top of page
Suche

NISG 2026: Neue Cybersicherheits-Pflichten für Unternehmen in Österreich

Aktualisiert: vor 6 Tagen

Mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) werden die Vorgaben der EU-Richtlinie NIS-2 in Österreich umgesetzt. Ab 1. Oktober 2026 gelten dadurch für betroffene Unternehmen neue technische und organisatorische Anforderungen sowie erweiterte Meldepflichten bei IT-Sicherheitsvorfällen.

Inhalt:


Derzeit gilt das bestehende NISG 2018 samt den dazugehörigen Verordnungen.

Mit dem Inkrafttreten des NISG 2026 am 01.10.2026 wird der Anwendungsbereich deutlich ausgeweitet und umfasst künftig mehrere tausend Unternehmen.


Welche Unternehmen fallen unter das NISG 2026?

Das Gesetz betrifft grundsätzlich Unternehmen, die zwei Voraussetzungen erfüllen:


1. Tätigkeit in einem relevanten Sektor

Dazu zählen unter anderem:

  • Energie

  • Gesundheit

  • Bankwesen

  • öffentliche Verwaltung

  • Abfallwirtschaft

  • digitale Dienste

  • Produktion


2. Größenkriterien

Betroffen sind insbesondere:

  • mittlere und große Unternehmen mit mindestens 50 Beschäftigten oder

  • Unternehmen mit einem Jahresumsatz von über 10 Millionen Euro sowie einer Jahresbilanzsumme von über 10 Millionen Euro.


Unter welchen Voraussetzungen gilt das NISG 2026 auch für kleine Unternehmen?

Kleine Unternehmen fallen unter das Gesetz, wenn sie

  • als Dienstleister oder Lieferanten Teil einer relevanten Lieferkette sind oder

  • in einen besonderen gesetzlichen Anwendungsbereich fallen.


Welche Pflichten bestehen für betroffene Unternehmen?

Ab 1. Oktober 2026 müssen verpflichtende technische, organisatorische und operative Maßnahmen zur Cybersicherheit umgesetzt werden. Dazu gehören unter anderem:


  • Registrierungspflicht

Betroffene Unternehmen müssen sich bis spätestens 31. Dezember 2026 registrieren.

Die genauen Vorgaben sowie der Ablauf der Registrierung werden durch eine gesonderte Verordnung festgelegt.


  • Risikomanagement

Risikomanagementmaßnahmen sind einzuhalten und Berichtspflichten zu beachten. Da derzeit noch keine nationale Verordnung zu den konkreten Risikomanagementmaßnahmen vorliegt, können Unternehmen sich vorläufig an den Vorgaben der EU-Durchführungsverordnung sowie den dazugehörigen Leitlinien orientieren.


  • Verantwortung der Unternehmensleitung

Die Verantwortung für die Umsetzung und laufende Überwachung der Cybersicherheitsmaßnahmen liegt bei der Unternehmensleitung.

Mitglieder der Unternehmensleitung müssen bis spätestens 1. Oktober 2026 verpflichtende Schulungen im Bereich Cybersicherheit absolvieren.


  • Selbstdeklaration

Bis zum 30. September 2027 müssen betroffene Unternehmen der zuständigen Cybersicherheitsbehörde Informationen zu den umgesetzten Risikomanagementmaßnahmen übermitteln.


  • Meldepflicht bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle sind innerhalb vorgegebener Fristen an die nationale Cybersicherheitsbehörde bzw. das zuständige CSIRT (Cybersecurity Incident Response Team) zu melden.


Weitere Informationen finden Sie hier:




Bei Fragen stehen Ihnen unsere Expert:innen Irene Grass und Martin Schmidt gerne zur Verfügung.


Foto: Unsplash | FlyD


Kommentare

bottom of page