Fragen und Antworten zum NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026)

Praxisorientierte Umsetzungshilfe

Lesedauer: 35 Minuten

02.06.2026

Diese FAQs dienen als praxisorientierte Hilfestellung zur Umsetzung des Netz- und Informationssystemsicherheitsgesetzes (NISG 2026). Sie wurden in Kooperation zwischen der Wirtschaftskammer Österreich und der NIS-Behörde im Bundesministerium für Inneres (BMI) erarbeitet.

Hinweis: Bitte beachten Sie, dass jedoch ausschließlich die jeweils geltenden gesetzlichen Bestimmungen maßgeblich sind. Die Inhalte wurden mit größter Sorgfalt erstellt, erfolgen jedoch ohne Gewähr; eine Haftung ist ausgeschlossen.

Gesetzgebung

Das NISG 2026 tritt am 1. Oktober 2026 vollständig in Kraft. Mittels Verordnungen wird der Gesetzesinhalt künftig präzisiert.

Das NISG 2026 ist am 23.12.2025 im Bundesgesetzblatt veröffentlicht worden und tritt am 1. Oktober 2026 vollständig in Kraft. Ab diesem Zeitpunkt sind die Vorgaben zu erfüllen, d.h. die geforderten Maßnahmen wie Risikomanagementmaßnahmen, Schulungen für Leitungsorgane und Mitarbeitende, etc.

Empfehlungen, die nach dem noch geltenden NISG ausgesprochen werden und deren Frist über den 1.10.2026 hinausreicht können im Rahmen der Vorgaben des NISG 2026 von der Cybersicherheitsbehörde herangezogen („aktiviert“) werden.

Die NIS-2-Richtlinie ist im Januar 2023 in Kraft getreten und ist ein verbindlicher Rechtsakt der Europäischen Union, der in Österreich mit dem NISG 2026 umgesetzt wird. Änderungen erfordern ein erneutes Gesetzgebungsverfahren auf EU-Ebene und in Österreich.

Am 20.01.2026 hat die Europäische Kommission ein Cybersicherheitspaket u.a. zur Vereinfachung der NIS-2-Richtlinie vorgelegt. Diese betreffen insbesondere Präzisierungen im Anwendungsbereich (Energie, Gesundheit, Straßenverkehr, Herstellung/Handel Chemischer Stoffe), eine Anhebung der Schwellenwerte für wesentliche Einrichtungen, Streichung von Klein(st)-DNS-Diensteanbietern aus dem Anwendungsbereich und neue Arten betroffener Einrichtungen (Betreiber strategischer Dual-Use-Infrastruktur, EU Digital Identity Wallets und EU Business Wallets sowie Betreiber von Unterseedatenkabel-Infrastruktur).

Es gilt jedoch das NISG 2026. Allfällige Änderungen müssen zuerst auf EU-Ebene beschlossen und danach in das österreichische NISG 2026 umgesetzt werden.

Anwendungsbereich

Die Grundregel ist, dass Einrichtungen unter das NISG 2026 fallen, wenn sie zumindest in einem NIS-Sektor tätig sind (Anlage 1 und 2 NISG 2026) sowie mindestens mittlere Größe erreichen. Zusätzlich gibt es weitere Sonderfälle, insbesondere im Sektor der digitalen Infrastruktur, sowie größenunabhängige Einstufungen als wichtig oder wesentlich.

Nutzen Sie für eine schnelle Ersteinschätzung und weitere Hinweise (insb. hinsichtlich der Größenberechnung) unseren Online-Ratgeber NIS2

Das NISG 2026 definiert eine „Einrichtung“ als eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person oder eingetragene Personengesellschaft, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann.

Wesentliche und wichtige Einrichtungen sowie Anbieter von Domänennamen-Registrierungsdiensten unterliegen den Bestimmungen des NISG 2026 grundsätzlich dann, wenn sie in Österreich niedergelassen sind.

