Zurück
Zurück zur
Blog-Übersicht
February 23, 2026

Die Fristen nach dem österreichischen NISG 2026 – Alle wichtigen Termine im Überblick

Die Fristen nach dem österreichischen NISG 2026 – Alle wichtigen Termine im Überblick

Die Fristen nach dem österreichischen NISG 2026 – Alle wichtigen Termine im Überblick

Am 23. Dezember 2025 wurde in Österreich das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) kundgemacht. Mit diesem Gesetz setzt Österreich die europäische NIS‑2‑Richtlinie umfassend um und schafft einen einheitlichen Rechtsrahmen für Cybersicherheit in kritischen und wichtigen Sektoren. Für Unternehmen ist es entscheidend, die gesetzlichen Fristen zu kennen – und einzuhalten.

1. Inkrafttreten des NISG 2026 – am 1. Oktober 2026

Das Gesetz tritt neun Monate nach Kundmachung im Bundesgesetzblatt und mit dem darauffolgenden Monatsersten in Kraft.➡️ Stichtag: 1. Oktober 2026

Ab diesem Datum gelten:

  • Meldepflichten bei erheblichen Cybersicherheitsvorfällen
  • verbindliche Risikomanagementmaßnahmen
  • aufsichtsrechtliche Sanktionen bei Verstößen

Damit ist der 1. Oktober 2026 der Startpunkt aller weiteren Umsetzungs- und Meldepflichten.

2. Registrierung wesentlicher & wichtiger Einrichtungen – bis spätestens 31. Dezember 2026

Unternehmen, die als wesentliche oder wichtige Einrichtungen gelten, müssen sich im Unternehmer‑Service‑Portal (USP) registrieren.

  • Start der Frist: 1. Oktober 2026
  • Fristdauer: 3 Monate
  • Endtermin: 31. Dezember 2026

Die Registrierung ist Voraussetzung für Meldeprozesse, behördliche Kommunikation und die weitere Aufsicht nach dem NISG 2026.

3. Selbstdeklaration – Abgabe bis spätestens 1. Oktober 2027

Die Selbstdeklaration ist ein strukturierter Bericht über:

  • die Organisation des Risikomanagements
  • bestehende Sicherheitsmaßnahmen
  • Prozesse zur Cybervorfallmeldung
  • interne Verantwortlichkeiten und Zuständigkeiten

➡️ Frist: bis zum 1. Oktober 2027

Sie dient der Behördenaufsicht als Nachweis der gesetzeskonformen Umsetzung.

4. Prüfungen durch die Cybersicherheitsbehörde – möglich ab 1. Oktober 2028

Ab dem 1. Oktober 2028 kann die Behörde Unternehmen verpflichten:

  • technische, organisatorische und operative Maßnahmen prüfen zu lassen
  • unabhängige Prüfer einzusetzen
  • Nachweise über die Umsetzung der Risikomanagementmaßnahmen vorzulegen

Somit sollten spätestens bis 2028 sämtliche Prozesse vollständig implementiert und dokumentiert sein.

FAQ zum österreichischen NISG 2026

1. Was ist das NISG 2026?

Das NISG 2026 ist das neue österreichische Cybersicherheitsgesetz, das die EU‑NIS‑2‑Richtlinie umsetzt. Es verpflichtet wesentliche und wichtige Einrichtungen zu höherer Cybersicherheit, strukturiertem Risikomanagement und Vorfallmeldungen.

2. Welche Unternehmen sind betroffen?

Grundsätzlich alle wesentlichen und wichtigen Einrichtungen gemäß europäischer NIS‑2‑Definition. Dazu zählen u. a.:

  • Energie
  • Verkehr
  • Gesundheitswesen
  • Finanzmarktinfrastrukturen
  • digitale Infrastruktur & IKT‑Dienstleistungen
  • Lebensmittel, Abfallwirtschaft, Produktion
  • öffentliche Verwaltung

Auch viele mittelgroße Unternehmen fallen automatisch darunter.

3. Wann treten die Pflichten in Kraft?

Alle zentralen Pflichten gelten ab 1. Oktober 2026.

4. Bis wann müssen Unternehmen registriert sein?

Die Registrierung im Unternehmer-Service-Portal (USP) muss bis 31. Dezember 2026 erfolgen.

5. Was ist die Selbstdeklaration?

Ein strukturierter Bericht über die getroffenen Sicherheitsmaßnahmen und das Risikomanagement.➡️ Frist: bis 1. Oktober 2027

6. Ab wann erfolgen Prüfungen durch die Behörde?

Ab 1. Oktober 2028 kann die Cybersicherheitsbehörde Prüfungen anordnen.

7. Welche Sanktionen drohen?

Das NISG 2026 sieht – abhängig von Unternehmensgröße und Schwere des Verstoßes – erhebliche Verwaltungsstrafen vor. Zusätzlich können Auflagen, Anordnungen oder andere Maßnahmen folgen.

8. Welche Pflichten treffen die Geschäftsleitung?

Die Geschäftsleitung trägt direkte Verantwortung für Umsetzung, Überwachung und Dokumentation der Cybersicherheit. Sie muss regelmäßige Schulungen absolvieren und fundierte Entscheidungen treffen können.

9. Was müssen Unternehmen jetzt tun?

Empfohlen wird sofort zu beginnen mit:

  • Analyse, ob das Unternehmen vom NISG 2026 betroffen ist
  • Gap‑Analyse zu bestehenden Sicherheitsmaßnahmen
  • Implementierung des Risikomanagementsystems
  • Aufbau klarer Meldewege
  • Vorbereitung auf Registrierung & Selbstdeklaration

Fazit

Das NISG 2026 bringt klare Zeitvorgaben und hohe Anforderungen für österreichische Unternehmen. Wer frühzeitig handelt, vermeidet Risiken und stellt die zukünftige Compliance sicher. Die kommenden Jahre – 2026, 2027 und 2028 – bilden den zentralen Umsetzungsfahrplan.

Zurück
Zurück zur
Blog-Übersicht

Andere interessante Beiträge

Die Fristen nach dem österreichischen NISG 2026 – Alle wichtigen Termine im Überblick
February 23, 2026
Die Fristen nach dem österreichischen NISG 2026 – Alle wichtigen Termine im Überblick
Cloud Switching nach dem Data Act – Leitfaden für SaaS‑Anbieter jeder Größe
February 16, 2026
Cloud Switching nach dem Data Act – Leitfaden für SaaS‑Anbieter jeder Größe
Die MIT‑Open‑Source‑Lizenz – einfach erklärt und sicher angewendet
February 9, 2026
Die MIT‑Open‑Source‑Lizenz – einfach erklärt und sicher angewendet

Höchste Qualität durch jahrelange Spezialisierung
in den Rechtsgebieten EDV-Vertragsrecht,
Datenschutz, Urheberrecht.

Allgemeines
AkademieSpezialgebieteKanzleiKontakt
Blog
Dimensionen
In Sachen SoftwarerechtIn Sachen Vertragsrecht
Kontakt
Windmühlgasse 301060 Wienanfrage@digital-recht.at

© von-hertz.com | Impressum | Datenschutz