{"id":173,"date":"2026-06-21T20:19:24","date_gmt":"2026-06-21T20:19:24","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/21\/nisg-2026-nis2-oesterreich-pflichten-strafen\/"},"modified":"2026-06-24T23:46:03","modified_gmt":"2026-06-24T23:46:03","slug":"nisg-2026-nis2-oesterreich-pflichten-strafen","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/nisg-2026-nis2-oesterreich-pflichten-strafen\/","title":{"rendered":"NISG 2026: 5.000 Firmen, 10 Mio. \u20ac Strafe ab Oktober [2026]"},"content":{"rendered":"\n

\u00d6sterreich hat geliefert, wenn auch mit erheblicher Versp\u00e4tung. Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) wurde am 12. Dezember 2025 vom Nationalrat beschlossen, am 23. Dezember 2025 im Bundesgesetzblatt ver\u00f6ffentlicht und tritt am 1. Oktober 2026<\/strong> vollumf\u00e4nglich in Kraft. Damit endet ein jahrelanger legislativer Stillstand rund um die EU-NIS2-Richtlinie, der \u00f6sterreichische Unternehmen in einem rechtlichen Vakuum gelassen hatte. Rund 5.000 Organisationen und Unternehmen<\/strong> sowie gesch\u00e4tzte 50.000 Zulieferbetriebe<\/strong> m\u00fcssen nun handeln, bevor die Uhr abl\u00e4uft.<\/p>\n\n\n\n

Die Dringlichkeit ist real. \u00d6sterreichs Cybersicherheitsmarkt wurde 2025 auf 9,35 Milliarden US-Dollar<\/strong> gesch\u00e4tzt, und 14 Prozent der \u00f6sterreichischen Unternehmen<\/strong> verzeichneten 2024 t\u00e4glich Cyberangriffe. Deutschland war schneller: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat dort bereits am 6. Dezember 2025<\/strong> in Kraft und dehnte den Regulierungsrahmen von rund 4.500 auf etwa 29.500 Einrichtungen<\/strong> aus. Beide L\u00e4nder haben die urspr\u00fcngliche EU-Transpositionsfrist vom 17. Oktober 2024 gerissen. Die Konsequenzen dieser Verz\u00f6gerungen sind heute sp\u00fcrbar.<\/p>\n\n\n\n

Was ist das NISG 2026? \u00d6sterreichs Antwort auf NIS2<\/h2>\n\n\n\n

Das NISG 2026 ist die \u00f6sterreichische Umsetzung der EU-Richtlinie 2022\/2555 (NIS2-Richtlinie), die am 16. Januar 2023 auf EU-Ebene in Kraft trat. Es ersetzt das bisherige NISG 2018, das lediglich rund 1.000 bereits designierte Betreiber<\/strong> kritischer Infrastrukturen erfasste. Mit dem neuen Gesetz vervielfacht sich dieser Kreis auf gesch\u00e4tzte 5.000 direkt betroffene Organisationen, zu denen neben gro\u00dfen Konzernen auch mittelst\u00e4ndische Unternehmen aus 18 definierten Sektoren z\u00e4hlen.<\/p>\n\n\n\n

Das NISG 2026 schafft zudem eine neue Beh\u00f6rde: das Bundesamt f\u00fcr Cybersicherheit<\/strong>, das dem Bundesministerium f\u00fcr Inneres unterstellt ist und k\u00fcnftig als zentrale Aufsichtsinstanz fungiert. Betroffene Unternehmen m\u00fcssen sich dort registrieren, Risikomanagementma\u00dfnahmen dokumentieren und bei Sicherheitsvorf\u00e4llen fristgerecht melden. Die gesetzliche Architektur unterscheidet zwischen wesentlichen Einrichtungen<\/strong> (essential entities) und wichtigen Einrichtungen<\/strong> (important entities), wobei unterschiedliche Sanktionsobergrenzen gelten.<\/p>\n\n\n\n

Rechtlich war der Weg steinig. Ein erster Entwurf (NISG 2024) wurde am 3. Juli 2024 vom Nationalrat abgelehnt, womit \u00d6sterreich zu den wenigen EU-Mitgliedstaaten geh\u00f6rte, gegen die formell ein Vertragsverletzungsverfahren wegen nicht fristgerechter Umsetzung eingeleitet werden konnte. Der im November 2025 vorgelegte Neuentwurf passierte den Nationalrat schlie\u00dflich am 12. Dezember 2025. Das Bundesamt f\u00fcr Cybersicherheit \u00fcbernimmt dabei Aufgaben, die bisher beim Nationalen Cybersicherheitszentrum (NCSC) lagen, und erh\u00e4lt eigenst\u00e4ndige Aufsichts- und Sanktionsbefugnisse.<\/p>\n\n\n\n