Davon abweichend gelten die Vorschriften auch für bestimmte Einrichtungen, wenn besondere Anknüpfungspunkte zu Österreich vorliegen: Anbieter öffentlicher Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste unterliegen dem NISG, sofern sie ihre Dienste in Österreich erbringen. Für eine Reihe digitaler Dienste – etwa DNS-Diensteanbieter, TLD-Namenregister, Cloud- und Rechenzentrumsanbieter, Managed Services, Online-Marktplätze, Suchmaschinen oder soziale Netzwerke – ist entscheidend, ob sie ihre Hauptniederlassung in Österreich haben oder keinen Vertreter in der EU bestellt haben.

Als Hauptniederlassung gilt jener Mitgliedstaat, in dem die wesentlichen Entscheidungen zu den Risikomanagementmaßnahmen getroffen werden. Ist dies nicht eindeutig feststellbar, kommt es darauf an, wo die Maßnahmen tatsächlich umgesetzt werden; kann auch das nicht bestimmt werden, ist auf die Niederlassung mit der höchsten Beschäftigtenzahl in der EU abzustellen (vgl. § 28 NISG 2026).

Die Prüfung der Betroffenheit einschließlich der Pflicht zur Registrierung als wesentliche oder wichtige Einrichtung ist durch die Einrichtung selbst durchzuführen. Eine Einstufung durch die Cybersicherheitsbehörde ist im NISG 2026 nicht vorgesehen.

Nutzen Sie als unverbindliche Hilfestellungen unseren Online-Ratgeber NIS2.

Größenberechnung

Die Mitarbeiterzahl entspricht der Zahl der Jahresarbeitseinheiten (JAE), d. h. der Zahl der Personen, die in dem betroffenen Unternehmen oder auf Rechnung dieses Unternehmens während des gesamten Berichtsjahres einer Vollzeitbeschäftigung nachgegangen sind. Für die Arbeit von Personen, die nicht das ganze Jahr gearbeitet haben oder die im Rahmen einer Teilzeitregelung tätig waren, und für Saisonarbeit wird der jeweilige Bruchteil an JAE gezählt. In die Mitarbeiterzahl gehen ein:

Lohn- und Gehaltsempfänger;
für das Unternehmen tätige Personen, die in einem Unterordnungsverhältnis zu diesem stehen und nach nationalem Recht Arbeitnehmern gleichgestellt sind;
mitarbeitende Eigentümer
Teilhaber, die eine regelmäßige Tätigkeit in dem Unternehmen ausüben und finanzielle Vorteile aus dem Unternehmen ziehen.

Auszubildende oder in der beruflichen Ausbildung stehende Personen, die einen Lehr- bzw. Berufsausbildungsvertrag haben, sind in der Mitarbeiterzahl nicht berücksichtigt. Die Dauer des Mutterschafts- bzw. Elternurlaubs wird nicht mitgerechnet.

(Art. 5 Anhang I zur Empfehlung der Kommission zur Definition von KMU)

Der Begriff „Freelancer“ ist kein rechtlicher Fachbegriff und daher für die Einordnung nicht entscheidend. Maßgeblich ist vielmehr die konkrete vertragliche und tatsächliche Ausgestaltung des Beschäftigungsverhältnisses. Personen in einem freien Dienstverhältnis können arbeitnehmerähnlich sein – etwa wenn ein Unterordnungsverhältnis besteht oder eine wirtschaftliche Abhängigkeit vorliegt. In solchen Fällen sind sie den Dienstnehmern zuzurechnen (z. B. als Lohn- und Gehaltsempfänger oder vergleichbar Eingegliederte).

Demgegenüber gibt es freie Dienstnehmer oder Werkvertragsnehmer, die nicht arbeitnehmerähnlich sind, etwa weil sie auf Honorarbasis tätig sind, mehrere Auftraggeber haben und kein Unterordnungsverhältnis besteht; diese sind grundsätzlich nicht mitzuzählen.

