Zum Inhalt springen
7.38Fortgeschritten6 min

NISG 2026 und die institutionelle Cybersicherheits-Aufsicht in Österreich

Blck Alpaca·
Definition

Das NISG 2026 ist Österreichs nationale Umsetzung der EU-NIS-2-Richtlinie. Es wurde am 12. Dezember 2025 im Nationalrat beschlossen, am 23. Dezember 2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft. Es regelt Cybersicherheitspflichten für rund 4.000 Unternehmen in 18 Sektoren und richtet ein Bundesamt für Cybersicherheit ein.

Auf einen Blick

  • Österreich verfehlte die EU-Umsetzungsfrist 17.10.2024 deutlich: Das NISG 2024 scheiterte am 3. Juli 2024 an der Zweidrittelmehrheit im Nationalrat; erst das NISG 2026 wird ab 1. Oktober 2026 anwendbar.
  • Das NISG 2026 etabliert ein Bundesamt für Cybersicherheit im BMI als zuständige Behörde; diese verhängt selbst keine Bußgelder, dafür sind die Bezirksverwaltungsbehörden zuständig (Strafrahmen analog NIS-2).
  • Kernänderungen gegenüber dem 2024er-Entwurf: Selbsteinstufung und Selbstdeklaration statt behördlichem Bescheid, halbjährlicher Cybersicherheitsbericht, Wegfall des Konzernprivilegs, Aufsichtsräte ausdrücklich vom Leitungsorgan-Begriff ausgenommen.
  • Wesentliche Einrichtungen müssen Cybersicherheit auf Leitungsorgan-Ebene verankern, ein Incident-Response-Team einrichten und die Leitung zu Schulungen und Tests verpflichten.
  • Trotz der nationalen Verzögerung gilt die EU-Verpflichtung: Unternehmen sollten die Wartezeit bis Oktober 2026 für Scoping, Selbsteinstufung, ISMS-Aufbau und Incident-Response-Vorbereitung nutzen.
  • Institutionelle Detailfragen (CSIRT-Anbindung, GovCERT-Rolle, Durchführungsverordnungen) sind Stand 2026 teilweise im Fluss und sollten laufend beobachtet werden.

Das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) ist die österreichische Umsetzung der EU-NIS-2-Richtlinie (EU) 2022/2555. Es wurde am 12. Dezember 2025 im Nationalrat beschlossen, am 23. Dezember 2025 kundgemacht und tritt neun Monate später, am 1. Oktober 2026, in vollständige Anwendbarkeit. Es definiert Cybersicherheitspflichten für rund 4.000 Unternehmen in 18 Sektoren und richtet erstmals ein dediziertes Bundesamt für Cybersicherheit ein.

Die drei wichtigsten Punkte vorab:

  • Spät, aber verbindlich: Österreich verfehlte die EU-Umsetzungsfrist vom 17. Oktober 2024 deutlich. Der erste Entwurf (NISG 2024) scheiterte am 3. Juli 2024 an der Zweidrittelmehrheit. Erst das NISG 2026 schafft den nationalen Rechtsrahmen, anwendbar ab Oktober 2026.
  • Eigenverantwortung statt Bescheid: Das Gesetz wechselt zu Selbsteinstufung und Selbstdeklaration. Unternehmen müssen selbst prüfen, ob sie betroffen sind, und dies eigenständig melden.
  • Vorbereitung lohnt sich jetzt: Die EU-Pflicht besteht unabhängig vom nationalen Verzug. Die Monate bis Oktober 2026 sind das Zeitfenster für Scoping, ISMS-Aufbau und Incident-Response-Vorbereitung.

Der Weg zum NISG 2026: Verzögerung gegenüber der EU-Frist

Die NIS-2-Richtlinie verpflichtete alle EU-Mitgliedstaaten, die nationalen Umsetzungsgesetze bis zum 17. Oktober 2024 in Kraft zu setzen. Österreich gehört zu den Staaten, die diese Frist nicht eingehalten haben. Der erste Anlauf, das NISG 2024, wurde am 3. Juli 2024 im Nationalrat abgelehnt, weil die für Teile des Gesetzes erforderliche Zweidrittelmehrheit nicht zustande kam. Damit verstrich die EU-Frist ungenutzt.

