Am 12. Dezember 2025 hat der Nationalrat das NISG 2026 beschlossen, am 23. Dezember 2025 wurde es kundgemacht. Damit ist klar: Ab 1. Oktober 2026 gelten in Österreich neue, verpflichtende Cybersecurity-Maßnahmen. Rund 4.000 Unternehmen aus 18 Sektoren sind betroffen – und in vielen Geschäftsführungen ist das Thema noch nicht angekommen. Wir geben dir den Überblick und sagen dir, was du jetzt tun musst.
Wer ist vom NISG 2026 betroffen?
Erfasst sind Einrichtungen ab mittlerer Größe – also mehr als 50 Mitarbeitende und mehr als 10 Mio. Euro Jahresumsatz oder Jahresbilanz – aus einem der 18 festgelegten Sektoren. Das Gesetz unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Zu den Sektoren zählen unter anderem:
- Energie, Verkehr, Banken und Finanzmarktinfrastrukturen
- Gesundheitswesen, Trinkwasser und Abwasser
- Digitale Infrastruktur, IKT-Dienstverwaltung im B2B-Bereich
- Öffentliche Verwaltung, Post- und Kurierdienste
- Verarbeitendes Gewerbe, Lebensmittel, Chemikalien, Abfallbewirtschaftung
- Anbieter digitaler Dienste, Forschung
Wichtig: Auch wer nicht als wesentliche Einrichtung gilt, kann als wichtige Einrichtung eingestuft sein – mit nahezu identischen Pflichten.
Welche Stichtage musst du dir notieren?
- 1. Oktober 2026: NISG 2026 tritt in Kraft.
- 31. Dezember 2026: Wesentliche und wichtige Einrichtungen müssen registriert sein.
- Innerhalb von 12 Monaten ab Registrierung: strukturierte Selbstdeklaration zum Stand der Risikomanagementmaßnahmen.
Meldepflichten bei Sicherheitsvorfällen greifen mit Inkrafttreten – inklusive Frühwarnungen innerhalb von 24 Stunden.
Was droht bei Verstößen?
Die Sanktionen sind heftig:
- Organisatorische Verstöße (z. B. fehlende Registrierung): bis zu 50.000 Euro, im Wiederholungsfall bis 100.000 Euro.
- Wesentliche Einrichtungen (schwerwiegende Verstöße): bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes – der höhere Wert zählt.
- Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.
Geschäftsleitungen können persönlich in die Pflicht genommen werden, wenn ihnen grobe Versäumnisse vorgeworfen werden.
Was solltest du jetzt tun?
- Betroffenheit klären – Sektor und Größe nüchtern abgleichen.
- Verantwortlichkeiten im Unternehmen festlegen, inklusive Berichtspflicht an die Geschäftsführung.
- IT-Risikomanagement, Asset-Inventar und klare Vorfall-Meldewege aufsetzen.
- Schutzmaßnahmen technisch absichern: Patching, Backup, Logging, Zugriffskontrolle, gehärtete Hosting-Umgebung.
- Schulungen für Geschäftsführung und Schlüsselpersonen einplanen.
Wir unterstützen dich auf dem Weg zur Compliance
Vom sicheren Hosting-Setup über Monitoring mit Wazuh, Graylog und Icinga bis zur Härtung deiner Web-Applikationen – wir bringen dich NIS-2-fit, egal ob in TYPO3, WordPress, Magento, einer individuellen Laravel-Applikation oder einem Headless-Setup mit Payload oder Directus. Nimm jetzt Kontakt auf!
Quellen
WKO – NIS2-Übersicht: wko.at/it-sicherheit/nis2-uebersicht
Parlament Österreich – NISG 2026 (308 d.B.): parlament.gv.at
Schoenherr – NISG 2026 im Detail: schoenherr.eu