Entscheidend ist daher stets eine Einzelfallprüfung anhand von Kriterien wie wirtschaftliche Abhängigkeit, überwiegende Tätigkeit für einen Auftraggeber oder faktische Eingliederung in die Organisation des Unternehmens.

Die Angaben für die Berechnung der Mitarbeiterzahl und für den Jahresumsatz bzw. die Jahresbilanz beziehen sich auf den letzten Rechnungsabschluss und werden auf Jahresbasis berechnet. Sie werden vom Stichtag des Rechnungsabschlusses an berücksichtigt. Die Höhe des herangezogenen Umsatzes wird abzüglich der Umsatzsteuer und sonstiger indirekter Steuern oder Abgaben berechnet.

Falls ein Unternehmen die Mitarbeiterzahl oder die finanziellen Obergrenzen im Verlauf des Berichtsjahres überschreitet oder unterschreitet, ändert dies nichts an seiner Lage. Eine Überschreitung der Schwellenwerte für mittlere oder große Unternehmen bzw. deren Unterschreitung wird erst dann wirksam, wenn diese jeweils über zwei aufeinanderfolgende Geschäftsjahre andauert.

Bei einem neu gegründeten Unternehmen, das noch keinen Jahresabschluss vorlegen kann, werden die entsprechenden Daten im Laufe des Geschäftsjahres nach Treu und Glauben geschätzt (Art. 4 Abs. 3 Anhang I zur Empfehlung der Kommission zur Definition von KMU).

Konzern

Das NISG verweist bei der Größenberechnung (Anzahl der Mitarbeiter, des Jahresumsatzes und der Jahresbilanzsumme) auf die Empfehlung 2003/361/EG der Kommission betreffend die Definition der KMU, wonach die Daten von Partner- oder verbundenen Unternehmen entsprechend zu berücksichtigen sind (in Sonderfällen Abweichungen).

Eigenständiges Unternehmen (<25% Beteiligung): Eigene Anzahl der Mitarbeiter, Jahresumsatzes und Jahresbilanzsumme werden voll gezählt, nichts hinzugerechnet
Partnerunternehmen (25-50% Beteiligung): Anzahl der Mitarbeiter, Jahresumsatz und Jahresbilanzsumme der Partnerunternehmen werden anteilsmäßig (grundsätzlich gemäß Höhe % Beteiligung) hinzugerechnet
verbundenes Unternehmen (>50 % Beteiligung oder sonstige Konstellationen, die beherrschenden Einfluss bewirken (zB Syndikatsverträge, …) Anzahl der Mitarbeiter, Jahresumsatz und Jahresbilanzsumme verbundener Unternehmen werden voll hinzugerechnet

Beteiligungen gelten jeweils in beide Richtungen unabhängig davon ob das jeweilige Unternehmen Anteile an anderem Unternehmen hält oder ob das andere Unternehmen Anteile an jeweiligem Unternehmen hält.

Einziges „Konzernprivileg“:

Die Daten verbundener und Partnerunternehmen sind dann nicht hinzuzurechnen, wenn die Einrichtung in Bezug auf die Netz- und Informationssysteme, die sie bei der Erbringung ihrer Dienste nutzt, sowie unter Berücksichtigung der Beschaffenheit, des Betriebs und der Sicherheit ihrer Netz- und Informationssysteme organisatorisch, technisch und operativ unabhängig von ihren Partner- oder verbundenen Unternehmen ist (§ 24 Abs. 4 NISG 2026).

Erklärungen und detaillierte Fallbeispiele finden Sie im Benutzerleitfaden zur Definition von KMU - Publications Office of the EU

Ja, auch verbundene und Partnerunternehmen, die nicht in Österreich oder der EU tätig sind, werden bei der Berechnung der Size-Cap-Kennzahlen einbezogen, vgl. die in § 25 NIISG 2026 referenzierte Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20. Mai 2003, S 36).

Ein Konzernprivileg ist im NISG 2026 nicht vorgesehen, weder im Zusammenhang mit „Anbieter verwalteter Dienste“ (Managed Service Provider; siehe auch Frage zu Managed Service Provider bei „Sektoren“) oder anderen Arten der Einrichtungen.

