NISG 2026: Cybersicherheit wird zur Chefsache
Mit dem NISG 2026 (Bundesgesetz, mit dem das Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2026 – NISG 2026) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden) setzt nun auch Österreich mit mehr als einjähriger Verspätung die EU-NIS-2-Richtlinie um und definiert einen verbindlichen Rahmen für ein hohes Cybersicherheitsniveau in kritischen Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, IKT-Dienstleister, öffentliche Verwaltung und Weltraum werden ebenso erfasst wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Plattformen und Forschung.
Kern des Gesetzes ist die Differenzierung zwischen wesentlichen und wichtigen Einrichtungen. Die Einstufung hängt vom Sektor, von der Unternehmensgröße und bei besonderer Kritikalität von der Rolle im Gesamtsystem ab.
Mittelständische Unternehmen rutschen damit deutlich häufiger in den Geltungsbereich, als es unter dem bisherigen NISG der Fall war.
Cybersicherheit wird damit zur echten Managementaufgabe. Leitungsorgane müssen nicht nur angemessene Risikomanagementmaßnahmen in technischer, organisatorischer und operativer Hinsicht sicherstellen, sondern auch selbst an spezifischen Cybersicherheitsschulungen teilnehmen.
Gefordert ist ein ganzheitlicher Ansatz, der Risikoanalyse, Incident-Handling, Business Continuity, Lieferkettensicherheit, sichere Entwicklung und Betrieb von IKT-Systemen, Verschlüsselung, Zugriffskontrolle sowie ein strukturiertes Schulungs- und Awarenessprogramm umfasst.
Zeitlich setzt das NISG 2026 klare Marker: Nach Inkrafttreten müssen wesentliche und wichtige Einrichtungen sich innerhalb von drei Monaten in einem zentralen Register eintragen. Auf dieser Basis folgt innerhalb von zwölf Monaten eine strukturierte Selbstdeklaration der umgesetzten Risikomanagementmaßnahmen, inklusive Beschreibung der eingesetzten Netz- und Informationssysteme und der Ergebnisse der Risikoanalyse. Später werden unabhängige Prüfungen zur Wirksamkeit der Maßnahmen verpflichtend. Für wesentliche Einrichtungen werden deutlich engere Fristen gelten.
Besonders sensitiv ist die neue Meldepflicht für erhebliche Cybersicherheitsvorfälle: Sie sind unverzüglich, spätestens innerhalb von 24 Stunden mittels Frühwarnung an das zuständige CSIRT (Computer-Notfallteam) zu melden und in weiteren Berichten detailliert zu dokumentieren. Gleichzeitig müssen betroffene Kunden und Nutzer über Auswirkungen und empfohlene Gegenmaßnahmen informiert werden. Wer hier keine sauberen Prozesse, Playbooks und Kommunikationslinien vorbereitet, geht ein erhebliches regulatorisches und Reputationsrisiko ein.
Die Sanktionsseite ist eindeutig: Für wesentliche Einrichtungen drohen bei Verstößen gegen zentrale Pflichten Geldstrafen bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegen die Höchststrafen bei bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes. Zusätzlich kann die Cybersicherheitsbehörde Zertifizierungen aussetzen, Überwachungsbeauftragte einsetzen, einzelne Verantwortliche befristet von Leitungsfunktionen ausschließen oder Verstöße öffentlich kommunizieren.
Was heißt das praktisch? Unternehmen sollten NISG 2026 nicht als weiteres IT-Compliance-Projekt behandeln, sondern als strategisches Risiko- und Resilienzthema. Wer frühzeitig klärt, ob er als wesentliche oder wichtige Einrichtung gilt, eine konsistente Risikoanalyse aufsetzt, sein Maßnahmenset entlang des gesetzlichen Katalogs schließt und Incident- sowie Reporting-Fähigkeiten professionalisiert, reduziert nicht nur das Sanktionsrisiko, sondern erhöht die eigene operative Widerstandsfähigkeit.
Kurz gesagt: NISG 2026 ist der regulatorische Hebel, der Cybersicherheit endgültig aus dem Technik-Keller in die Vorstandsetage zieht. Wer jetzt handelt, kauft sich Zeit, Handlungsspielraum und vor allem auch einen klaren Resilienzvorsprung.
