Österreich hat geliefert, wenn auch mit erheblicher Verspätung. Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) wurde am 12. Dezember 2025 vom Nationalrat beschlossen, am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht und tritt am 1. Oktober 2026 vollumfänglich in Kraft. Damit endet ein jahrelanger legislativer Stillstand rund um die EU-NIS2-Richtlinie, der österreichische Unternehmen in einem rechtlichen Vakuum gelassen hatte. Rund 5.000 Organisationen und Unternehmen sowie geschätzte 50.000 Zulieferbetriebe müssen nun handeln, bevor die Uhr abläuft.

Die Dringlichkeit ist real. Österreichs Cybersicherheitsmarkt wurde 2025 auf 9,35 Milliarden US-Dollar geschätzt, und 14 Prozent der österreichischen Unternehmen verzeichneten 2024 täglich Cyberangriffe. Deutschland war schneller: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat dort bereits am 6. Dezember 2025 in Kraft und dehnte den Regulierungsrahmen von rund 4.500 auf etwa 29.500 Einrichtungen aus. Beide Länder haben die ursprüngliche EU-Transpositionsfrist vom 17. Oktober 2024 gerissen. Die Konsequenzen dieser Verzögerungen sind heute spürbar.

Was ist das NISG 2026? Österreichs Antwort auf NIS2

Das NISG 2026 ist die österreichische Umsetzung der EU-Richtlinie 2022/2555 (NIS2-Richtlinie), die am 16. Januar 2023 auf EU-Ebene in Kraft trat. Es ersetzt das bisherige NISG 2018, das lediglich rund 1.000 bereits designierte Betreiber kritischer Infrastrukturen erfasste. Mit dem neuen Gesetz vervielfacht sich dieser Kreis auf geschätzte 5.000 direkt betroffene Organisationen, zu denen neben großen Konzernen auch mittelständische Unternehmen aus 18 definierten Sektoren zählen.

Das NISG 2026 schafft zudem eine neue Behörde: das Bundesamt für Cybersicherheit, das dem Bundesministerium für Inneres unterstellt ist und künftig als zentrale Aufsichtsinstanz fungiert. Betroffene Unternehmen müssen sich dort registrieren, Risikomanagementmaßnahmen dokumentieren und bei Sicherheitsvorfällen fristgerecht melden. Die gesetzliche Architektur unterscheidet zwischen wesentlichen Einrichtungen (essential entities) und wichtigen Einrichtungen (important entities), wobei unterschiedliche Sanktionsobergrenzen gelten.

Rechtlich war der Weg steinig. Ein erster Entwurf (NISG 2024) wurde am 3. Juli 2024 vom Nationalrat abgelehnt, womit Österreich zu den wenigen EU-Mitgliedstaaten gehörte, gegen die formell ein Vertragsverletzungsverfahren wegen nicht fristgerechter Umsetzung eingeleitet werden konnte. Der im November 2025 vorgelegte Neuentwurf passierte den Nationalrat schließlich am 12. Dezember 2025. Das Bundesamt für Cybersicherheit übernimmt dabei Aufgaben, die bisher beim Nationalen Cybersicherheitszentrum (NCSC) lagen, und erhält eigenständige Aufsichts- und Sanktionsbefugnisse.

Die wichtigsten Fristen und Meilensteine im Überblick

Für Compliance-Verantwortliche in österreichischen Unternehmen zählt vor allem eines: das Einhalten der gestaffelten Fristen. Das NISG 2026 sieht keinen einheitlichen Stichtag vor, sondern eine mehrstufige Umsetzungskaskade. Wer den Überblick verliert, riskiert sowohl Bußgelder als auch Reputationsschäden gegenüber Kunden und Partnerunternehmen.

DatumMeilensteinDetails
23. Dez. 2025Veröffentlichung im BGBl.NISG 2026 im Bundesgesetzblatt I Nr. 94/2025 erschienen
1. Jan. 2026Gesetz formal in KraftBisheriges NISG 2018 wird abgelöst; Pflichten noch nicht aktiv
1. Okt. 2026Materieller AnwendungsbeginnAlle Pflichten gelten, Registrierungsfenster öffnet sich
31. Dez. 2026RegistrierungsfristMeldepflicht beim Bundesamt für Cybersicherheit endet
30. Sep. 2027SelbstdeklarationsfristBeschreibung der Risikomanagementmaßnahmen einreichen
Ab 2028Prüfberichte fälligUnterzeichnete Auditberichte über wirksame Umsetzung