Einrichtungen, die die Voraussetzungen erfüllen, unterliegen dem NISG 2026. Dies gilt auch, wenn z.B. ein Managed Service Provider seine Dienste ausschließlich im Rahmen des Konzerns erbringt.

Ausnahmen bestehen nur dort, wo dies ausdrücklich in der Anlage 1 NISG 2026 vorsehen ist:

„Rechenzentrumsdienste“, mit Ausnahme von Rechenzentrumsdiensten, die ausschließlich von der betroffenen Einrichtung betrieben und genutzt werden.
Anbieter verwalteter Dienste bzw. Anbieter verwalteter Sicherheitsdienste: ausgenommen jener Fälle, in denen diese Dienste ausschließlich von der betroffenen Einrichtung betrieben und genutzt werden.

Unter Einrichtung ist die jeweilige juristische Person zu verstehen. Die Ausnahme gilt daher nicht, wenn die Dienste im Konzern bei einer oder mehreren anderen juristischen Personen erbracht werden.

Ein konzerninterner Managed Service Provider fällt demnach (ab mittlerer Unternehmensgröße, die bei Zurechnung durch verbundene und Partnerunternehmen oft erreicht wird) unter das NISG 2026.

Bei verbundenen Unternehmen (Beteiligung von mehr als 50 %) sind die relevanten Kennzahlen (z. B. Mitarbeiterzahl, Umsatz, Bilanzsumme) im Regelfall gegenseitig zu 100 % zuzurechnen (siehe dazu auch Frage „Wie sieht die Zurechnung im Konzern bzw. Beteiligungen aus?“).

Für die Tochtergesellschaft:

Ist die Tochter in einem relevanten Sektor (Anlage I oder II NISG 2026) tätig, sind bei der Größenberechnung

die Kennzahlen der Mutter und anderer verbundener Unternehmen vollständig (100 %) hinzuzurechnen.

Für die Muttergesellschaft:

Gleiches Prinzip umgekehrt: Besteht eine Verbindung zur Tochter (> 50 % Beteiligung) sind die Kennzahlen der Tochter ebenfalls zu 100 % zu berücksichtigen.

Wenn eine Einrichtung (juristische Person) in keinen Sektor fällt, ist sie unabhängig von der Größe nicht im Anwendungsbereich des NISG 2026 (vorbehaltlich den geltenden Ausnahmen aufgrund größenunabhängiger Einstufung).

Es ist daher möglich, dass nur einzelne Gesellschaften eines Konzerns unter das NISG 2026 fallen. Die Verpflichtungen des NISG 2026 gelten demnach auch nur für diese betroffenen Gesellschaften. Denkbar ist, dass andere Gesellschaften im Konzern entsprechend der Lieferkettensicherheit als Diensteanbieter der betroffenen Unternehmen entsprechend berücksichtigt und vertraglich zu Mindeststandards zu verpflichten sind.

Bei der Größenberechnung für die Einrichtung in Österreich sind die Daten (Mitarbeiterzahl, Jahresumsatz, Jahresbilanz) verbundener und Partnerunternehmen unabhängig von deren Standort zu berücksichtigen.

Sektoren

Grundsätzlich macht es keinen Unterschied, ob die Tätigkeit als Haupt- oder Nebentätigkeit ausgeübt wird. Es gibt jedoch im Anwendungsbereich in den Anlagen 1 und 2 einzelne ausdrücklich genannte Sektoren, bei denen auf eine Schwerpunkt- oder Haupttätigkeit abgestellt wird (Sektor Energie, Trinkwasser, Abwasser, Abfallwirtschaft). Bei Sektoren, bei denen dies nicht ausdrücklich genannt ist, sind somit auch untergeordnete Tätigkeiten als Nebentätigkeiten erfasst und können dazu führen, dass die gesamte Einrichtung (juristische Person) unter das NISG 2026 fällt.

