Am 12. Dezember 2025 wurde das NISG 2026 vom österreichischen Nationalrat beschlossen und am 23. Dezember wurde das NISG 2026 veröffentlicht. Im folgenden Artikel wollen wir die wesentlichen Merkmale zusammenfassen und Empfehlungen für die Umsetzung geben.
Geschaffen wird eine neue Behörde das Bundesamt für Cybersicherheit (Cybersicherheitsbehörde) die dem Bundesminister für Inneres unterstellt ist. Die Behörde hat eine Vielzahl an neuen Aufgaben, darunter den Betrieb der zentralen Anlaufstelle, den Betrieb des GovCerts und die Ermächtigung der CSIRTs.
Die CSIRTs sind unter anderem für die Überwachung der nationalen Cyberbedrohungen und auch für die Reaktion auf Cybersicherheitsvorfälle und ggfls. Unterstützung betroffener wesentlicher und wichtiger Einrichtungen bei der Bewältigung zuständig.
Entfallen zum letzten Entwurf aus 2024 ist der Anhang 3 mit konkreten Risikomanagementmaßnahmen, stattdessen finden sich in § 33 (4) eine Liste von Maßnahmen die nahezu deckungsgleich mit der EU NIS2 Richtlinie 2022/2555 Artikel 21 (2) ist.
Unterscheidung von wesentlichen und wichtigen Einrichtungen
Bis auf spezifische Ausnahmen für qualifizierte Vertrauensdiensteanbieter, Domain-Registrare, DNS-Diensteanbieter und spezielle Einrichtungen, Anbieter von Kommunikationsnetzen/-diensten gelten große Unternehmen, die der Anlage 1 entsprechen als wesentliche Einrichtungen.
In der Anlage 1 sind gewisse Teilsektoren/Branchen aus Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastrukturen, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum genannt.
Große und mittlere Unternehmen, die den Anlagen 1 und 2 entsprechen und ein und nicht bereits eine wesentliche Einrichtung sind, gelten als wichtige Einrichtung. Auch hier gibt es Sonderregelungen für Kommunikationsnetzen/-diensten, Vertrauensdiensteanbieter und behördlich eingestufte Einrichtungen.
Mittlere und große Unternehmen
Für die Entscheidung ob ein Unternehmen, das der Anlage 1 entspricht als wesentliche oder wichtige Einrichtung gewertet wird, gibt es im NISG 2026 die folgende Unterscheidung:
| Unternehmensgröße | Eigenschaften |
|---|---|
| Größe Unternehmen |
|
| Mittlere Unternehmen |
|
| Kleine Unternehmen |
|
Die Fristen
Das NISG 2026 wurde am 12. Dezember 2025 vom Nationalrat beschlossen und am 23. Dezember 2025 veröffentlicht. Daraus ergeben sich konkrete Fristen:
| Frist bzw. Zeitraum | Inhalt |
|---|---|
| 1.1.2026 | Kundmachung des NISG 2026 Gesetzes |
| 1.10.2026 | Inkrafttreten der wesentlichen Abschnitte des NISG 2026 |
| 1.10.2026 | Ab dem Zeitpunkt müssen Unternehmen die Anforderungen des NISG 2026 erfüllen, wie spezifische Cybersicherheitsschulungen für die Leitungsorgane, die Einhaltung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit gemäß NISG § 32, unverzügliche Meldung von erheblichen Cybersicherheitsvorfällen an die sektorspezifischen Meldestellen (CSIRTs). |
| 1.10.2026 bis 31.12.2026 | Selbstregistrierung der betroffenen Einrichtungen bei der Cybersicherheitsbehörde |
| 1.10.2026 bis 30.9.2027 | Dokumentation des Nachweises der Wirksamkeit von Risikomanagementmaßnahmen an die Cybersicherheitsbehörde |
| 1.10.2028 | Der früheste Zeitpunkt zu dem die Cybersicherheitsbehörde Nachweise der technischen, operativen und organisatorischen Umsetzung der Risikomanagementmaßnahmen durch eine unabhängige Stelle fordern kann. Ab der Aufforderung gelten Lieferfristen für die Nachweise. |
NEU: Überprüfung durch eine unabhängige Stelle oder Nachweis eines gültigen ISO 27001 Zertifikats
Im NISG § 33 (2) findet sich für betroffene Unternehmen eine Verpflichtung zur externen Überprüfung:
Wesentliche und wichtige Einrichtungen haben innerhalb von zwei Jahren nach Aufforderung durch die Cybersicherheitsbehörde die technische, operative und organisatorische Umsetzung der Risikomanagementmaßnamen gemäß § 32 durch eine von einer unabhängigen Stelle nach den Vorgaben der Cybersicherheitsbehörde sowie auf Basis der von der jeweiligen Einrichtung durchgeführten Risikoanalyse oder einer aufgrund sonstiger Risikoabwägungen durchgeführten Prüfung, die nicht länger als zwei Jahre zurückliegt, nachzuweisen, wobei der Nachweis der operativen sowie organisatorischen Umsetzung auch durch einschlägige gültige Zertifikate möglich ist. Davon abweichend haben wesentliche Einrichtungen die operative sowie organisatorische Umsetzung der Risikomanagementmaßnahmen innerhalb von zwei Monaten nach Aufforderung durch die Cybersicherheitsbehörde nachzuweisen.
