Zurück
Zurück zur
Blog-Übersicht
January 12, 2026

NISG 2026: Das österreichische Umsetzungsgesetz der NIS‑2-Richtlinie

NISG 2026: Das österreichische Umsetzungsgesetz der NIS‑2-Richtlinie

NISG 2026: Das österreichische Umsetzungsgesetz der NIS‑2-Richtlinie

Mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) setzt Österreich die EU-Richtlinie NIS‑2 (2022/2555) um. Ziel: ein hohes, einheitliches Cybersicherheitsniveau für kritische Sektoren wie Energie, Transport, Gesundheit, Finanzwesen und digitale Infrastruktur.

Inkrafttreten

Die Kundmachung erfolgte am 23. Dezember 2025.Das Gesetz tritt neun Monate später mit dem nächstfolgenden Monatsersten in Kraft – also am 1. Oktober 2026.Bis dahin müssen Unternehmen alle Pflichten erfüllen.

Wer ist betroffen?

  • Wesentliche Einrichtungen (z. B. Energieversorger, Banken, Gesundheitsdienste)
  • Wichtige Einrichtungen (z. B. mittlere Unternehmen in kritischen Sektoren)
    Die Einstufung erfolgt nach Unternehmensgröße, Sektor und Bedeutung für die öffentliche Sicherheit.

Zentrale Pflichten

Registrierungspflicht (§ 29)Alle betroffenen Einrichtungen müssen sich im nationalen Register eintragen.Angaben: Unternehmensdaten, Einstufung, verantwortliche Personen für Cybersicherheit.Strafe bei Nichtregistrierung: bis 50.000 €, im Wiederholungsfall bis 100.000 €.

Risikomanagementmaßnahmen (§ 32)Umsetzung technischer und organisatorischer Maßnahmen zur Beherrschung von Cyberrisiken.

  1. Nachweis der Wirksamkeit (§ 33)Unternehmen müssen belegen, dass ihre Maßnahmen effektiv sind – z. B. durch:
    • Risikoanalyse und Risikobehandlungsplan
    • Sicherheitsrichtlinien und deren Umsetzung
    • Incident-Response- und Business-Continuity-Pläne
    • Lieferketten-Sicherheit

Meldepflichten (§ 35)Sicherheitsvorfälle müssen unverzüglich gemeldet werden.

Management-VerantwortungGeschäftsleitungen tragen die Verantwortung und können persönlich haftbar sein.

Strafen bei Verstößen

  • Wesentliche Einrichtungen: bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
  • Wichtige Einrichtungen: bis 7 Mio. € oder 1,4 % des Umsatzes.
  • Verwaltungsstrafen für bestimmte Verstöße: bis 50.000 €, im Wiederholungsfall 100.000 €.

Zuständige Behörde:

  • Bezirksverwaltungsbehörden verhängen die Strafen.
  • Das Bundesamt für Cybersicherheit überwacht die Einhaltung und zeigt Verstöße an.

Warum jetzt handeln?

Unternehmen haben bis zum 1. Oktober 2026 Zeit, die Registrierung vorzunehmen, Risikomanagementmaßnahmen umzusetzen und deren Nachweis vorzubereiten. Wer diese Fristen versäumt, riskiert hohe Strafen und Reputationsschäden.

Zurück
Zurück zur
Blog-Übersicht

Andere interessante Beiträge

NISG 2026: Das österreichische Umsetzungsgesetz der NIS‑2-Richtlinie
January 12, 2026
NISG 2026: Das österreichische Umsetzungsgesetz der NIS‑2-Richtlinie
Schadenersatz bei Verletzung von Open-Source-Lizenzbedingungen
January 5, 2026
Schadenersatz bei Verletzung von Open-Source-Lizenzbedingungen
Softwarekauf vs. Softwaremiete – Was Unternehmen wissen müssen
December 22, 2025
Softwarekauf vs. Softwaremiete – Was Unternehmen wissen müssen

Höchste Qualität durch jahrelange Spezialisierung
in den Rechtsgebieten EDV-Vertragsrecht,
Datenschutz, Urheberrecht.

Allgemeines
AkademieSpezialgebieteKanzleiKontakt
Blog
Dimensionen
In Sachen SoftwarerechtIn Sachen Vertragsrecht
Kontakt
Windmühlgasse 301060 Wienanfrage@digital-recht.at

© von-hertz.com | Impressum | Datenschutz