NIS2 in Österreich: Was mit dem NISG 2026 auf Betriebe zukommt

Cybersicherheit war für Unternehmen lange eine Frage der Vernunft und des Risikobewusstseins – gesetzlich verpflichtend war sie nur für eine kleine Gruppe kritischer Infrastrukturen. Das ändert sich jetzt grundlegend. Mit dem Netz- und Informationssystemsicherheitsgesetz 2026, kurz NISG 2026, setzt Österreich die europäische NIS2-Richtlinie in nationales Recht um. Das Gesetz wurde am 12. Dezember 2025 im Nationalrat beschlossen, am 23. Dezember 2025 im Bundesgesetzblatt kundgemacht und tritt am 1. Oktober 2026 in Kraft. Damit endet eine lange Hängepartie – die EU-Frist zur Umsetzung war eigentlich schon im Oktober 2024 abgelaufen, ein erster österreichischer Anlauf scheiterte damals an der nötigen Zweidrittelmehrheit im Parlament.

Für tausende österreichische Unternehmen bedeutet das neue Gesetz konkrete Pflichten mit konkreten Fristen – und für viele weitere, die formal gar nicht betroffen sind, indirekten Handlungsdruck über ihre Kunden. In diesem Beitrag erklären wir ausführlich, wer betroffen ist, was zu tun ist und warum sich auch kleinere Betriebe jetzt mit dem Thema befassen sollten. Eine wichtige Anmerkung vorweg: Dieser Beitrag ist eine allgemeine Information aus IT-Sicht und ersetzt keine Rechtsberatung im Einzelfall.

 

Von hundert auf mehrere tausend: Der Anwendungsbereich explodiert

Um die Tragweite zu verstehen, lohnt ein Blick zurück. Das bisherige Regime auf Basis des NISG 2018 betraf in Österreich nur rund hundert Unternehmen – im Wesentlichen klassische kritische Infrastrukturen wie Energieversorger und einige digitale Dienste, die per behördlichem Bescheid festgestellt wurden. Das NISG 2026 weitet den Kreis dramatisch aus: Künftig fallen mehrere tausend Einrichtungen in den Anwendungsbereich, verteilt auf 18 Sektoren. Neben den erwartbaren Bereichen wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitaler Infrastruktur sind nun auch Sektoren erfasst, an die viele zunächst nicht denken: Lebensmittelproduktion und -vertrieb, Abfallbewirtschaftung, Chemie, Post- und Kurierdienste, verarbeitendes Gewerbe – etwa Maschinenbau, Elektronik- und Fahrzeugherstellung – sowie Forschung und Teile der öffentlichen Verwaltung.

Als Faustregel für die direkte Betroffenheit gilt die Größenschwelle: Erfasst sind mittlere und große Unternehmen ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme, sofern sie in einem der definierten Sektoren tätig sind. Das Gesetz unterscheidet dabei zwei Kategorien mit unterschiedlich strengem Aufsichtsregime: wesentliche Einrichtungen – im Kern große Unternehmen aus den Sektoren mit hoher Kritikalität – und wichtige Einrichtungen, zu denen mittlere Unternehmen dieser Sektoren sowie Unternehmen der sonstigen kritischen Sektoren zählen.

Bemerkenswert ist der Systemwechsel bei der Feststellung: Anders als bisher wartet niemand mehr auf einen Bescheid der Behörde. Unternehmen müssen selbst prüfen, ob sie unter das Gesetz fallen – anhand der Kriterien Unternehmensgröße, Sektor und Tätigkeit in Österreich – und sich eigenständig registrieren. Wer diese Selbsteinstufung versäumt, kann sich später nicht darauf berufen, nichts gewusst zu haben. Einen guten ersten Anhaltspunkt bietet der Online-Ratgeber der Wirtschaftskammer zur NIS2-Betroffenheit; im Zweifelsfall gehört die Frage fachlich und juristisch geklärt.

 

Die Lieferketten-Falle: Warum auch kleine Betriebe betroffen sind

Und hier kommt der Punkt, der in vielen Diskussionen untergeht und der gerade für die Kärntner Wirtschaftsstruktur mit ihren vielen Klein- und Mittelbetrieben zentral ist: Das Gesetz verpflichtet die betroffenen Unternehmen ausdrücklich, auch die Sicherheit ihrer Lieferkette zu managen. Wesentliche und wichtige Einrichtungen müssen bewerten, welche Risiken von ihren Lieferanten und Dienstleistern ausgehen, und diese Bewertung gegenüber der Behörde dokumentieren.