Nein, eine derartige Ausnahme kennt das österreichische NISG 2026 entsprechend der NIS-2-Richtlinie nicht. Auch „vernachlässigbare“ Tätigkeiten können zur Einstufung der Einrichtung als wesentliche oder wichtige Einrichtung führen.

Mit einer Photovoltaikanlage ausgestattete Unternehmen, die überschüssige elektrische Energie in das öffentliche Netz gegen Entgelt einspeisen (sogenannte „Überschusseinspeiser“), fallen grundsätzlich nicht unter das NISG 2026, sofern diese elektrische Energie primär für den Eigenbedarf und somit ohne Gewinnerzielungsabsicht erzeugen. Der spätere Verkauf der überschüssigen Energie gegen Entgelt ändert daran nichts (Siehe ErlRV NISG 2026, 51f).

„Betreiber eines Ladepunkts“ bezeichnet die für die Verwaltung und den Betrieb eines Ladepunkts zuständige Stelle, die Endnutzern einen Aufladedienst erbringt, auch im Namen und Auftrag eines Mobilitätsdienstleisters; (Art. 2 Z 39 der VO EU 2023/1804 über den Aufbau der Infrastruktur für alternative Kraftstoffe und zur Aufhebung der Richtlinie 2014/94/EU, auf die Anlage 1 Z. 1 lit a NISG 2026 verweist).

„Aufladedienst“ bezeichnet den Verkauf oder die Bereitstellung von Strom, einschließlich damit zusammenhängender Dienstleistungen, über einen öffentlich zugänglichen Ladepunkt (Art. 2 Z 53 VO EU 2023/1804)

„öffentlich zugängliche Infrastruktur für alternative Kraftstoffe“ bezeichnet eine Infrastruktur für alternative Kraftstoffe, die sich an einem Standort oder in Räumlichkeiten befindet, die der Allgemeinheit zugänglich sind, unabhängig davon, ob sich die Infrastruktur für alternative Kraftstoffe auf öffentlichem oder privatem Grund befindet, ob der Zugang zu dem Standort oder den Räumlichkeiten Beschränkungen oder Bedingungen unterliegt und ungeachtet der für die Nutzung der Infrastruktur für alternative Kraftstoffe geltenden Bedingungen (Art. 2 Z 45 VO EU 2023/1804)

Ladepunkte oder Zapfstellen auf privatem Grund, zu denen nur ein begrenzter, bestimmter Personenkreis Zugang hat, beispielsweise Parkplätze von Bürogebäuden, zu denen nur Beschäftigte oder befugte Personen Zugang haben, sollten nicht als öffentlich zugängliche Ladepunkte oder Zapfstellen betrachtet werden. (Erwägungsgrund 11 VO EU 2023/1804).

Das NISG 2026 definiert im Sektor Verwaltung von IKT-Diensten (Business-to-Business) den „Anbieter verwalteter Dienste“ (Managed Service Provider) als eine Einrichtung, die Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung erbringt, dies entweder in den Räumlichkeiten der Kunden oder aus der Ferne; (Anlage 1 Z 9 iZm § 3 Z. 23 NISG 2026)

Der Begriff ist daher sehr weit gefasst, impliziert aber insbesondere aktive, dauerhaft vereinbarte Tätigkeiten bei der Erbringung des Dienstes als Managed Service Provider.

Bei der Definition von Managed Service Providern bietet das deutsche BSI einen Anhaltspunkt: Ein Anbieter hat tatsächlich Leistungen im Zusammenhang mit Installation, Verwaltung, Betrieb oder Wartung von IKT-Systemen zu erbringen und dafür einen entsprechenden tatsächlichen Zugriff bzw. eine aktive technische Rolle innezuhaben. Die rein geschäftliche Verantwortung ohne operative Leistung ist dafür nicht ausreichend (vgl. dazu die Ausführungen des deutschen BSI).