Erst nach Neuverhandlung und mit veränderten Inhalten beschloss der Nationalrat am 12. Dezember 2025 das NISG 2026. Die Kundmachung im Bundesgesetzblatt erfolgte am 23. Dezember 2025, die vollständige Anwendbarkeit ist auf den 1. Oktober 2026 datiert. Zwischen dem Ablauf der EU-Frist und der nationalen Anwendbarkeit liegen damit knapp zwei Jahre. Für Unternehmen ist dieser Verzug eine zweischneidige Lage: Er verschafft formal Zeit, ändert aber nichts an der grundlegenden europäischen Verpflichtung, die hinter der nationalen Norm steht.

Die zuständige Behörde: Bundesamt für Cybersicherheit im BMI

Das institutionell wichtigste Element des NISG 2026 ist die Errichtung eines Bundesamts für Cybersicherheit im Bundesministerium für Inneres (BMI). Diese Behörde ist als zentrale Cybersicherheits-Aufsicht vorgesehen und befindet sich Stand 2026 im Aufbau (in Errichtung).

Eine zentrale Besonderheit der österreichischen Konstruktion betrifft die Sanktionierung: Die Cybersicherheitsbehörde verhängt keine Geldbußen selbst. Zuständig für Verwaltungsstrafen sind die Bezirksverwaltungsbehörden. Der Strafrahmen orientiert sich an den Vorgaben der NIS-2-Richtlinie. Diese Trennung zwischen aufsichtsführender Behörde und sanktionierender Stelle ist eine Eigenheit gegenüber anderen Jurisdiktionen, in denen die Aufsichtsbehörde selbst Bußgelder ausspricht.

CSIRT, GovCERT und nationale Reaktionsstrukturen — Status: im Fluss

Die NIS-2-Richtlinie verlangt von jedem Mitgliedstaat die Benennung von Computer-Security-Incident-Response-Teams (CSIRTs) und einer nationalen Koordinierungsstelle. Österreich betreibt unabhängig vom NISG 2026 bereits seit Jahren etablierte Reaktionsstrukturen, allen voran GovCERT Austria und das nationale CSIRT-Umfeld. Wie die konkrete CSIRT- und GovCERT-Anbindung unter dem NISG 2026 institutionell ausgestaltet, organisatorisch verortet und mit dem neuen Bundesamt verzahnt wird, ist Stand 2026 in Teilen noch nicht abschließend geklärt und sollte als erwartet/provisorisch behandelt werden. Begleitende Durchführungsverordnungen und Behörden-Hinweise präzisieren diese Details voraussichtlich erst im Lauf der Implementierungsphase. Unternehmen sollten die offiziellen Veröffentlichungen daher fortlaufend beobachten und sich nicht auf vorläufige Detailannahmen verlassen.

Was sich gegenüber dem NISG-2024-Entwurf geändert hat

Das NISG 2026 unterscheidet sich in mehreren strukturellen Punkten vom gescheiterten 2024er-Entwurf. Diese Änderungen prägen die Compliance-Praxis unmittelbar:

Aspekt

Status 2026 (NISG 2026)

Inkrafttreten / Anwendbarkeit

  1. Oktober 2026 (9 Monate nach Kundmachung)

Kundmachung

  1. Dezember 2025 (Beschluss Nationalrat 12. Dezember 2025)

EU-Frist 17.10.2024

verfehlt; NISG 2024 am 3. Juli 2024 abgelehnt

Anwendungsbereich

ca. 4.000 Unternehmen, 18 Sektoren

Zuständige Behörde

Bundesamt für Cybersicherheit im BMI (in Errichtung)

Einstufung

Selbsteinstufung und Selbstdeklaration statt behördlichem Bescheid

Cybersicherheitsbericht

halbjährlich (statt jährlich)

Konzernprivileg

entfällt; Gesellschaften grundsätzlich einzeln betrachtet

Aufsichtsräte / Überwachungsorgane

ausdrücklich vom Leitungsorgan-Begriff ausgenommen

Geldbußen

nicht durch die Cyberbehörde, sondern durch Bezirksverwaltungsbehörden (Strafrahmen analog NIS-2)

Leitungsorgan

muss Cybersicherheit verankern, Incident-Response-Team einrichten, an Schulungen und Tests teilnehmen

