NIS2 in Österreich: Was das NISG 2026 für Firmen wirklich bedeutet

21. Januar 2026

Stell dir vor, dein Unternehmen ist wie ein Gasthaus: Früher hat’s gereicht, wenn die Eingangstür sperrt. Heute erwarten Gäste (und Behörden), dass auch Küche, Lager, Lieferanten, Schließsysteme, Alarmanlage und Notfallplan zusammenpassen. Genau dieses „Ganzes-System-denken“ ist die Idee hinter der NIS2-Richtlinie – und in Österreich wird das über das NIS-Gesetz 2026 (NISG) verbindlich.

NIS2 vs. NISG 2026: Worum geht's?

NIS2 ist eine EU-Richtlinie: Sie sagt, was erreicht werden soll (mehr Cybersicherheit, bessere Reaktion auf Vorfälle, breiterer Anwendungsbereich).
NISG 2026 ist das österreichische Umsetzungsgesetz: Es regelt, wie das in Österreich gilt – inklusive Behördenstruktur, Pflichten, Aufsicht und Durchsetzung.

Wichtig für die Einordnung: In Österreich war bisher das NISG 2018 relevant - für relativ wenige Unternehmen. Mit NIS2/NISG 2026 wird der Kreis deutlich größer – es wird von rund 4.000 betroffenen Unternehmen/Einrichtungen in Österreich gesprochen.

NISG 2026: Der Fahrplan

23.12.2025: NISG 2026 wurde im Bundesgesetzblatt kundgemacht (BGBl. I Nr. 94/2025).
01.10.2026: Die „großen“ Pflichten treten in Kraft (neun Monate nach Kundmachung, mit folgendem Monatsersten).
Bis 31.12.2026: Registrierungspflicht (innerhalb von 3 Monaten ab Inkrafttreten).

Ist mein Unternehmen betroffen?

Dein Unternehmen ist potentiell betroffen, wenn Sektor + Größe passen – denn NIS2/NISG 2026 arbeitet mit einer Einstufung in:

wesentliche Einrichtungen (essential entities)
wichtige Einrichtungen (important entities)

Das Ganze ist bewusst breiter als früher: Es geht um Sektoren, die gesellschaftlich/wirtschaftlich relevant sind (z.B. Energie, Verkehr, Gesundheit, digitale Infrastruktur, teils auch verarbeitendes Gewerbe u.a.).

Und selbst wenn du nicht direkt drunterfällst: NIS2 wirkt über Lieferkette/Dienstleister. Praktisch heißt das: Große Kunden werden von ihren IT- und sonstigen Dienstleistern Nachweise verlangen („Welche Sicherheitsmaßnahmen habt ihr? Wie meldet ihr Vorfälle? Habt ihr MFA? Backups? Notfallplan?“).

Mehr dazu im Online-Ratgeber auf WKO.at

NISG: Kompaktes eLearning

Alle Infos

Was verlangt das NISG 2026 konkret?

Maßnahmen im Risikomanagement

NISG 2026 verlangt geeignete und verhältnismäßige Maßnahmen, um Risiken für Netz- und Informationssysteme zu beherrschen. Das ist die große Klammer. In der NIS2 ist das z.B. in Artikel 21 verankert.

Im österreichischen NISG 2026 ist das als eigener Block geregelt („Risikomanagementmaßnahmen im Bereich der Cybersicherheit“).

Was heißt das „normal“ übersetzt?

Du brauchst eine saubere Basis (Inventar, Verantwortlichkeiten, Patch-/Update-Logik, Zugriffskonzepte, Backups, Awareness).
Du brauchst Vorsorge (Notfallpläne/Incident Response, Wiederanlauf, Lieferkettensicht).
Du musst das Ganze regelmäßig leben (nicht einmal im Jahr ein PDF schreiben und hoffen, dass es passt).