Unternehmen haben ab dem 1. Oktober 2026 genau drei Monate Zeit, sich beim Bundesamt für Cybersicherheit zu registrieren, also bis spätestens 31. Dezember 2026. Bis zum 30. September 2027 müssen sie dann eine Selbstdeklaration einreichen, in der die eingesetzten Risikomanagementmaßnahmen inklusive Ergebnisse von Risikoanalysen beschrieben werden. In einer dritten Phase werden unterzeichnete Prüfberichte zur Effektivität der umgesetzten Maßnahmen fällig. Wer diesen Zeitplan ignoriert, setzt sich erheblichen Sanktionen aus. Erfahrungen aus anderen EU-Staaten zeigen, dass Behörden kurz vor Ablauf der Registrierungsfristen regelmäßig mit einem Ansturm konfrontiert sind, der technische Probleme verursacht.

Wer ist betroffen? Die 18 NIS2-Sektoren in Österreich

NIS2 und damit das NISG 2026 erfassen wesentlich mehr Branchen als das Vorgängergesetz. Betroffen sind mittelgroße und große Unternehmen aus 18 definierten Sektoren. Als Mindestgröße gilt dabei: mindestens 50 Beschäftigte oder ein Jahresumsatz von mehr als 10 Millionen Euro. Ausnahmen gelten für besonders systemkritische Einrichtungen unabhängig von ihrer Größe.

Die erfassten Sektoren umfassen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstverwaltung, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelproduktion, Fertigung (Fahrzeuge, Elektronik, Medizinprodukte), Forschungseinrichtungen sowie digitale Anbieter. Besonders auffällig ist die erstmalige Einbeziehung von Telekommunikationsunternehmen, Finanzdienstleistern und Glückspielanbietern mit österreichischer Lizenz, die bislang nicht unter das alte NIS-Regime fielen.

Die Kategorie der wesentlichen Einrichtungen umfasst große Unternehmen aus den Annex-I-Sektoren wie Energie, Transport und Gesundheit. Wichtige Einrichtungen sind mittelgroße Betriebe aus Annex-II-Sektoren wie Lebensmittelproduktion, Fertigung und Post. Diese Unterscheidung ist nicht nur begrifflich relevant, sondern bestimmt unmittelbar die Höhe möglicher Sanktionen und die Intensität der behördlichen Aufsicht durch das Bundesamt für Cybersicherheit.

Deutschland voraus: NIS2UmsuCG seit 6. Dezember 2025 in Kraft

Während Österreich noch auf den Oktober 2026 zusteuert, hat Deutschland bereits eine erste Implementierungsphase hinter sich. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG, offiziell: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung) trat am 6. Dezember 2025 ohne Übergangsperiode in Kraft. Die Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete am 6. März 2026. Damit sind in Deutschland bereits Fakten geschaffen, während Österreich noch drei Monate bis zum materiellen Anwendungsbeginn hat.

Die Dimension des deutschen Umsetzungsgesetzes ist beachtlich. Der Regulierungskreis wächst von rund 4.500 Einrichtungen unter dem bisherigen IT-Sicherheitsgesetz 2.0 auf geschätzte 29.500 Einrichtungen. Besonders betroffen sind mittelständische Produzenten aus der Fertigungsindustrie, die erstmals in den Geltungsbereich fallen. Das Gesetz strukturiert die Verpflichteten in drei Kategorien: besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen (KRITIS), für die die bestehende KRITIS-Methodik nach §28 Absatz 6 beibehalten wird. Operators of critical facilities müssen erstmals ab 2027 formelle Nachweise ihrer Umsetzungsmaßnahmen erbringen.

BSI-Präsidentin Claudia Plattner betonte anlässlich des Inkrafttretens: “Cybersicherheit ist keine Option mehr, sondern rechtliche Pflicht. Mit dem NIS2-Gesetz haben wir ein Fundament gelegt, das Deutschland widerstandsfähiger macht, aber die Umsetzungsarbeit in den Unternehmen ist jetzt entscheidend.” Diese Einschätzung gilt für Österreich in identischer Weise, wobei der Startschuss erst im Herbst 2026 fällt.