Die wichtigsten Fristen und Meilensteine im \u00dcberblick<\/h2>\n\n\n\n

F\u00fcr Compliance-Verantwortliche in \u00f6sterreichischen Unternehmen z\u00e4hlt vor allem eines: das Einhalten der gestaffelten Fristen. Das NISG 2026 sieht keinen einheitlichen Stichtag vor, sondern eine mehrstufige Umsetzungskaskade. Wer den \u00dcberblick verliert, riskiert sowohl Bu\u00dfgelder als auch Reputationssch\u00e4den gegen\u00fcber Kunden und Partnerunternehmen.<\/p>\n\n\n\n

Datum<\/th>Meilenstein<\/th>Details<\/th><\/tr><\/thead>
23. Dez. 2025<\/td>Ver\u00f6ffentlichung im BGBl.<\/td>NISG 2026 im Bundesgesetzblatt I Nr. 94\/2025 erschienen<\/td><\/tr>
1. Jan. 2026<\/td>Gesetz formal in Kraft<\/td>Bisheriges NISG 2018 wird abgel\u00f6st; Pflichten noch nicht aktiv<\/td><\/tr>
1. Okt. 2026<\/td>Materieller Anwendungsbeginn<\/td>Alle Pflichten gelten, Registrierungsfenster \u00f6ffnet sich<\/td><\/tr>
31. Dez. 2026<\/td>Registrierungsfrist<\/td>Meldepflicht beim Bundesamt f\u00fcr Cybersicherheit endet<\/td><\/tr>
30. Sep. 2027<\/td>Selbstdeklarationsfrist<\/td>Beschreibung der Risikomanagementma\u00dfnahmen einreichen<\/td><\/tr>
Ab 2028<\/td>Pr\u00fcfberichte f\u00e4llig<\/td>Unterzeichnete Auditberichte \u00fcber wirksame Umsetzung<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Unternehmen haben ab dem 1. Oktober 2026 genau drei Monate Zeit, sich beim Bundesamt f\u00fcr Cybersicherheit zu registrieren, also bis sp\u00e4testens 31. Dezember 2026<\/strong>. Bis zum 30. September 2027<\/strong> m\u00fcssen sie dann eine Selbstdeklaration einreichen, in der die eingesetzten Risikomanagementma\u00dfnahmen inklusive Ergebnisse von Risikoanalysen beschrieben werden. In einer dritten Phase werden unterzeichnete Pr\u00fcfberichte zur Effektivit\u00e4t der umgesetzten Ma\u00dfnahmen f\u00e4llig. Wer diesen Zeitplan ignoriert, setzt sich erheblichen Sanktionen aus. Erfahrungen aus anderen EU-Staaten zeigen, dass Beh\u00f6rden kurz vor Ablauf der Registrierungsfristen regelm\u00e4\u00dfig mit einem Ansturm konfrontiert sind, der technische Probleme verursacht.<\/p>\n\n\n\n

Wer ist betroffen? Die 18 NIS2-Sektoren in \u00d6sterreich<\/h2>\n\n\n\n

NIS2 und damit das NISG 2026 erfassen wesentlich mehr Branchen als das Vorg\u00e4ngergesetz. Betroffen sind mittelgro\u00dfe und gro\u00dfe Unternehmen aus 18 definierten Sektoren<\/strong>. Als Mindestgr\u00f6\u00dfe gilt dabei: mindestens 50 Besch\u00e4ftigte oder ein Jahresumsatz von mehr als 10 Millionen Euro. Ausnahmen gelten f\u00fcr besonders systemkritische Einrichtungen unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe.<\/p>\n\n\n\n

Die erfassten Sektoren umfassen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstverwaltung, \u00f6ffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelproduktion, Fertigung (Fahrzeuge, Elektronik, Medizinprodukte), Forschungseinrichtungen sowie digitale Anbieter. Besonders auff\u00e4llig ist die erstmalige Einbeziehung von Telekommunikationsunternehmen, Finanzdienstleistern und Gl\u00fcckspielanbietern<\/strong> mit \u00f6sterreichischer Lizenz, die bislang nicht unter das alte NIS-Regime fielen.<\/p>\n\n\n\n

