NISG 2026 a inštitucionálny dohľad nad kybernetickou bezpečnosťou v Rakúsku

NISG 2026 (zákon o bezpečnosti sietí a informačných systémov 2026) je rakúska transpozícia smernice EÚ NIS 2 (EÚ) 2022/2555. Bol schválený 12. decembra 2025 v Národnej rade, vyhlásený 23. decembra 2025 a plnú uplatniteľnosť nadobúda o deväť mesiacov neskôr, 1. októbra 2026. Definuje povinnosti v oblasti kybernetickej bezpečnosti pre približne 4 000 podnikov v 18 sektoroch a prvýkrát zriaďuje dedikovaný Spolkový úrad pre kybernetickú bezpečnosť.

Tri najdôležitejšie body na úvod:

• Neskoro, ale záväzne: Rakúsko výrazne zmeškalo transpozičnú lehotu EÚ zo 17. októbra 2024. Prvý návrh (NISG 2024) stroskotal 3. júla 2024 na dvojtretinovej väčšine. Až NISG 2026 vytvára národný právny rámec, uplatniteľný od októbra 2026.
• Vlastná zodpovednosť namiesto rozhodnutia: Zákon prechádza na vlastné zaradenie a vlastné vyhlásenie. Podniky si musia samy overiť, či sú dotknuté, a samostatne to oznámiť.
• Príprava sa oplatí už teraz: Povinnosť EÚ existuje nezávisle od národného omeškania. Mesiace do októbra 2026 sú časovým oknom na scoping, budovanie ISMS a prípravu reakcie na incidenty.

Cesta k NISG 2026: oneskorenie oproti lehote EÚ

Smernica NIS 2 zaviazala všetky členské štáty EÚ uviesť národné transpozičné zákony do účinnosti najneskôr do 17. októbra 2024. Rakúsko patrí medzi štáty, ktoré túto lehotu nedodržali. Prvý pokus, NISG 2024, bol 3. júla 2024 v Národnej rade zamietnutý, pretože sa nedosiahla dvojtretinová väčšina potrebná pre časti zákona. Tým lehota EÚ uplynula nevyužitá.

Až po opätovnom prerokovaní a so zmenenými obsahmi schválila Národná rada 12. decembra 2025 NISG 2026. Vyhlásenie v Spolkovom vestníku zákonov sa uskutočnilo 23. decembra 2025, plná uplatniteľnosť je datovaná na 1. októbra 2026. Medzi uplynutím lehoty EÚ a národnou uplatniteľnosťou tak leží takmer dva roky. Pre podniky je toto omeškanie dvojsečná situácia: formálne im poskytuje čas, no nič nemení na základnej európskej povinnosti, ktorá stojí za národnou normou.

Príslušný orgán: Spolkový úrad pre kybernetickú bezpečnosť na BMI

Inštitucionálne najdôležitejším prvkom NISG 2026 je zriadenie Spolkového úradu pre kybernetickú bezpečnosť na Spolkovom ministerstve vnútra (BMI). Tento orgán je predpokladaný ako centrálny dohľad nad kybernetickou bezpečnosťou a k stavu roku 2026 sa nachádza vo výstavbe (v procese zriaďovania).

Ústrednou osobitosťou rakúskej konštrukcie je sankcionovanie: orgán pre kybernetickú bezpečnosť sám neukladá peňažné pokuty. Pre správne pokuty sú príslušné okresné správne orgány. Sadzba pokút sa riadi požiadavkami smernice NIS 2. Toto oddelenie medzi orgánom vykonávajúcim dohľad a sankcionujúcim útvarom je osobitosťou oproti iným jurisdikciám, v ktorých orgán dohľadu sám vyslovuje pokuty.

CSIRT, GovCERT a národné reakčné štruktúry — stav: v procese vývoja

Smernica NIS 2 vyžaduje od každého členského štátu určenie tímov reakcie na počítačové bezpečnostné incidenty (CSIRT) a národného koordinačného útvaru. Rakúsko nezávisle od NISG 2026 už roky prevádzkuje etablované reakčné štruktúry, predovšetkým GovCERT Austria a národné prostredie CSIRT. Ako sa konkrétne napojenie CSIRT a GovCERT podľa NISG 2026 inštitucionálne navrhne, organizačne umiestni a prepojí s novým Spolkovým úradom, nie je k stavu roku 2026 sčasti ešte definitívne vyjasnené a malo by sa považovať za očakávané/provizórne. Sprievodné vykonávacie nariadenia a pokyny orgánov pravdepodobne spresnia tieto detaily až v priebehu implementačnej fázy. Podniky by preto mali oficiálne zverejnenia priebežne sledovať a nemali by sa spoliehať na predbežné detailné predpoklady.

Čo sa zmenilo oproti návrhu NISG 2024

NISG 2026 sa v niekoľkých štrukturálnych bodoch líši od neúspešného návrhu z roku 2024. Tieto zmeny bezprostredne formujú prax dodržiavania súladu (compliance):

Systémový prechod na vlastné zaradenie prenáša zodpovednosť za správne určenie dotknutosti na samotný podnik. Kto mylne predpokladá, že nespadá do rozsahu pôsobnosti, nesie riziko. Odpadnutie koncernového privilégia znamená, že spoločnosti koncernu sa zásadne posudzujú jednotlivo — celokoncernové súhrnné posúdenie už nie je bez ďalšieho možné. Výslovné vyňatie kontrolných orgánov z pojmu riadiaceho orgánu je vedomý odklon od návrhu z roku 2024 a v tomto bode odlišuje rakúsku úpravu od nemeckej transpozície, v ktorej sa členovia dozorných a kontrolných orgánov posudzujú inak.