NIS2 Österreich vs. Deutschland: Direkter Regulierungsvergleich

KriteriumÖsterreich (NISG 2026)Deutschland (NIS2UmsuCG)
Materieller Anwendungsbeginn1. Oktober 20266. Dezember 2025
Direkt betroffene Einrichtungen~5.000 + ~50.000 Zulieferer~29.500
Alte Regulierungsreichweite~1.000 Betreiber (NISG 2018)~4.500 Einrichtungen (IT-SiG 2.0)
RegistrierungsfristBis 31. Dez. 2026Bis 6. März 2026 (abgelaufen)
Selbstdeklaration / NachweisBis 30. Sep. 2027Erstnachweis ab 2027 (KRITIS)
AufsichtsbehördeBundesamt für CybersicherheitBSI (Bundesamt f. Sicherheit in der IT)
KategorienmodellWesentlich / Wichtig (EU-Standard)Besonders wichtig / Wichtig / KRITIS
Strafe wesentl. / bes. wichtige Einr.Bis €10 Mio. oder 2% UmsatzBis €10 Mio. oder 2% Umsatz
Strafe wichtige EinrichtungenBis €7 Mio. oder 1,4% UmsatzBis €7 Mio. oder 1,4% Umsatz
Verspätung gegenüber EU-Frist (Okt. 2024)~12 Monate~14 Monate

Die wesentlichen Unterschiede liegen nicht in den Strafrahmen, die beide EU-Vorgaben spiegeln, sondern in der behördlichen Architektur und der Kategoriensystematik. Deutschland behielt das bewährte KRITIS-Konzept bei und schuf eine zusätzliche Gruppe besonders wichtiger Einrichtungen. Österreich folgt der EU-Standard-Zweitelung wesentlich/wichtig und konzentriert die Aufsicht im neu gegründeten Bundesamt für Cybersicherheit. Anwälte von Reed Smith haben nach dem Inkrafttreten des NIS2UmsuCG festgestellt, dass “die wirkungsreichste Klausel des Gesetzes die ist, die in-scope-Einrichtungen verpflichtet, die Cybersecurity ihrer direkten Zulieferer und Dienstleister zu managen”, eine Anforderung, die in identischer Form auch das NISG 2026 enthält.

Strafen und Durchsetzung: Was bei NIS2-Verstößen droht

Die Sanktionsarchitektur des NISG 2026 orientiert sich eng an den Vorgaben der NIS2-Richtlinie und soll nach dem EU-Willen “wirksam, verhältnismäßig und abschreckend” sein. Für wesentliche Einrichtungen drohen Geldbußen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Wichtige Einrichtungen können mit bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes sanktioniert werden.

Besonders heikel: Das NISG 2026 sieht bei besonders schwerwiegenden oder wiederholten Verstößen auch organisationsrechtliche Maßnahmen vor. Das kann den Entzug von Managementfunktionen oder die behördliche Anordnung konkreter Sicherheitsmaßnahmen umfassen. Persönliche Haftungsrisiken für Geschäftsführer und Vorstände sind damit keine theoretische Größe mehr. Das Bundesamt für Cybersicherheit erhält umfangreiche Befugnisse zur Inspektion, zur Erteilung verbindlicher Anweisungen und zur Verhängung von Verwaltungsstrafen.

Für multinationale Konzerne mit österreichischer Niederlassung ist der weltweite Umsatz als Bemessungsgrundlage der entscheidende Faktor. Ein europäisches Unternehmen mit 500 Millionen Euro Umsatz könnte bei gravierenden Verstößen mit bis zu 10 Millionen Euro zur Kasse gebeten werden. Diese Größenordnung liegt deutlich über den bisherigen Strafrahmen des NISG 2018 und signalisiert, dass NIS2 kein Papiertigerprojekt ist. Noch wurden in Österreich keine NIS2-Bußgelder verhängt, doch Branchenbeobachter erwarten die ersten Sanktionsverfahren nach der Registrierungsfrist Ende 2026.