Die Kategorie der wesentlichen Einrichtungen<\/strong> umfasst gro\u00dfe Unternehmen aus den Annex-I-Sektoren wie Energie, Transport und Gesundheit. Wichtige Einrichtungen<\/strong> sind mittelgro\u00dfe Betriebe aus Annex-II-Sektoren wie Lebensmittelproduktion, Fertigung und Post. Diese Unterscheidung ist nicht nur begrifflich relevant, sondern bestimmt unmittelbar die H\u00f6he m\u00f6glicher Sanktionen und die Intensit\u00e4t der beh\u00f6rdlichen Aufsicht durch das Bundesamt f\u00fcr Cybersicherheit.<\/p>\n\n\n\n

Deutschland voraus: NIS2UmsuCG seit 6. Dezember 2025 in Kraft<\/h2>\n\n\n\n

W\u00e4hrend \u00d6sterreich noch auf den Oktober 2026 zusteuert, hat Deutschland bereits eine erste Implementierungsphase hinter sich. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG, offiziell: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundz\u00fcge des Informationssicherheitsmanagements in der Bundesverwaltung) trat am 6. Dezember 2025<\/strong> ohne \u00dcbergangsperiode in Kraft. Die Registrierungspflicht beim Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) endete am 6. M\u00e4rz 2026<\/strong>. Damit sind in Deutschland bereits Fakten geschaffen, w\u00e4hrend \u00d6sterreich noch drei Monate bis zum materiellen Anwendungsbeginn hat.<\/p>\n\n\n\n

Die Dimension des deutschen Umsetzungsgesetzes ist beachtlich. Der Regulierungskreis w\u00e4chst von rund 4.500 Einrichtungen<\/strong> unter dem bisherigen IT-Sicherheitsgesetz 2.0 auf gesch\u00e4tzte 29.500 Einrichtungen<\/strong>. Besonders betroffen sind mittelst\u00e4ndische Produzenten aus der Fertigungsindustrie, die erstmals in den Geltungsbereich fallen. Das Gesetz strukturiert die Verpflichteten in drei Kategorien: besonders wichtige Einrichtungen<\/strong>, wichtige Einrichtungen<\/strong> und Betreiber kritischer Anlagen (KRITIS)<\/strong>, f\u00fcr die die bestehende KRITIS-Methodik nach \u00a728 Absatz 6 beibehalten wird. Operators of critical facilities m\u00fcssen erstmals ab 2027 formelle Nachweise ihrer Umsetzungsma\u00dfnahmen erbringen.<\/p>\n\n\n\n

BSI-Pr\u00e4sidentin Claudia Plattner betonte anl\u00e4sslich des Inkrafttretens: “Cybersicherheit ist keine Option mehr, sondern rechtliche Pflicht. Mit dem NIS2-Gesetz haben wir ein Fundament gelegt, das Deutschland widerstandsf\u00e4higer macht, aber die Umsetzungsarbeit in den Unternehmen ist jetzt entscheidend.” Diese Einsch\u00e4tzung gilt f\u00fcr \u00d6sterreich in identischer Weise, wobei der Startschuss erst im Herbst 2026 f\u00e4llt.<\/p>\n\n\n\n

NIS2 \u00d6sterreich vs. Deutschland: Direkter Regulierungsvergleich<\/h2>\n\n\n\n
Kriterium<\/th>\u00d6sterreich (NISG 2026)<\/th>Deutschland (NIS2UmsuCG)<\/th><\/tr><\/thead>
Materieller Anwendungsbeginn<\/td>1. Oktober 2026<\/td>6. Dezember 2025<\/td><\/tr>
Direkt betroffene Einrichtungen<\/td>~5.000 + ~50.000 Zulieferer<\/td>~29.500<\/td><\/tr>
Alte Regulierungsreichweite<\/td>~1.000 Betreiber (NISG 2018)<\/td>~4.500 Einrichtungen (IT-SiG 2.0)<\/td><\/tr>
Registrierungsfrist<\/td>Bis 31. Dez. 2026<\/td>Bis 6. M\u00e4rz 2026 (abgelaufen)<\/td><\/tr>
Selbstdeklaration \/ Nachweis<\/td>Bis 30. Sep. 2027<\/td>Erstnachweis ab 2027 (KRITIS)<\/td><\/tr>
Aufsichtsbeh\u00f6rde<\/td>Bundesamt f\u00fcr Cybersicherheit<\/td>BSI (Bundesamt f. Sicherheit in der IT)<\/td><\/tr>
Kategorienmodell<\/td>Wesentlich \/ Wichtig (EU-Standard)<\/td>Besonders wichtig \/ Wichtig \/ KRITIS<\/td><\/tr>
Strafe wesentl. \/ bes. wichtige Einr.<\/td>Bis \u20ac10 Mio. oder 2% Umsatz<\/td>Bis \u20ac10 Mio. oder 2% Umsatz<\/td><\/tr>
Strafe wichtige Einrichtungen<\/td>Bis \u20ac7 Mio. oder 1,4% Umsatz<\/td>Bis \u20ac7 Mio. oder 1,4% Umsatz<\/td><\/tr>
Versp\u00e4tung gegen\u00fcber EU-Frist (Okt. 2024)<\/td>~12 Monate<\/td>~14 Monate<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die wesentlichen Unterschiede liegen nicht in den Strafrahmen, die beide EU-Vorgaben spiegeln, sondern in der beh\u00f6rdlichen Architektur und der Kategoriensystematik. Deutschland behielt das bew\u00e4hrte KRITIS-Konzept bei und schuf eine zus\u00e4tzliche Gruppe besonders wichtiger Einrichtungen. \u00d6sterreich folgt der EU-Standard-Zweitelung wesentlich\/wichtig und konzentriert die Aufsicht im neu gegr\u00fcndeten Bundesamt f\u00fcr Cybersicherheit. Anw\u00e4lte von Reed Smith haben nach dem Inkrafttreten des NIS2UmsuCG festgestellt, dass “die wirkungsreichste Klausel des Gesetzes die ist, die in-scope-Einrichtungen verpflichtet, die Cybersecurity ihrer direkten Zulieferer und Dienstleister zu managen”, eine Anforderung, die in identischer Form auch das NISG 2026 enth\u00e4lt.<\/p>\n\n\n\n