Praktisch heißt das: Wenn Ihr Betrieb – egal wie klein – einen NIS2-pflichtigen Kunden beliefert oder für ihn Dienstleistungen erbringt, werden Sie künftig Fragen beantworten müssen. Wie sichern Sie Ihre Systeme ab? Wie gehen Sie mit Sicherheitsvorfällen um? Haben Sie getestete Backups, geregelte Zugriffsrechte, geschulte Mitarbeiter? Solche Lieferanten-Fragebögen und Sicherheitsanforderungen in Verträgen sind aus anderen Compliance-Bereichen längst bekannt und werden sich mit dem NISG 2026 flächendeckend verbreiten. Wer dann keine überzeugenden Antworten hat, riskiert im schlimmsten Fall Aufträge – nicht weil ein Gesetz ihn direkt verpflichtet, sondern weil der Kunde sich keinen unsicheren Lieferanten mehr leisten kann. IT-Sicherheit wird damit faktisch zum Wettbewerbsfaktor, auch weit unterhalb der gesetzlichen Schwellenwerte.

 

Die Pflichten im Detail

Was müssen betroffene Unternehmen nun konkret tun? Das Gesetz gruppiert die Anforderungen in mehrere Blöcke.

Im Zentrum steht das Risikomanagement nach Paragraf 32: Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem Stand der Technik umsetzen. Inhaltlich entspricht das dem Maßnahmenkatalog der EU-Richtlinie und umfasst unter anderem Risikoanalysen und Sicherheitskonzepte, die Bewältigung von Sicherheitsvorfällen, Betriebskontinuität samt Backup- und Krisenmanagement, die erwähnte Lieferkettensicherheit, sichere Systementwicklung und -beschaffung, Schulungen und grundlegende Cyberhygiene, Konzepte für Kryptografie und Verschlüsselung, Zugriffskontrolle und den Einsatz von Mehrfaktor-Authentifizierung. Wer sich diese Liste ansieht, erkennt: Das ist im Wesentlichen das, was ein professionell geführter IT-Betrieb ohnehin haben sollte – nur eben jetzt verpflichtend, dokumentiert und nachweisbar.

Der zweite Block betrifft die Unternehmensführung, und er hat es in sich: Nach Paragraf 31 sind die Leitungsorgane – also Geschäftsführung oder Vorstand – persönlich dafür verantwortlich, die Risikomanagementmaßnahmen zu genehmigen und ihre Umsetzung zu überwachen. Sie müssen außerdem selbst an Cybersicherheitsschulungen teilnehmen. Diese Verantwortung ist nicht delegierbar – der Satz „dafür haben wir unseren IT-Dienstleister“ entbindet die Geschäftsführung nicht von ihrer Aufsichtspflicht, und bei Verletzung dieser Pflicht droht persönliche Haftung. Cybersicherheit wird damit endgültig vom Technikthema zum Chefthema.

Der dritte Block ist die Meldepflicht bei erheblichen Sicherheitsvorfällen, geregelt in einem dreistufigen Verfahren: Binnen 24 Stunden nach Kenntnis muss eine Frühwarnung an die zuständige Stelle erfolgen, binnen 72 Stunden eine ausführlichere Meldung mit einer ersten Bewertung des Vorfalls und der eingeleiteten Gegenmaßnahmen, und spätestens einen Monat danach ein Abschlussbericht mit Ursachenanalyse. Wer schon einmal einen echten Sicherheitsvorfall erlebt hat, weiß, wie kurz 24 Stunden in einer solchen Ausnahmesituation sind – diese Fristen lassen sich nur einhalten, wenn Zuständigkeiten, Erkennungsprozesse und Meldewege vorher definiert und geübt wurden.

Der vierte Block umfasst Registrierung und Nachweise: Betroffene Unternehmen müssen sich binnen drei Monaten nach Inkrafttreten – also bis Ende 2026 – beim neu geschaffenen Bundesamt für Cybersicherheit registrieren, das als zentrale Cybersicherheitsbehörde beim Innenministerium angesiedelt wird. Innerhalb von zwölf Monaten ab Registrierungspflicht folgt eine verpflichtende Selbstdeklaration, in der das Unternehmen strukturiert über seine Systeme, die Risikoanalyse und die Lieferkettensicherheit berichtet. Später kann die Behörde konkrete Nachweise und externe Prüfberichte anfordern.

Unterfüttert wird das alles mit empfindlichen Strafen: Für wesentliche Einrichtungen sind Geldbußen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vorgesehen, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Schon die Nichtregistrierung ist strafbewehrt.