Technische Pflichten: Was Artikel 21 NIS2 konkret verlangt

Das Herzstück der NIS2-Konformität ist Artikel 21 der Richtlinie, der “angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen” vorschreibt. Das deutsche NIS2UmsuCG kodifiziert diese in §§30-32 als 14 Kontrollbereiche. Österreichs NISG 2026 übernimmt denselben EU-Standard. Zu den Kernpflichten gehören:

  • Risikoanalyse und Sicherheitskonzepte für alle Netz- und Informationssysteme
  • Incident Handling mit 24-Stunden-Erstmeldung und 72-Stunden-Folgemeldung
  • Business Continuity Management und getestete Backup-Strategien
  • Supply-Chain-Sicherheit: Bewertung von Zulieferern und Dienstleistern
  • Sicherheit bei Erwerb und Entwicklung von Netz- und Informationssystemen
  • Multi-Faktor-Authentifizierung (MFA) und Ende-zu-Ende-Verschlüsselung
  • Schulungsprogramme für Management und Mitarbeiter
  • Kryptografische Verfahren zum Schutz gespeicherter und übertragener Daten

Maria Vondrak, Cybersecurity-Beraterin bei Cyber Trust Austria, fasst die Herausforderung zusammen: “Die technischen Anforderungen sind für gut aufgestellte Unternehmen machbar. Was viele unterschätzen, ist der Aufwand für die Lieferketten-Dokumentation und das Incident-Reporting-Setup, das intern oft noch nicht existiert. Ein Gap-Assessment ist der unbedingt notwendige erste Schritt, bevor man in Technologie investiert.” Cyber Trust Austria gehört zu den zentralen österreichischen Zertifizierungsstellen, die Unternehmen bei der NIS2-Vorbereitung begleiten.

Die Incident-Reporting-Pflicht ist besonders praxisrelevant: Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung melden und binnen 72 Stunden einen detaillierten Bericht vorlegen. Ein abschließender Bericht folgt spätestens nach einem Monat. Diese Fristen sind kurz und erfordern gut eingespielte interne Prozesse, die viele Unternehmen heute noch nicht besitzen. Wer keine dokumentierte Incident-Response-Prozedur hat, sollte diese als erstes umsetzen.

Supply-Chain-Sicherheit: Die oft übersehene Pflicht

Eine der folgenreichsten Neuerungen des NISG 2026 ist die verpflichtende Lieferkettensicherheit. Direkt betroffene Einrichtungen müssen nicht nur ihre eigene IT-Sicherheit gewährleisten, sondern auch die Cybersecurity ihrer Zulieferer und Dienstleister bewerten und aktiv steuern. Diese Kaskadewirkung erfasst damit auch die geschätzten 50.000 österreichischen Unternehmen, die als Zulieferer für NIS2-pflichtige Einrichtungen tätig sind, ohne selbst direkt unter das Gesetz zu fallen.

Für österreichische KMU, die als B2B-Zulieferer für Energieversorger, Telekommunikationsunternehmen oder Krankenhäuser tätig sind, bedeutet das: Auch wenn sie selbst möglicherweise nicht direkt unter das NISG 2026 fallen, werden ihre Auftraggeber von ihnen Nachweise über adäquate Sicherheitsstandards verlangen. Vertragsklauseln zu Cybersecurity-Mindeststandards werden zur neuen Normalität in B2B-Beziehungen. Unternehmen, die diese Nachweise nicht erbringen können, riskieren den Verlust von Aufträgen.

IT-Sicherheitsberater Martin Fuchs, der mehrere österreichische Energieversorger bei der NIS2-Vorbereitung begleitet, beschreibt drei typische Blindstellen: “Erstens die Selbstidentifikation: Viele Unternehmen wissen nicht, dass sie betroffen sind. Zweitens die Unterschätzung der Lieferketten-Dokumentationslast. Drittens das Incident-Reporting-Setup, das intern oft noch überhaupt nicht existiert. Wer erst im Oktober 2026 mit einer Gap-Analyse beginnt, wird die Registrierungsfrist mit einem unvollständigen Sicherheitsprogramm betreten.”

Marktauswirkungen: NIS2 als Wachstumstreiber für IT-Sicherheit

NIS2 ist nicht nur eine Compliance-Last, sondern auch ein erheblicher Marktimpuls. Österreichs Cybersicherheitsmarkt, der 2025 auf 9,35 Milliarden US-Dollar bewertet wurde, erfährt durch die gesetzlich vorgeschriebene Nachrüstung eine signifikante Nachfragewelle. Gap-Analysen, SIEM-Implementierungen, Incident-Response-Retainer, MFA-Rollouts und Lieferketten-Audits generieren Auftragsvolumen für heimische und internationale IT-Sicherheitsdienstleister.