Strafen und Durchsetzung: Was bei NIS2-Verst\u00f6\u00dfen droht<\/h2>\n\n\n\n

Die Sanktionsarchitektur des NISG 2026 orientiert sich eng an den Vorgaben der NIS2-Richtlinie und soll nach dem EU-Willen “wirksam, verh\u00e4ltnism\u00e4\u00dfig und abschreckend” sein. F\u00fcr wesentliche Einrichtungen<\/strong> drohen Geldbu\u00dfen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes<\/strong>, je nachdem welcher Betrag h\u00f6her ist. Wichtige Einrichtungen<\/strong> k\u00f6nnen mit bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes<\/strong> sanktioniert werden.<\/p>\n\n\n\n

Besonders heikel: Das NISG 2026 sieht bei besonders schwerwiegenden oder wiederholten Verst\u00f6\u00dfen auch organisationsrechtliche Ma\u00dfnahmen<\/strong> vor. Das kann den Entzug von Managementfunktionen oder die beh\u00f6rdliche Anordnung konkreter Sicherheitsma\u00dfnahmen umfassen. Pers\u00f6nliche Haftungsrisiken f\u00fcr Gesch\u00e4ftsf\u00fchrer und Vorst\u00e4nde sind damit keine theoretische Gr\u00f6\u00dfe mehr. Das Bundesamt f\u00fcr Cybersicherheit erh\u00e4lt umfangreiche Befugnisse zur Inspektion, zur Erteilung verbindlicher Anweisungen und zur Verh\u00e4ngung von Verwaltungsstrafen.<\/p>\n\n\n\n

F\u00fcr multinationale Konzerne mit \u00f6sterreichischer Niederlassung ist der weltweite Umsatz als Bemessungsgrundlage der entscheidende Faktor. Ein europ\u00e4isches Unternehmen mit 500 Millionen Euro Umsatz k\u00f6nnte bei gravierenden Verst\u00f6\u00dfen mit bis zu 10 Millionen Euro zur Kasse gebeten werden. Diese Gr\u00f6\u00dfenordnung liegt deutlich \u00fcber den bisherigen Strafrahmen des NISG 2018 und signalisiert, dass NIS2 kein Papiertigerprojekt ist. Noch wurden in \u00d6sterreich keine NIS2-Bu\u00dfgelder verh\u00e4ngt, doch Branchenbeobachter erwarten die ersten Sanktionsverfahren nach der Registrierungsfrist Ende 2026.<\/p>\n\n\n\n

Technische Pflichten: Was Artikel 21 NIS2 konkret verlangt<\/h2>\n\n\n\n

Das Herzst\u00fcck der NIS2-Konformit\u00e4t ist Artikel 21 der Richtlinie, der “angemessene und verh\u00e4ltnism\u00e4\u00dfige technische, operative und organisatorische Ma\u00dfnahmen” vorschreibt. Das deutsche NIS2UmsuCG kodifiziert diese in \u00a7\u00a730-32 als 14 Kontrollbereiche<\/strong>. \u00d6sterreichs NISG 2026 \u00fcbernimmt denselben EU-Standard. Zu den Kernpflichten geh\u00f6ren:<\/p>\n\n\n\n