Nein. Für die Einordnung als MSP ist nicht entscheidend, wer die Leistung operativ erbringt, sondern wer die Verantwortung gegenüber dem Kunden trägt.

Maßgeblich ist, ob ein Unternehmen gegenüber seinen Kunden laufende IT-Dienstleistungen erbringt bzw. zusagt – etwa Betrieb, Überwachung oder Verwaltung von Netz- und Informationssystemen. Diese Verantwortung bleibt auch dann bestehen, wenn die Leistung vollständig an Subunternehmer ausgelagert wird.

Die Auslagerung ändert daher nichts daran, dass das Unternehmen selbst als MSP gelten kann. Sie führt vielmehr zu zusätzlichen Anforderungen im Bereich der Lieferkettensicherheit, insbesondere zur vertraglichen Absicherung, Kontrolle und Steuerung der Subunternehmer.

Der reine Verkauf von Hardware sowie die einmalige Einrichtung eines Betriebssystems (z.B. Installation, Basiskonfiguration) gilt üblicherweise nicht als „Verwaltung von IKT-Diensten“ im Sinne des NISG 2026.

Sobald die Einrichtung über den Verkauf hinaus weitere IT-Dienstleistungen anbietet, kann eine Einstufung als Managed Service Provider im Sinne des NISG 2026 in Betracht kommen. Eine genaue Prüfung sollte dann anhand der konkreten Leistungsbeschreibung erfolgen.

Ja, soweit ein SaaS-Angebot funktional eigenständig bereitgestellt wird und auf Abruf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen mit Fernzugang ermöglicht, fällt es grundsätzlich unter den Begriff des Cloud-Computing-Dienstes.

Dies gilt auch wenn der Anbieter die zugrunde liegenden Rechenressourcen nicht selbst physisch betreibt, sondern diese von einem externen Cloud-Provider bezieht, da das Gesetz keine Betreiberidentität voraussetzt (vgl. BSI - Allgemeine FAQ zu NIS-2).

Ein konzerninterner IT-Dienstleister ist als MSP einzuordnen, wenn er mit administrativem Zugriff operative Leistungen an Netz- und Informationssystemen anderer Konzerngesellschaften erbringt. Die Beschränkung auf konzerninterne Leistungen stehen der MSP-Eigenschaft nicht entgegen, es gibt hier kein „Konzernprivileg“.

Das NISG 2026 definiert „DNS-(Domainnamensystem-)Diensteanbieter“ als eine Einrichtung, die

für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domänennamen anbietet, oder
autoritative Dienste zur Auflösung von Domänennamen zur Nutzung durch Dritte, mit Ausnahme von Root-Namenservern, anbietet;

Der Begriff „DNS-Diensteanbieter“ bezeichnet Einrichtungen, die öffentlich zugängliche rekursive Dienste zur Auflösung von Domänennamen für Internet-Endnutzer oder autoritative Dienste zur Auflösung von Domänennamen erbringen. Unter Dritte gemäß lit b sind insbesondere Domaininhaber zu verstehen. „Domainnamensystem“ oder „DNS“ bezeichnet ein verteiltes hierarchisches Verzeichnissystem, das die Identifizierung von Diensten und Ressourcen im Internet ermöglicht und es Endnutzergeräten erlaubt, Internet-Routing- und Konnektivitätsdienste zu nutzen, um diese Dienste und Ressourcen zu erreichen (siehe ErlRV NISG 2026, 6).

Ja, DNS-Diensteanbieter gelten größenunabhängig als wesentliche Einrichtungen (§ 24 Abs 1 lit c NISG 2026) und unterliegen daher der Registrierungspflicht.

Es gibt Vorschläge der Europäischen Kommission die NIS-2-Richtlinie dahingehend zu ändern, dass Klein- und Kleinst-DNS-Diensteanbieter in Zukunft nicht mehr in den Anwendungsbereich fallen sollen (Art 1 Abs 1 lit. c (i) Proposal for the Cybersecurity Act 2). Die Vorschläge müssen allerdings zuerst auf EU-Ebene beschlossen und danach im österreichischen NISG 2026 aufgenommen werden. Es kann daher derzeit nicht abgeschätzt werden, ob und wann diese Änderungen erfolgen.