 

NIS2 und DSGVO: zwei Regelwerke, eine Stoßrichtung

Bei aller Aufmerksamkeit für das neue Gesetz sollte man nicht vergessen: Die DSGVO gilt parallel weiter – und zwar für praktisch jedes Unternehmen, unabhängig von Größe und Sektor. Auch sie verlangt in Artikel 32 angemessene technische und organisatorische Sicherheitsmaßnahmen und kennt in Artikel 33 eine eigene Meldepflicht: Datenschutzverletzungen sind binnen 72 Stunden der Datenschutzbehörde zu melden. Ein Ransomware-Angriff, bei dem Kundendaten betroffen sind, kann also künftig gleich zwei Meldepflichten parallel auslösen – die NIS2-Meldung an die Cybersicherheitsbehörde und die DSGVO-Meldung an die Datenschutzbehörde.

Die gute Nachricht in dieser Doppelgleisigkeit: Beide Regelwerke verlangen im Kern dasselbe – ein systematisches, dokumentiertes Sicherheitsniveau. Wer seine IT-Sicherheit sauber aufstellt, erfüllt beide Anforderungen weitgehend mit denselben Maßnahmen. Es lohnt sich daher, das Thema einmal grundsätzlich anzugehen, statt für jedes Gesetz eine eigene Insellösung zu bauen.

 

Was Sie jetzt konkret tun sollten

Bis zum Inkrafttreten am 1. Oktober 2026 bleibt Zeit – aber weniger, als es scheint, denn eine seriöse Umsetzung braucht mehrere Monate Vorlauf. Wir empfehlen folgendes Vorgehen.

Klären Sie zuerst Ihre Betroffenheit: Prüfen Sie anhand von Sektor, Unternehmensgröße und Tätigkeit, ob Ihr Unternehmen direkt unter das NISG 2026 fällt, und dokumentieren Sie diese Prüfung – auch ein begründetes „nicht betroffen“ ist ein Ergebnis, das Sie später vorweisen können. Denken Sie dabei auch an die indirekte Betroffenheit: Welche Ihrer Kunden sind mutmaßlich NIS2-pflichtig, und welche Anforderungen werden von dort auf Sie zukommen?

Erheben Sie zweitens ehrlich den Ist-Zustand Ihrer IT-Sicherheit. Wie aktuell sind Ihre Systeme? Existieren getestete, versionierte Backups nach der 3-2-1-Regel? Wer hat welche Zugriffsrechte, und gibt es Mehrfaktor-Authentifizierung für kritische Zugänge? Was würde bei einem Ausfall oder Angriff konkret passieren, und wer wüsste, was zu tun ist? Diese Bestandsaufnahme – oft als Gap-Analyse bezeichnet – ist die Grundlage für alles Weitere und deckt erfahrungsgemäß auch bei gut geführten Betrieben überraschende Lücken auf.

Setzen Sie drittens die Basismaßnahmen um, unabhängig davon, ob Sie formal betroffen sind: aktuelle Systeme und konsequentes Patch-Management, Mehrfaktor-Authentifizierung, ein belastbares Backup-Konzept, geregelte Zugriffsrechte, sensibilisierte Mitarbeiter und ein einfacher Notfallplan mit klaren Zuständigkeiten. Diese Maßnahmen sind das Fundament jeder Compliance – und sie schützen Ihr Unternehmen auch dann, wenn nie ein Prüfer danach fragt.

Und viertens: Beginnen Sie rechtzeitig. Wer erst im Sommer 2026 startet, gerät unter Zeitdruck und produziert Papier-Compliance statt echter Sicherheit. Die Erfahrung aus der DSGVO-Einführung 2018 hat gezeigt, wohin Last-Minute-Umsetzungen führen: zu Dokumenten, die niemand lebt, und Maßnahmen, die niemand versteht.

 

Fazit

Das NISG 2026 markiert einen Epochenwechsel: IT-Sicherheit wird für einen großen Teil der österreichischen Wirtschaft von der freiwilligen Kür zur gesetzlichen Pflicht – mit persönlicher Verantwortung der Geschäftsführung, harten Meldefristen und empfindlichen Strafen. Über die Lieferkettenanforderungen strahlt das Gesetz zudem weit über seinen formalen Anwendungsbereich hinaus. Die geforderten Maßnahmen sind allerdings kein Hexenwerk, sondern solides IT-Handwerk. Wer jetzt strukturiert beginnt, kann die verbleibende Zeit nutzen, um aus einer Pflicht einen echten Sicherheitsgewinn zu machen.

 

Unsicher, wo Ihr Betrieb steht? Wir unterstützen Sie bei der technischen Bestandsaufnahme Ihrer IT-Sicherheit und setzen die Maßnahmen um, auf die es ankommt – von Backup-Konzepten über Mehrfaktor-Authentifizierung und Systemhärtung bis zum laufenden Monitoring. Fragen Sie jetzt Ihren Sicherheits-Check an, damit der Oktober 2026 kein Stresstermin wird.

Das könnte Sie auch interessieren