NISG 2026 kommt:
Was Unternehmen jetzt über NIS2 in Österreich wissen und vorbereiten müssen
Mit der Entscheidung des österreichischen Nationalrats vom 12. Dezember 2025 ist es offiziell: Das Netz- und Informationssystemsicherheitsgesetz 2026 – kurz NISG 2026 – kommt. Damit befindet sich die nationale Umsetzung der europäischen NIS-2-Richtlinie auf der Zielgeraden und rückt für viele österreichische Unternehmen in greifbare Nähe.
Sobald das Gesetz im Bundesgesetzblatt kundgemacht wird – voraussichtlich noch vor Jahreswechsel – tritt es mit 1. Oktober 2026 in Kraft. Ab diesem Zeitpunkt gelten bereits zentrale Pflichten wie die Meldepflicht für erhebliche Cybersicherheitsvorfälle sowie die Umsetzung klar definierter Risikomanagementmaßnahmen.
Unternehmen haben dann nur wenig Zeit: Innerhalb von drei Monaten nach Inkrafttreten müssen sich alle betroffenen Organisationen bei der zuständigen Cybersicherheitsbehörde registrieren. Bei einem Start am 1. Oktober 2026 endet diese Frist also am 31. Dezember 2026. Die Registrierung soll über ein eigenes Online-Verfahren erfolgen. Ziel ist, der Behörde rasch einen Überblick über alle unter das Gesetz fallenden Einrichtungen zu verschaffen.
Nach der Registrierung folgt die nächste Frist: Innerhalb von zwölf Monaten müssen Unternehmen nachweisen, welche Risikomanagementmaßnahmen sie umgesetzt haben. In der Praxis bedeutet das: Spätestens bis 30. September 2027 müssen die entsprechenden Informationen übermittelt werden.
Doch bevor es soweit ist, stehen zwei grundlegende Schritte an:
Zunächst muss jedes Unternehmen für sich klären, ob es überhaupt unter das NISG 2026 fällt – als „wesentliche“ oder „wichtige“ Einrichtung. Die Zuordnung hängt primär von Branche und Unternehmensgröße ab. Meist greift das Gesetz ab 50 Mitarbeiter:innen oder einem Jahresumsatz über 10 Millionen Euro, in manchen Fällen aber auch früher. Diese Einstufung beeinflusst, wie streng die Aufsicht ausfällt, welche Sanktionen möglich sind und welche Governance-Pflichten erfüllt werden müssen.
- Zunächst muss jedes Unternehmen für sich klären, ob es überhaupt unter das NISG 2026 fällt – als „wesentliche“ oder „wichtige“ Einrichtung. Die Zuordnung hängt primär von Branche und Unternehmensgröße ab. Meist greift das Gesetz ab 50 Mitarbeiter:innen oder einem Jahresumsatz über 10 Millionen Euro, in manchen Fällen aber auch früher. Diese Einstufung beeinflusst, wie streng die Aufsicht ausfällt, welche Sanktionen möglich sind und welche Governance-Pflichten erfüllt werden müssen.
- Der zweite zentrale Schritt betrifft die Rolle der Geschäftsführung. Das NISG 2026 verlangt ausdrücklich eine aktive Management-Verantwortung. Es reicht nicht, die Aufgabe an die IT-Abteilung weiterzureichen. Ein klares Leitungsorgan muss benannt werden, und darunter sollten Rollen geschaffen werden, die die operative Umsetzung sicherstellen. Delegation ist dabei möglich – aber die Verantwortung bleibt bei der Geschäftsführung.
Fazit:
Für Unternehmen bedeutet das: Jetzt starten, nicht warten.
Das NISG 2026 ist kein Zukunftsthema mehr, sondern Realität. Unternehmen, die unter die neue Gesetzgebung fallen, müssen rasch Klarheit über ihre Einstufung, ihre Verantwortlichkeiten und ihre nächsten Schritte gewinnen. Wer jetzt handelt, verschafft sich nicht nur Rechtssicherheit, sondern legt auch die Basis für eine robuste und zukunftsfähige Cybersicherheitsstrategie. NIS2 ist damit weniger bürokratische Pflicht – und mehr eine Chance, die eigene Resilienz nachhaltig zu stärken.
„Delegieren kann man vieles. Verantwortung nicht. Beim NISG 2026 liegt sie klar bei der Unternehmensführung.“
- Bernd Koberwein, Geschäftsführer bei BrightFlare