Das NISG 2026 definiert Cloud-Computing-Dienste als Anbieten von Diensten, die auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind (Anlage 1 Z 8 NISG 2026).

Grundsätzlich ist die DORA-Verordnung als „lex specialis“ zur NIS-2-Richtlinie bzw. dem NISG 2026 hinsichtlich Risikomanagementmaßnahmen und Meldepflichten zu betrachten. Mangels einer weiteren Klarstellung zur Registrierung im NISG 2026 und da der Gesetzgeber keine explizite Ausnahme von der Pflicht zur Registrierung für Finanzunternehmen vorgesehen hat, haben sich sämtliche Einrichtungen, die die Kriterien des Anwendungsbereichs des NISG 2026 erfüllen (somit auch Finanzunternehmen und IKT-Drittdienstleister nach DORA) zu registrieren.

Lebensmittelunternehmen sind dann im Anwendungsbereich, wenn sie im Großhandel UND in der industriellen Produktion und Verarbeitung tätig sind (und mindestens mittlere Unternehmensgröße haben).

Nur wenn eine Einrichtung im Großhandel und in der industriellen Produktion und Verarbeitung tätig ist (kumulativ), erfüllt sie die Voraussetzung. Der Großhandel ist in Abgrenzung zum Einzelhandel zu verstehen. Die industrielle Produktion und Verarbeitung ist in Abgrenzung zur gewerblichen Produktion vom Grad der Automatisierung und der maschinellen Durchdringung abhängig.

Je nachdem, ob der Abnehmer der Waren an gewerbliche oder nicht gewerbliche Kunden verkauft, wird zwischen Groß- und Einzelhandel unterschieden: Großhandel liegt vor, wenn Marktteilnehmer Waren von Herstellern oder anderen Lieferanten beschaffen und an Wiederverkäufer, Weiterverarbeiter, gewerbliche Verwender oder sonstige Institutionen absetzen. Hingegen liegt Einzelhandel dann vor, wenn Handelsunternehmen die Waren verschiedener Hersteller beschaffen, diese zu einem Sortiment zusammenfügen und an nicht gewerbliche Kunden (Verbraucher bzw. Letztverwender) verkaufen (siehe ErläutRV zu Anlage 2 NISG 2026, S 53).

Dienstleistungen der Langzeitpflege und damit einhergehend Einrichtungen der Pflege und Pflegeanstalten sind nicht vom Anwendungsbereich umfasst.

Für die Abgrenzung zwischen Pflege in einem Pflegeheim und Pflege in einer Krankenanstalt ist darauf abzustellen, ob die Betroffenen eine ständige Pflege, oder aber bloß fallweise einer ärztlichen Betreuung bedürfen. Überwiegt der Pflegeaspekt, liegt ein Pflegeheim vor, überwiegt der Bedarf an ärztlicher Betreuung, eine Krankenanstalt. Je nach Ausgestaltung der erbrachten Dienstleistungen in einer stationären Einrichtung können diese Einrichtungen in den Anwendungsbereich fallen (siehe ErlRV NISG 2026, 52).

Bei einzelnen Einrichtungsarten beispielsweise in den Sektoren verarbeitendes Gewerbe und Herstellung und Handel mit chemischen Stoffen werden die NACE-Codes verwendet, um die Einrichtungsarten zu konkretisieren, bei denen Betroffenheit besteht.

Unter das NISG 2026 fallen Einrichtungen in diesen Fällen dann, wenn sie die Größenschwelle (ab mittleres Unternehmen) erreichen und eine Tätigkeit im Sinne des jeweils genannten NACE-Codes ausüben.

Infos zum NACE-Code und wie Sie Ihre Klassifikationsmitteilung einsehen können finden Sie unter ÖNACE - Klassifikation der Wirtschaftstätigkeiten.

