: Die Umsetzungsfrist endete am 17. Oktober 2024, weshalb aktuell ein Vertragsverletzungsverfahren läuft. Nun kommt jedoch Bewegung in die Sache – ein finaler Gesetzesbeschluss könnte noch bis Ende 2025 erfolgen.

NIS-2 löst die bisherige NIS-Richtlinie (RL 2016/1148) ab und verfolgt das Ziel einer EU-weit harmonisierten und deutlich höheren Cyber-Resilienz. Der Anwendungsbereich wird erheblich ausgeweitet – damit könnten auch zahlreiche österreichische Unternehmen erstmals betroffen sein. Wer potenziell unter die Vorgaben fällt, sollte daher frühzeitig mit der Umsetzung starten.

 𝗪𝗲𝗻 𝗯𝗲𝘁𝗿𝗶𝗳𝗳𝘁 𝗱𝗮𝘀?
Das NISG 2026 umfasst insgesamt 18 Sektoren, darunter Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser- und Abwasserversorgung sowie digitale Infrastruktur.
Große und mittlere Unternehmen in diesen Bereichen müssen künftig geeignete Risikomanagementmaßnahmen für ihre Netz- und Informationssysteme implementieren und umfangreiche Meldepflichten erfüllen.
Die Einstufung erfolgt anhand von Mitarbeiterzahl, Jahresumsatz und Bilanzsumme. Auch kleine und Kleinstunternehmen können erfasst werden, wenn sie als „wichtige Einrichtung“ gelten.

 𝗡𝗲𝘂𝗲 𝗖𝘆𝗯𝗲𝗿𝘀𝗶𝗰𝗵𝗲𝗿𝗵𝗲𝗶𝘁𝘀𝗯𝗲𝗵𝗼̈𝗿𝗱𝗲
Ein zentrales Element des Entwurfs ist die (Neu-)Errichtung eines Bundesamts für Cybersicherheit. Dieses soll dem Innenministerium unterstehen und als zentrale Behörde des nationalen Cybersicherheitsregimes fungieren.

 𝗭𝗲𝗶𝘁𝗽𝗹𝗮𝗻
Das NISG 2026 soll 9 Monate nach Kundmachung in Kraft treten. Nach aktuellem Stand ist eine Anwendbarkeit frühestens ab Herbst 2026 realistisch.
Ab dann gilt für betroffene Unternehmen:
• Registrierung bei der Cybersicherheitsbehörde binnen 3 Monaten
• Nachweis bzw. Information zu implementierten Risikomanagementmaßnahmen binnen 12 Monaten

 𝗙𝗮𝘇𝗶𝘁: NIS-2 kommt – und der Kreis der Betroffenen wird größer. Jetzt ist der ideale Zeitpunkt, die eigene Relevanz zu prüfen und Cyber-Security-Strukturen sowie Melde- und Governance-Prozesse rechtzeitig aufzubauen.

The post NIS-2 / NISG 2026 – Umsetzung in Österreich rückt näher appeared first on Scherbaum Seebacher.