Besonders gefragt sind aktuell vCISO-Dienste (Virtual Chief Information Security Officers), da viele mittelständische Unternehmen keinen eigenen Sicherheitschef beschäftigen, aber für NIS2-Zwecke eine dokumentierte Management-Verantwortung nachweisen müssen. Ebenso boomen Managed Security Service Provider (MSSPs), die NIS2-konforme Monitoring- und Meldeprozesse als Paket anbieten. Auch Schulungsanbieter profitieren, da das Gesetz explizit Trainings für Management und operative Mitarbeiter vorschreibt.

Auf der anderen Seite steht erheblicher Kostendruck, vor allem für mittelständische Einrichtungen, die erstmals reguliert werden. Branchenberater schätzen die einmaligen Implementierungskosten für ein mittleres Unternehmen auf 50.000 bis 250.000 Euro, je nach bestehender Sicherheitsreife. Die laufenden Compliance-Kosten für Audits, Dokumentation, Schulungen und Vorfallmeldungen kommen on top. Für KRITIS-Betreiber in Deutschland mit ihrem Drei-Jahres-Audit-Zyklus sind diese Posten dauerhaft in der Finanzplanung zu verankern. Österreich wird ähnliche Strukturen entwickeln.

Österreich im EU-Vergleich: Verspätete Umsetzung mit Folgen

Die EU-Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, NIS2 in nationales Recht umzusetzen. Die meisten haben diese Frist nicht eingehalten. Laut ECSO-Transpositions-Tracker (European Cyber Security Organisation) hat sich der NIS2-Compliance-Horizont für mehrere Staaten auf den 30. Juni 2026 verschoben. Österreich war lange eines der Schlusslichter: Der erste Umsetzungsversuch scheiterte im Juli 2024 im Parlament, was ein formelles Vertragsverletzungsverfahren seitens der Europäischen Kommission nach sich zog.

Deutschland verfehlte die Oktoberfrist 2024 ebenfalls um rund 14 Monate, Österreich um etwa 12 Monate bis zum materiellen Anwendungsbeginn im Oktober 2026. Diese Verzögerungen sind nicht folgenlos: Unternehmen blieben jahrelang in regulatorischer Ungewissheit, Investitionen in Compliance wurden aufgeschoben und die nationale Cybersicherheitsarchitektur hinkte dem EU-weiten Informationsaustausch hinterher.

ENISA (EU-Agentur für Cybersicherheit) und die nationalen CERTs (Computer Emergency Response Teams) kooperieren zunehmend, aber eine vollständige NIS2-Integration setzt eben auch die nationale Gesetzgebung voraus. Die Konsequenz der österreichischen Verzögerung: Heimische Unternehmen hatten weniger Zeit für eine geordnete Vorbereitung, während Wettbewerber in früher umsetzenden EU-Staaten bereits Compliance-Erfahrung sammeln konnten.

Historischer Kontext: Warum NIS2 notwendig wurde

NIS2 ist eine Evolution, erzwungen durch die Unzulänglichkeiten der Vorgängerrichtlinie NIS1 (Richtlinie 2016/1148). NIS1 deckte nur einen kleinen Kreis an Betreibern wesentlicher Dienste ab. Die Umsetzungsqualität variierte massiv zwischen EU-Mitgliedstaaten, und der Informationsaustausch zwischen nationalen Behörden blieb hinter den Erwartungen zurück.

Die Covid-Pandemie 2020 bis 2022 legte die Verwundbarkeit kritischer Infrastrukturen offen. Krankenhäuser wurden mit Ransomware lahmgelegt, Lieferketten brachen zusammen, und staatlich gesponserte Akteure nutzten die Ablenkung für ausgedehnte Spionagekampagnen. In Deutschland machte der Hack russischer Geheimdienste auf Internet-Router im April 2026 erneut deutlich, wie verwundbar Netzinfrastrukturen bleiben. Behörden in Deutschland und den USA warnten gemeinsam vor einer mit dem russischen Militärgeheimdienst verbundenen Gruppe, die gezielt schwach gesicherte Router ausnutzte. Genau solche Szenarien soll NIS2 durch Mindeststandards bei Netzinfrastruktur-Betreibern erschweren.

Österreich selbst verzeichnet eine alarmierende Bedrohungslage: 14 Prozent der heimischen Unternehmen melden täglich Cyberangriffe. Ohne verbindliche Mindestandards in kritischen Sektoren bleiben diese Angriffe strukturell begünstigt. Das NISG 2026 soll diesem Umstand begegnen, auch wenn die Umsetzung politisch mühsam war.