Meldepflichten bei erheblichen Vorfällen

Wenn es „krachen“ sollte, gibt es Meldepflichten (in der NIS2 zentral in Artikel 23).
Das ist wichtig: Der Fokus liegt nicht auf „peinlich, lieber still“, sondern auf früh melden, koordinieren, Schaden begrenzen.

Registrierung und Selbstdeklaration

Es gibt ein Register der wesentlichen und wichtigen Einrichtungen und eine Registrierungspflicht innerhalb von 3 Monaten ab Inkrafttreten.
Danach kommt eine Selbstdeklaration: Innerhalb von 12 Monaten nach Eintritt der Registrierungspflicht müssen Informationen zu umgesetzten Maßnahmen (inkl. Lieferkette & Risikoanalyse) strukturiert übermittelt werden.

Neue Struktur: Bundesamt für Cybersicherheit & zentrale Anlaufstelle

Das NISG 2026 sieht ein Bundesamt für Cybersicherheit als zuständige Behörde vor.
Außerdem gibt es eine zentrale Anlaufstelle (operativer „Single Point of Contact“) für die Zusammenarbeit/Kommunikation.

NISG 2026 im Vergleich

DSGVO fragt: „Sind personenbezogene Daten rechtmäßig geschützt und verarbeitet?“
NISG 2026 fragt: „Sind deine digitalen Systeme so abgesichert, dass du als Organisation stabil bleibst – und Vorfälle professionell managst?“

Du kannst dir NISG 2026 als „Cyber-Resilienz-Pflicht für bestimmte Unternehmen“ vorstellen – und als „Lieferketten-Filter“ für viele andere, weil große Player ihre Dienstleister mitziehen (müssen).

Und ja: Es ist Management-Thema, nicht nur IT. Denn am Ende geht’s um Organisation, Risiko, Business Continuity, Verantwortlichkeiten und Nachweisfähigkeit.

Was du als Geschäftsführer heute schon sinnvoll tun kannst

Der pragmatische 5-Schritte-Start:

Betroffenheit grob prüfen: Sektor + Größe + kritische Rolle in Lieferketten (Kundenanforderungen).
Minimal-Inventar bauen: „Welche Systeme haben wir, wer administriert was, wo sind unsere Kronjuwelen (ERP, M365, Backups, Shop, Kundendaten)?“
Top-10 Basismaßnahmen abhaken: MFA, Backup-Strategie (Restore getestet!), Patch-Prozess, Admin-Rechte, Logging, Awareness.
Incident-Plan auf 2 Seiten: Wer entscheidet? Wer meldet? Wer kommuniziert intern/extern? (Im Ernstfall ist Zeit alles.)
Lieferkette ernst nehmen: Welche Dienstleister könnten euch „reinreiten“ (IT-Betreuer, Cloud, Softwareanbieter)? Welche Nachweise könnt ihr selbst liefern?

Fazit

NISG 2026 macht Cybersicherheit in Österreich für viele Organisationen zur verbindlichen Managementaufgabe – mit Registrierung, Meldepflichten und nachweisbaren Risikomanagementmaßnahmen ab 1. Oktober 2026.

Aktuelle Infos auf WKO.at

21. Januar 2026

NEU IM KURSPROGRAMM

Ausbildung zum/zur Außen- und Binnenhandelsmanager:in
Microsoft Kurs eLearning / english

Starttermin frei wählbar
'A wilde G'schicht - moderne & innovative Wildgerichte

Beginnt am 26.05.2026
*Typ*-isch erfolgreich! Menschen verstehen, Kommunikation gezielt steuern mit dem Structogram®

Beginnt am 05.05.2026
3D Laserscan im CAD Workflow

Beginnt am 23.04.2026
3D-Drucken Basics

Beginnt am 26.01.2026
ALLE NEUEN KURSE anzeigen

SCHLAGWÖRTER #Neue Arbeit

Sie haben Fragen?

WIFI-Kundenservice E-Mail senden an WIFI-Kundenservice: mailto:wifi.facebook@wko.at