Mit dem NISG 2026 verschärft Österreich die Anforderungen an die Cybersicherheit von Unternehmen deutlich. Gleichzeitig wächst rund um das Gesetz die Flut an (Fehl)Informationen, Missinterpretationen und offenen Fragen in der heimischen Wirtschaft.
Cyberangriffe zählen inzwischen zu den größten Geschäftsrisiken für Unternehmen. Mit dem neuen Netz- und Informationssystemsicherheitsgesetz (NISG 2026) setzt Österreich die europäische NIS2-Richtlinie um und verpflichtet zahlreiche Organisationen zu höheren Sicherheitsstandards. Dazu zählen unter anderem strukturierte Risikomanagementmaßnahmen, klare Meldepflichten bei Sicherheitsvorfällen sowie organisatorische Vorgaben auf Leitungsebene. Viele Unternehmen stehen nun vor der Frage, ob sie überhaupt von dem Gesetz betroffen sind und wenn ja, was zu tun ist. Meine Erklärungen dazu und noch ein paar Antworten auf gängige Fragen habe ich nachstehend kurz zusammengefasst.
Wer ist vom NISG 2026 betroffen?
Ob das NISG 2026 zur Anwendung kommt, hängt von der Unternehmensgröße und dem Sektor ab, in dem der Betrieb tätig ist. Zum einen muss ein Unternehmen in einem vom Gesetzgeber definierten Sektor tätig sein, um betroffen zu sein. Dazu gehören etwa Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur oder Finanzmarktinfrastrukturen. Außerdem kommt das Gesetz zur Anwendung, wenn eine bestimmte Unternehmensgröße erreicht ist. Es sind sowohl große als auch mittelgroße Betriebe betroffen. Als großes Unternehmen gilt eine Einrichtung, wenn sie zumindest 250 Mitarbeiter beschäftigt oder wenn ihr Jahresumsatz über 50 Millionen Euro liegt und gleichzeitig die Jahresbilanzsumme mehr als 43 Millionen Euro beträgt. Ein Unternehmen gilt als mittelgroß, wenn zumindest 50 Mitarbeiter beschäftigt werden oder wenn der Jahresumsatz und die Bilanzsumme jeweils über zehn Millionen Euro liegen. Auch wenn das Gesetz bereits ab mittlerer Unternehmensgröße in bestimmten Sektoren greift, ist die genaue Einordnung alles andere als nebensächlich: Je nach Größe und Sektor unterscheiden sich die Anforderungen – etwa bei Prüfpflichten und möglichen Strafen.
Was gilt bei Konzernen und Beteiligungen?
Bei Unternehmensgruppen reicht ein einfacher Blick auf einzelne Gesellschaften oft nicht aus. Bei der Berechnung der Unternehmensgröße werden nämlich auch verbundene Unternehmen und bestimmte Beteiligungen berücksichtigt. Die Größe des Unternehmens wird nicht ausschließlich anhand der Kennzahlen einer einzelnen Gesellschaft berechnet. Bei Mehrheitsbeteiligungen werden Mitarbeiterzahlen, Umsätze und Bilanzsummen vollständig zugerechnet. Bei Beteiligungen zwischen 25 und 50 Prozent erfolgt eine anteilige Zurechnung. So kann eine Tochtergesellschaft mit lediglich 30 Mitarbeitern aufgrund der Konzernstruktur die Schwelle eines mittleren Unternehmens erreichen. Keine Hinzurechnung erfolgt nur bei organisatorischer, operativer und technischer Unabhängigkeit der Netz- und Informationssysteme vom Mutterkonzern.
Welche Pflichten haben betroffene Unternehmen?
Zunächst ist innerhalb von drei Monaten nach Inkrafttreten des Gesetzes eine Registrierung vorgesehen. Weitere Details dazu werden noch mittels Verordnung festgelegt. Ab 2027 müssen Unternehmen der österreichischen Cybersicherheitsbehörde (ab Oktober Bundesamt für Cybersicherheit) außerdem mitteilen, welche Risikomanagementmaßnahmen sie umgesetzt haben. Die Behörde kann zusätzlich verlangen, dass die Umsetzung dieser Maßnahmen durch unabhängige Prüfungen nachgewiesen wird. Zentrale Grundlage des Gesetzes sind umfassende Maßnahmen, wie unter anderem Sicherheitskonzepte und Risikoanalysen, Prozesse zur Bewältigung von Cybervorfällen, ein Notfall- und Krisenmanagement, die Lieferkettensicherung, Zugriffskontrollen, Verschlüsselungen oder Multi-Faktor-Authentifizierungen. Unternehmen müssen außerdem regelmäßig überprüfen, ob ihre Maßnahmen wirksam sind, und Mitarbeiter im Bereich Cybersicherheit schulen. Kommt es zu einem erheblichen Sicherheitsvorfall, sieht das Gesetz außerdem ein mehrstufiges Meldeverfahren an das zuständige Cybersecurity Incident Response Team (CSIRT) vor.
Wie können Unternehmen die Sicherheit ihrer Lieferkette nachweisen?
Grundsätzlich richtet sich das NISG nicht an kleine Unternehmen. Aber ein zentraler Bestandteil der Vorgaben ist jedoch die Sicherheit der Lieferkette – unabhängig von Größe und Branche eines Unternehmens. Direkt betroffene Betriebe müssen nachvollziehen können, ob ihre Dienstleister und Lieferanten angemessene Maßnahmen zur Cybersicherheit treffen. Gerade in komplexen Geschäftsbeziehungen stellt das viele Organisationen vor praktische Herausforderungen: Wie lässt sich das Cyberrisiko bei Partnerunternehmen objektiv einschätzen und dokumentieren? Das CyberRisk Rating by KSV1870 ermöglicht Unternehmen, die Cyberresilienz von Geschäftspartnern zu bewerten. Es orientiert sich an den Vorgaben der österreichischen Aufsichtsbehörden und basiert auf dem CyberRisk-Schema des Kompetenzzentrum Sicheres Österreich.
Welche Konsequenzen drohen bei Verstößen?
Bei Verstößen können Behörden konkrete Verbesserungsmaßnahmen anordnen oder Genehmigungen zur Erbringung bestimmter Dienste entziehen. Zusätzlich drohen erhebliche Geldstrafen. Bei wesentlichen Einrichtungen können diese bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes betragen. Für wichtige Einrichtungen sind Strafen von bis zu sieben Millionen Euro oder 1,4 Prozent des Konzernumsatzes möglich. Auch organisatorische Pflichtverletzungen bleiben nicht folgenlos: Für versäumte Registrierungen oder fehlende Selbstdeklarationen können Geldstrafen von bis zu 50.000 Euro verhängt werden, im Wiederholungsfall sogar bis zu 100.000 Euro.