Der Systemwechsel zur Selbsteinstufung verlagert die Verantwortung für die korrekte Bestimmung der Betroffenheit auf das Unternehmen selbst. Wer fälschlich annimmt, nicht in den Anwendungsbereich zu fallen, trägt das Risiko. Der Wegfall des Konzernprivilegs bedeutet, dass Gesellschaften eines Konzerns grundsätzlich einzeln zu betrachten sind — eine konzernweite Sammelbetrachtung ist nicht mehr ohne Weiteres möglich. Die ausdrückliche Ausnahme der Überwachungsorgane vom Leitungsorgan-Begriff ist eine bewusste Abkehr vom 2024er-Entwurf und unterscheidet die österreichische Regelung in diesem Punkt von der deutschen Umsetzung, in der Aufsichts- und Überwachungsorganmitglieder anders behandelt werden.

Pflichten der Leitungsorgane

Wesentliche Einrichtungen müssen Cybersicherheit auf Ebene des Leitungsorgans verankern und ein Incident-Response-Team einrichten. Die Mitglieder des Leitungsorgans sind selbst zur Teilnahme an Schulungen und Tests verpflichtet. Damit zieht das NISG 2026 — wie die gesamte NIS-2-Architektur — die Verantwortung für Cybersicherheit aus der reinen IT-Abteilung heraus auf die Führungsebene. Die Governance-Verantwortung ist nicht vollständig delegierbar.

Praxisbeispiel: Ein mittelständischer Energieversorger

Ein angenommener österreichischer Energieversorger mit 600 Mitarbeitenden prüft im Frühjahr 2026 seine Betroffenheit. Energie ist einer der 18 Sektoren; aufgrund von Größe und Tätigkeit stuft sich das Unternehmen im Rahmen der Selbsteinstufung als wesentliche Einrichtung ein. Es deklariert dies eigenständig — ohne auf einen Bescheid zu warten, da das NISG 2026 keinen solchen mehr vorsieht.

Bis zum Stichtag 1. Oktober 2026 baut das Unternehmen folgende Bausteine auf:

```
Q1 2026 Scoping + Selbsteinstufung (wesentlich/wichtig?)
Q2 2026 ISMS-Reifung, Risikoanalyse, Maßnahmenkatalog
Q2 2026 Incident-Response-Team benennen + Prozesse definieren
Q3 2026 Leitungsorgan-Schulung dokumentieren, Tabletop-Test
Q3 2026 Meldewege + Reporting-Vorlage (halbjährlich) vorbereiten
Okt 2026 Anwendbarkeit NISG 2026 — Pflichten greifen
```

Weil die Cyberbehörde nicht selbst sanktioniert, ist für etwaige Verstöße die zuständige Bezirksverwaltungsbehörde der Adressat des Verwaltungsstrafverfahrens. Der Energieversorger dokumentiert daher von Beginn an lückenlos: Risk-Approval-Protokolle, Schulungsnachweise und Incident-Response-Tests. Diese Beweiskette ist der praktische Kern jeder Betroffenheitsprüfung.

Was Unternehmen jetzt schon tun sollten

Auch ohne finale nationale Detailregelungen ist Untätigkeit keine sinnvolle Option. Die europäische Verpflichtung steht; der Stichtag Oktober 2026 ist gesetzt. Sinnvolle Schritte sind:

  • Scoping und Selbsteinstufung anhand der 18 Sektoren und der Größen-/Tätigkeitskriterien, dokumentiert und nachvollziehbar.
  • ISMS-Aufbau oder -Reifung als organisatorisches Fundament der Risikomanagementmaßnahmen.
  • Incident-Response-Team benennen, Meldewege definieren, Reaktionsprozesse testen.
  • Cybersicherheit auf Leitungsorgan-Ebene verankern, inklusive dokumentierter Schulungen und Tests der Führung.
  • Halbjährliches Reporting vorbereiten, da das NISG 2026 einen halbjährlichen Cybersicherheitsbericht vorsieht.
  • Konzernstruktur prüfen, da das Konzernprivileg entfällt und Gesellschaften einzeln zu betrachten sind.

Ein dezenter, aber wichtiger Hinweis: Dieser Beitrag ist ein fachredaktioneller Überblick und keine Rechtsberatung. Die konkrete Betroffenheit, die korrekte Selbsteinstufung und einzelne Pflichten nach dem NISG 2026 sind mit qualifizierten Rechtsberater:innen zu klären. Institutionelle Details — insbesondere die CSIRT-/GovCERT-Anbindung und kommende Durchführungsverordnungen — sind Stand 2026 teils im Fluss und entwickeln sich weiter.

