Neuausrichtung für Sicherheit

Der Nationalrat hat im Dezember 2025 das Netz- und Informationssicherheitsgesetz 2026 (NISG 2026) beschlossen. Es schafft eine umfassend erneuerte institutionelle Architektur für die österreichische Cybersicherheit. Kernstück ist das neu eingerichtete Bundesamt für Cybersicherheit, eine dem Bundesminister für Inneres unterstellte Bundesbehörde.

Der Anwendungsbereich des NISG 2026 wird gegenüber dem bisherigen Regime erheblich ausgeweitet. Er umfasst 18 Sektoren sowie zusätzliche Teilsektoren mit hoher oder mittlerer Kritikalität – weit über den klassischen IKT-Bereich hinaus und im Wesentlichen deckungsgleich mit der kritischen Infrastruktur Österreichs. Erfasst sind unter anderem: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser- und Abwasserversorgung, digitale Infrastruktur, IKT-Dienstverwaltung (B2B), öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe und Herstellung von Waren, Anbieter digitaler Dienste sowie Forschung.

Das NISG 2026 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Einstufung erfolgt einerseits unabhängig von der Unternehmensgröße – etwa bei qualifizierten Vertrauensdiensteanbietern, TLD-Namensregistern oder DNS-Dienstanbietern, die stets als wesentliche Einrichtungen gelten. Andererseits greifen einheitliche Größenkriterien: Alle mittleren und großen Unternehmen, bemessen nach Mitarbeiterzahl, Jahresumsatz und Bilanzsumme, fallen automatisch in den Anwendungsbereich, sofern sie in den genannten Sektoren tätig sind. Klein- und Kleinstunternehmen können als wichtige Einrichtungen qualifiziert werden, wenn sie eine besondere Schlüsselrolle einnehmen. Die Cybersicherheitsbehörde hat dazu ein Register zu führen.

Die Anforderungen
Wesentliche und wichtige Einrichtungen haben ein umfassendes Cybersicherheits-Risikomanagement zu etablieren. Dazu zählen insbesondere robuste Governance-Strukturen, Risikoanalysen, technische und organisatorische Sicherheitsmaßnahmen, Incident-Response-Kapazitäten sowie regelmäßige Tests, Bewertungen und Audits. Wesentliche Einrichtungen unterliegen grundsätzlich strengeren Anforderungen als wichtige Einrichtungen. Zudem müssen Unternehmen die Wirksamkeit ihrer Maßnahmen nachweisen. Angesichts der steigenden Anforderungen werden externe Audits und entsprechende Zertifizierungen wie etwa nach ISO/IEC 27001 in der Praxis wohl zum unverzichtbaren Standard werden.

Das NISG 2026 verstärkt zudem die Governance-Komponente: Wesentliche Einrichtungen müssen Cybersicherheit ausdrücklich auf Ebene des Leitungsorgans verankern und ein Incident-Response-Team einrichten. Verpflichtend vorgesehen sind außerdem regelmäßige Schulungen und Tests, an denen auch die Mitglieder des Leitungsorgans selbst teilnehmen müssen. Während zentrale Anforderungen bereits im Gesetz festgelegt werden, sollen Detailregelungen in nachfolgenden Verordnungen präzisiert werden.

Neu ist schließlich, dass Überwachungsorgane – etwa Aufsichtsräte – nicht mehr als Teil des »Leitungsorgans« gelten und damit von bestimmten Governance-Pflichten ausdrücklich ausgenommen sind.

Pflichten und Austausch
Wesentliche und wichtige Einrichtungen müssen erhebliche Cybersicherheitsvorfälle an das zuständige Computer-Notfallteam (CSIRT) oder direkt an die Cybersicherheitsbehörde melden. Ein Vorfall ist als erheblich einzustufen, wenn er zu gravierenden Betriebsstörungen, erheblichen finanziellen Verlusten oder zu materiellen bzw. immateriellen Schäden für betroffene Personen führt oder führen kann. Für die Praxis entscheidend ist der enge Zeitrahmen: Die Erstmeldung (»Frühwarnung«) muss unverzüglich, spätestens innerhalb von 24 Stunden erfolgen. Innerhalb von 72 Stunden ist diese durch eine vollständige Meldung zu ergänzen – inklusive erster Bewertung, Ursachenanalyse (soweit möglich) und Angaben zu getroffenen Sofortmaßnahmen.

Für Unternehmen bedeutet das: Incident-Response-Prozesse müssen so strukturiert sein, dass binnen Stunden belastbare Informationen vorliegen: inklusive Entscheidungswegen, interner Kommunikationslinien und technischer Erhebungsmethoden. Versäumnisse resultieren nicht nur in aufsichtsrechtlichem Risiko, sondern können bei Verzögerungen auch die Schadenslage verschärfen.

Das NISG 2026 schafft erstmals einen klaren rechtlichen Rahmen für freiwillige Informationsaustauschvereinbarungen über Cyberbedrohungen, Schwachstellen und Abwehrtechniken, sowohl zwischen Unternehmen als auch zwischen Unternehmen und Behörden. Zentral ist die Möglichkeit anonymer Meldungen an das CSIRT, die Unternehmen vor Offenbarung ihrer Identität gegenüber der Behörde schützt und die Hemmschwellen für freiwillige Informationsweitergabe senkt.

Unternehmen sollten daher frühzeitig prüfen, welchen Mehrwert der Informationsaustausch für ihre eigene Threat-Intelligence-Strategie bietet, etwa durch schnellere Erkenntnisse zu aktuellen Angriffsmustern oder Schwachstellen. Zudem empfiehlt sich die Vorbereitung standardisierter Prozesse, um Informationen rechtssicher und konsistent zu teilen. Ein weiterer praxisrelevanter Aspekt ist die geplante Anerkennung etablierter Cybersicherheitszertifizierungen, insbesondere der ISO/IEC 27001. Zertifizierte Unternehmen können ihr Zertifikat künftig als Nachweis für die organisatorische und operative Umsetzung von Risikomanagementmaßnahmen verwenden.

Das NISG 2026 tritt neun Monate nach seiner Kundmachung nun am 1. Oktober 2026 in Kraft. Ab diesem Zeitpunkt haben betroffene Unternehmen drei Monate Zeit, sich bei der Cybersicherheitsbehörde zu registrieren.

NISG 2026 auf einen Blick

Wer frühzeitig investiert, korrekt einordnet und klare Strukturen etabliert, reduziert nicht nur Risiken, sondern verschafft sich auch einen operativen und regulatorischen Vorteil.

1. Strategie
Unternehmen müssen Cybersicherheit als strategisches Vorstandsthema verankern, Verantwortlichkeiten eindeutig festlegen und alle Maßnahmen lückenlos dokumentieren.

2. Prozesse
Ein robustes Sicherheits- und Risikomanagement sowie Incident-Response-Prozesse sind Pflicht, sodass relevante Vorfälle innerhalb weniger Stunden gemeldet und belegt werden können.

3. Standards
Externe Audits und Zertifizierungen wie ISO/IEC 27001 erleichtern den Nachweis der NIS-2-Konformität und reduzieren Prüfaufwand und regulatorisches Risiko.

Den Kommentar zu NIS 2 in voller Länge lesen Sie hier (Link)

Über die Autor*innen
Rechtsanwalt Gernot Fritz ist Partner in der Practice Group IP/IT + Wettbewerbsrecht bei von E+H Rechtsanwälte. Hannah Kercz und Tanja Pfleger sind als Rechtsanwältinnen, Jakob Secklehner als Rechtsanwaltsanwärter in der Practice Group tätig. www.eh.at