Unternehmen müssen (nach Aufforderung) die technische, operative und organisatorische Umsetzung nachweisen können. Hierbei können NIS2 Einrichtungen den Auditaufwand reduzieren, indem von den drei Aspekten (technische, operative und organisatorische) die operativen und organisatorischen Aspekte der Risikomanagementmaßnamen durch ein „einschlägige gültige Zertifikate“ nachweisen. Damit ist eine ISO 27001 oder eine TISAX® Zertifizierung gemeint. Weiterhin durch eine „unabhängigen Stelle“ überprüft werden, müssen die technischen Aspekte der Risikomanagementmaßnamen.
Der 12 Punkteplan für die Umsetzung
Wir empfehlen möglichst rasch mit der NIS2 Umsetzung zu beginnen, hier unser empfohlener Umsetzungsplan:
- 1
Klären Sie, ob Sie von NIS2 betroffen sind. Für die initiale NIS2 Umsetzung ist es wenig relevant, ob Sie eine wesentliche oder wichtige Einrichtung darstellen, da die Anforderungen nahezu deckungsgleich sind.
- 2
Definieren Sie frühzeitig eine/n Verantwortlichen für die Informationssicherheit (Rolle: CISO oder ISB) im Unternehmen und verpflichten Sie diese Person für die Umsetzung der NIS2 Anforderungen. Sollten es keine passende Person geben, überlegen Sie den CISO extern über ein CISO-as-Service Angebot zu besetzen.
- 3
Führen Sie eine NIS2 GAP Analyse durch und fokussieren Sie dabei auf die Risikomanagementmaßnahmen, in Österreich bspw. § 32 (4).
- 4
Erstellen Sie eine Business-Impact-Analyse (BIA), um den NIS2 Scope bestmöglich festzulegen und eine belastbare Definition eines erheblichen Cybersicherheitsvorfalls gemäß NISG § 35 zu erstellen.
- 5
Definieren Sie die Informationssicherheits-Ziele und die KPIs für die Messung der Erreichung.
- 6
Führen Sie eine Risikoanalyse durch und definieren Sie die erforderlichen technischen und organisatorischen Maßnahmen zur Behandlung erkannter Risiken und setzen diese um.e KPIs für die Messung der Erreichung.
- 7
Feststellungen aus der NIS2 GAP Analyse müssen im Unternehmen verbessert werden, hierzu ist es wichtig, dass die Aufgaben nicht alle beim CISO/ISB liegen, sondern an die Fachbereiche übertragen werden.
- 8
Führen Sie vor dem 1.10.2026 eine spezifische Cybersicherheitsschulungen für die Leitungsorgane durch.
- 9
Definieren Sie vor dem 1.10.2026 einen Prozess für die Meldung erheblicher Cybersicherheitsvorfälle gemäß NISG § 35.
- 10
Registrieren Sie ihr Unternehmen gemäß NISG § 29 (2)
- 11
Führen Sie regelmäßig interne Audits durch, am besten jedoch durch erfahrene externe Auditoren, um die Wirksamkeit der Risikomanagementmaßnahmen zu prüfen.
- 12
Etablieren Sie eine Berichterstattung und eine Bewertung der Wirksamkeit der getroffenen Maßnahmen durch das Leitungsorgan. Legen Sie gemeinsam die Maßnahmen zur fortlaufenden Verbesserung fest.
Unterstützung durch SEC4YOU
Gerne unterstützen wir wichtige und wesentliche Einrichtung praxisorientiert und methodisch bei der Umsetzung der NIS2 Anforderungen. Hierzu bietet SEC4YOU umfangreiche Leistungen an. Details finden Sie in unsere Online Shop.