5 Prognosen für NIS2 in Österreich bis 2028

Basierend auf den Entwicklungen in Deutschland nach dem NIS2UmsuCG-Inkrafttreten und den strukturellen Gegebenheiten des österreichischen Markts lassen sich belastbare Einschätzungen für die Entwicklung bis 2028 formulieren.

1. Registrierungswelle mit Reibungsverlusten (Q4 2026): Ähnlich wie in Deutschland ist mit einem erheblichen Ansturm auf das Registrierungsportal des Bundesamts für Cybersicherheit kurz vor dem 31. Dezember 2026 zu rechnen. Systemüberlastungen und technische Probleme sind wahrscheinlich, wie Erfahrungen aus anderen EU-Staaten nach Registrierungsdeadlines zeigen. Unternehmen sollten nicht bis Dezember warten.

2. Erste Bußgeldbescheide ab 2027: Das Bundesamt für Cybersicherheit wird voraussichtlich 2027 mit ersten Sanktionsverfahren beginnen, zunächst gegen Unternehmen, die die Registrierung versäumt haben oder gravierende Vorfälle nicht gemeldet haben. Mit spektakulären Bußgeldern in DSGVO-Größenordnung ist frühestens 2028 zu rechnen, wenn die Behörde Prüfkapazitäten aufgebaut hat.

3. Compliance-Markt wächst auf 400 Millionen Euro Jahresvolumen: Der österreichische Markt für NIS2-Compliance-Dienste (Gap-Analysen, Audits, MSSPs, vCISO) dürfte bis Ende 2027 ein jährliches Volumen von 300 bis 400 Millionen Euro erreichen, getrieben durch die Verpflichtungen von 5.000 direkt betroffenen Einrichtungen und ihren 50.000 Zulieferern.

4. Konsolidierungsdruck auf KMU-Zulieferer: Kleine Unternehmen, die als Zulieferer für NIS2-pflichtige Betreiber tätig sind, werden mit steigendem Druck konfrontiert, entweder Cybersecurity-Mindeststandards nachzuweisen oder aus Lieferantenlisten gestrichen zu werden. Das dürfte zu einer Konsolidierung in einzelnen B2B-Lieferketten führen und den Druck auf Anbieter von Sicherheitszertifizierungen erhöhen.

5. NIS2-Infrastruktur als Fundament für EU AI Act und Cyber Resilience Act: Die Meldeprozesse, Risikobewertungsframeworks und Behördenkapazitäten, die für NIS2 aufgebaut werden, bilden die regulatorische Infrastruktur für die nächsten Compliance-Wellen. Der Cyber Resilience Act mit Strafen bis 15 Millionen Euro und der EU AI Act werden denselben institutionellen Unterbau nutzen.

Was Unternehmen jetzt konkret tun müssen

Der Countdown zum 1. Oktober 2026 läuft. Unternehmen, die noch keine NIS2-Vorbereitungen getroffen haben, müssen sofort handeln. Erfahrungsgemäß brauchen Organisationen ohne bestehende Sicherheitsstruktur sechs bis zwölf Monate für eine vollständige NIS2-Implementierung. Das bedeutet: Wer jetzt im Sommer 2026 beginnt, landet bei der Registrierungsfrist am 31. Dezember 2026 mit einem halbfertigen Programm.

Der erste Schritt ist die Selbstidentifikation: Fällt mein Unternehmen unter das NISG 2026? Die Kriterien sind Sektor, Unternehmensgröße (ab 50 Mitarbeiter oder 10 Mio. Euro Umsatz) und Systemkritikalität. Danach folgt die Gap-Analyse, die den Abstand zwischen aktuellem Sicherheitsniveau und NIS2-Anforderungen misst. Besonderes Augenmerk liegt auf Incident-Response-Fähigkeiten, Lieferantenbewertungsverfahren, MFA-Durchdringung und Dokumentationsreifegrad.

Parallel dazu sollten Organisationen die Management-Schulungen aufsetzen, denn NIS2 macht Führungskräfte explizit verantwortlich. Vorstände und Geschäftsführer, die nachweislich keine Kenntnis von grundlegenden Cybersicherheitspflichten haben, können persönlich haftbar gemacht werden. Schließlich ist die technische Umsetzung (MFA, SIEM, Backup-Strategie, Netzwerksegmentierung, Supply-Chain-Verträge) der ressourcenintensivste Teil des Projekts. Eine leistungsfähige Firewall-Infrastruktur ist dabei ein wichtiger Baustein, aber kein Ersatz für ein durchgängiges Sicherheitsmanagement.