Povinnosti riadiacich orgánov

Základné subjekty musia ukotviť kybernetickú bezpečnosť na úrovni riadiaceho orgánu a zriadiť tím reakcie na incidenty (incident-response). Členovia riadiaceho orgánu sú sami povinní zúčastňovať sa školení a testov. NISG 2026 tým — ako celá architektúra NIS 2 — vyťahuje zodpovednosť za kybernetickú bezpečnosť z čisto IT oddelenia na úroveň vedenia. Zodpovednosť za riadenie (governance) nie je úplne delegovateľná.

Praktický príklad: stredne veľký dodávateľ energií

Predpokladaný rakúsky dodávateľ energií so 600 zamestnancami preveruje na jar 2026 svoju dotknutosť. Energetika je jedným z 18 sektorov; na základe veľkosti a činnosti sa podnik v rámci vlastného zaradenia zaraďuje ako základný subjekt. Vyhlasuje to samostatne — bez čakania na rozhodnutie, keďže NISG 2026 už žiadne také nepredpokladá.

Do rozhodujúceho dátumu 1. októbra 2026 podnik buduje nasledujúce stavebné kamene:

```
Q1 2026 Scoping + vlastné zaradenie (základný/dôležitý?)
Q2 2026 Dozretie ISMS, analýza rizík, katalóg opatrení
Q2 2026 Určiť tím reakcie na incidenty + definovať procesy
Q3 2026 Zdokumentovať školenie riadiaceho orgánu, tabletop test
Q3 2026 Pripraviť oznamovacie cesty + šablónu reportingu (polročne)
Okt 2026 Uplatniteľnosť NISG 2026 — povinnosti začínajú platiť
```

Keďže orgán pre kybernetickú bezpečnosť sám nesankcionuje, pri prípadných porušeniach je adresátom správneho konania o pokute príslušný okresný správny orgán. Dodávateľ energií preto od začiatku dokumentuje bez medzier: protokoly o schválení rizík (risk-approval), doklady o školeniach a testy reakcie na incidenty. Tento reťazec dôkazov je praktickým jadrom každého preverovania dotknutosti.

Čo by mali podniky robiť už teraz

Aj bez finálnych národných detailných úprav nie je nečinnosť zmysluplnou možnosťou. Európska povinnosť stojí; rozhodujúci dátum október 2026 je stanovený. Zmysluplné kroky sú:

• Scoping a vlastné zaradenie podľa 18 sektorov a kritérií veľkosti/činnosti, zdokumentované a sledovateľné.
• Budovanie alebo dozretie ISMS ako organizačný základ opatrení riadenia rizík.
• Určiť tím reakcie na incidenty (incident-response), definovať oznamovacie cesty, otestovať reakčné procesy.
• Ukotviť kybernetickú bezpečnosť na úrovni riadiaceho orgánu vrátane zdokumentovaných školení a testov vedenia.
• Pripraviť polročný reporting, keďže NISG 2026 predpokladá polročnú správu o kybernetickej bezpečnosti.
• Preveriť koncernovú štruktúru, keďže koncernové privilégium odpadá a spoločnosti sa posudzujú jednotlivo.

Decentný, no dôležitý odkaz: tento príspevok je odborno-redakčný prehľad a nie je právnym poradenstvom. Konkrétnu dotknutosť, správne vlastné zaradenie a jednotlivé povinnosti podľa NISG 2026 treba vyjasniť s kvalifikovanými právnymi poradcami a poradkyňami. Inštitucionálne detaily — najmä napojenie CSIRT/GovCERT a nadchádzajúce vykonávacie nariadenia — sú k stavu roku 2026 sčasti v procese vývoja a ďalej sa vyvíjajú.

Pre agentúry a B2B rozhodovateľov

Pre DACH B2B rozhodovateľov znamená NISG 2026 predovšetkým jedno: plánovateľnú lehotu, zaradenie na vlastnú zodpovednosť, bezmedzerovú dokumentáciu. Kto prevádzkuje dodávateľské reťazce v Rakúsku alebo má rakúske dcérske spoločnosti, mal by ich dotknutosť vyjasniť včas — odpadnutie koncernového privilégia robí potrebným posúdenie po jednotlivých spoločnostiach. Marketingové a digitálne agentúry, ktoré obsluhujú regulovaných zákazníkov z 18 sektorov, by mali zohľadniť aj svoju vlastnú úlohu ako poskytovateľa služieb v dodávateľskom reťazci a zmluvne čisto zachytiť požiadavky na kybernetickú bezpečnosť i reporting. Blck Alpaca podporuje podniky v tom, aby témy dodržiavania súladu (compliance) ako NISG 2026 spracovali zrozumiteľne a preložili do obsahových, vedomostných a komunikačných štruktúr — vecne, aktuálne a bez právnej domýšľavosti.