Für Agenturen und B2B-Entscheider

Für DACH-B2B-Entscheider bedeutet das NISG 2026 vor allem eines: planbare Frist, eigenverantwortliche Einstufung, lückenlose Dokumentation. Wer Lieferketten in Österreich betreibt oder österreichische Tochtergesellschaften hat, sollte deren Betroffenheit früh klären — der Wegfall des Konzernprivilegs macht eine gesellschaftsweise Prüfung notwendig. Marketing- und Digitalagenturen, die regulierte Kunden aus den 18 Sektoren betreuen, sollten ihre eigene Rolle als Dienstleister in der Lieferkette mitdenken und Cybersicherheits- sowie Reporting-Anforderungen vertraglich sauber abbilden. Blck Alpaca unterstützt Unternehmen dabei, Compliance-Themen wie NISG 2026 verständlich aufzubereiten und in Content-, Wissens- und Kommunikationsstrukturen zu übersetzen — sachlich, aktuell und ohne juristische Anmaßung.

Häufig gestellte Fragen

Wann tritt das NISG 2026 in Kraft?
Das NISG 2026 wurde am 12. Dezember 2025 im Nationalrat beschlossen und am 23. Dezember 2025 im Bundesgesetzblatt kundgemacht. Es tritt neun Monate nach Kundmachung, also am 1. Oktober 2026, in vollständige Anwendbarkeit. Die Pflichten gelten ab diesem Stichtag, ohne dass Unternehmen einen behördlichen Bescheid abwarten.
Warum hat Österreich die EU-Frist 17.10.2024 verpasst?
Der erste Anlauf, das NISG 2024, wurde am 3. Juli 2024 im Nationalrat abgelehnt, weil die erforderliche Zweidrittelmehrheit verfehlt wurde. Damit verstrich die EU-Umsetzungsfrist vom 17. Oktober 2024 ungenutzt. Erst nach Neuverhandlung beschloss der Nationalrat im Dezember 2025 das NISG 2026 mit Geltung ab Oktober 2026.
Welche Behörde ist für die Cybersicherheits-Aufsicht zuständig?
Das NISG 2026 sieht die Errichtung eines Bundesamts für Cybersicherheit im Bundesministerium für Inneres (BMI) vor. Diese Behörde übt die Aufsicht aus, verhängt jedoch selbst keine Geldbußen. Für Verwaltungsstrafen sind die Bezirksverwaltungsbehörden zuständig; der Strafrahmen orientiert sich an den Vorgaben der NIS-2-Richtlinie.
Was bedeutet Selbsteinstufung und Selbstdeklaration?
Anders als der 2024er-Entwurf, der einen behördlichen Bescheid zur Einstufung vorsah, verlangt das NISG 2026 von Unternehmen, selbst zu prüfen, ob sie als wesentliche oder wichtige Einrichtung in den Anwendungsbereich fallen, und dies eigenständig zu deklarieren. Die Verantwortung für die korrekte Einstufung liegt damit beim Unternehmen.
Was sollten Unternehmen jetzt schon tun, obwohl das Gesetz erst im Oktober 2026 gilt?
Die EU-Verpflichtung besteht unabhängig von der nationalen Verzögerung. Sinnvoll sind jetzt: Scoping und Selbsteinstufung, Aufbau oder Reifung eines ISMS, Einrichtung eines Incident-Response-Teams, Verankerung der Cybersicherheit auf Leitungsorgan-Ebene sowie Vorbereitung von Schulungen. Dies ist keine Rechtsberatung; die konkrete Betroffenheit ist mit qualifizierten Berater:innen zu klären.
Sind Aufsichtsräte vom Leitungsorgan-Begriff erfasst?
Nein. Im NISG 2026 sind Überwachungsorgane wie Aufsichtsräte ausdrücklich vom Begriff des Leitungsorgans ausgenommen. Das ist eine bewusste Abkehr vom 2024er-Entwurf und unterscheidet die österreichische Regelung in diesem Punkt von der deutschen Umsetzung.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerNIS-2 Lieferkette: Pflichten für IT-Dienstleister betroffener Unternehmen