Verwandte Berichterstattung

Externe Quellen

FAQ: NISG 2026 und NIS2 in Österreich

Ab wann gilt das NISG 2026 in Österreich?

Das NISG 2026 tritt materiell am 1. Oktober 2026 in Kraft. Formal wurde es am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht und ist seit 1. Januar 2026 als Rechtsakt existent, aber die konkreten Pflichten (Registrierung, Meldewesen, Risikomanagement) greifen erst ab dem Herbsttermin 2026.

Wie viele österreichische Unternehmen sind von NIS2 betroffen?

Schätzungen sprechen von rund 4.000 bis 5.000 direkt betroffenen Organisationen, die als wesentliche oder wichtige Einrichtungen eingestuft werden. Dazu kommen bis zu 50.000 Zulieferer, die indirekt über Vertragspflichten ihrer Auftraggeber in den Regulierungskreis gezogen werden.

Welche Strafen drohen bei NIS2-Verstößen in Österreich?

Wesentliche Einrichtungen riskieren Geldbußen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (der höhere Wert gilt). Wichtige Einrichtungen können mit bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes belegt werden. Bei schwerwiegenden Verstößen kommen organisationsrechtliche Maßnahmen wie der Entzug von Managementfunktionen hinzu.

Was unterscheidet das NISG 2026 vom NISG 2018?

Das NISG 2018 erfasste nur rund 1.000 bereits designierte Betreiber kritischer Infrastrukturen. Das NISG 2026 dehnt diesen Kreis auf geschätzte 5.000 Unternehmen aus 18 Sektoren aus, führt neue Pflichten (Lieferkettensicherheit, MFA, 24/72-Stunden-Meldung) ein und schafft mit dem Bundesamt für Cybersicherheit eine eigenständige Aufsichtsbehörde mit Sanktionsbefugnissen.

Was ist der Unterschied zwischen NIS2 in Österreich und Deutschland?

Deutschland hat sein NIS2-Gesetz (NIS2UmsuCG) bereits am 6. Dezember 2025 in Kraft gesetzt und die BSI-Registrierungsphase am 6. März 2026 abgeschlossen. Österreich startet den materiellen Anwendungsbeginn am 1. Oktober 2026. Deutschland behielt das KRITIS-Konzept bei und kategorisiert in drei Gruppen, Österreich folgt der EU-Standard-Zweitelung wesentlich/wichtig. Beide Länder haben identische Strafrahmen nach EU-Vorgabe.

Müssen auch kleine Unternehmen NIS2 einhalten?

Grundsätzlich nicht direkt: Das NISG 2026 gilt für Unternehmen mit mindestens 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in den 18 erfassten Sektoren. Kleinbetriebe können jedoch indirekt betroffen sein, wenn sie als Zulieferer für direkt regulierte Einrichtungen tätig sind. Deren Auftraggeber werden Cybersecurity-Nachweise einfordern.

Was ist das Bundesamt für Cybersicherheit?

Das Bundesamt für Cybersicherheit ist die durch das NISG 2026 geschaffene österreichische Aufsichtsbehörde für Netz- und Informationssicherheit. Dem Bundesministerium für Inneres unterstellt, übernimmt sie Registrierungen, überwacht Compliance, nimmt Vorfallmeldungen entgegen und verhängt bei Verstößen Verwaltungsstrafen. Ihr deutsches Pendant ist das BSI (Bundesamt für Sicherheit in der Informationstechnik).

Wie unterscheidet sich NIS2 von der DSGVO?

Die DSGVO schützt personenbezogene Daten und gilt für nahezu alle Unternehmen, die EU-Bürger-Daten verarbeiten. NIS2 hingegen zielt auf die Sicherheit von Netz- und Informationssystemen in kritischen Sektoren und gilt nur für Unternehmen ab einer bestimmten Größe in 18 definierten Branchen. Beide Regelwerke ergänzen sich, betreffen aber unterschiedliche Schutzgüter und haben unterschiedliche Aufsichtsbehörden. Ein DSGVO-konformes Unternehmen ist nicht automatisch NIS2-konform.