Gemeinden (somit auch Städte) und Gemeindeverbände sind im Sektor öffentliche Verwaltung ausdrücklich ausgenommen (§ 24 Abs 3 NISG 2026) aber nicht pauschal vom Anwendungsbereich ausgeschlossen. Sie sind betroffen, wenn sie in einem der anderen Sektoren der Anlage 1 bzw. 2 tätig sind (z.B. Trinkwasser, Abwasser, Abfallwirtschaft, Energie, Verkehr, digitale Infrastruktur) und die Größenkriterien für mittlere oder große Unternehmen erfüllt sind.

Geschäftsleitung

Leitungsorgane sind die natürlichen Personen oder Verwaltungsorgane, die nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung berufen sind, z.B. Geschäftsführung oder Vorstand. Gemeint sind daher nicht der Abteilungsleiter, Chief Information Officer (CISO) oder IT-Leiter in einem Unternehmen, sondern die strategische Geschäftsleitung.

Es ist jedoch denkbar, dass jene Person, die die Rolle des CISO in einem Unternehmen einnimmt, auch nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte berufen ist.

Maßgeblich ist nicht die Bezeichnung, sondern die tatsächliche rechtliche Stellung. Leitungsorgane sind jene Personen, die nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte der gesamten Einrichtung berufen sind, typischerweise die handelsrechtliche Geschäftsführung oder der Vorstand.

Der gewerberechtliche Geschäftsführer nach der Gewerbeordnung (GewO) ist in diesem Zusammenhang für die Einhaltung der gewerberechtlichen Vorschriften verantwortlich und darauf beschränkt. Etwas anderes gilt jedoch, wenn er zugleich organschaftliche Geschäftsführungsfunktionen wahrnimmt oder ihm umfassende Leitungsbefugnisse für das gesamte Unternehmen zukommen; in diesem Fall kann er sehr wohl als Leitungsorgan einzuordnen sein.

Dies ist entsprechend der organisationsrechtlichen und dienstrechtlichen Regelungen betreffend die öffentliche Verwaltung zu beurteilen.

Die Leitungsorgane

haben die Einhaltung der im NISG geforderten Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen
müssen an spezifisch für Leitungsorgane gestalteten Cybersicherheitsschulungen teilnehmen (allgemeine Cybersicherheitsschulungen wie z.B. Schulungen für Mitarbeiter sind nicht ausreichend). Die Teilnahme an den Schulungen muss entsprechend dokumentiert werden (Inhalt der Schulungen und Schulungsangebote siehe unten).
haben den Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, damit diese ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben können.

Die Leitungsorgane müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen. Die für die Mitarbeitenden verpflichtend vorgesehenen Awareness-Schulungen sind dafür nicht ausreichend. Es sind Nachweise für die Schulungen zu erbringen.

Informationen zu den Geschäftsleitungsschulungen finden Sie hier.

Das NISG 2026 sieht keine Intervalle zur Durchführung vor, in welchen Abständen diese Schulungen im Sinne einer nachweisbaren angemessenen Aktualisierung des Wissenstandes zu wiederholen sind, ist daher risikobasiert im jeweiligen Unternehmen zu entscheiden.

Die Schulungspflicht gilt für jede natürliche Person, die nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung berufen ist. Dahinter steht das Ziel, dass jedes Mitglied der Geschäftsleitung über ausreichende Kenntnisse im Bereich Cybersicherheit verfügt, um seiner Verantwortung nachkommen zu können.

Um ihrer Verantwortung gerecht werden zu können, müssen Leitungsorgane an für sie spezifisch gestalteten Cybersicherheitsschulungen teilnehmen, das NISG 2026 macht dazu keine näheren Angaben.

Es gibt externe Schulungsanbieter, die derartige Schulungen anbieten, wobei darauf zu achten ist, dass die Schulungen die Leitungsorgane auf ihre Verantwortung und Pflichten in Bezug auf das NISG 2026 entsprechend vorbereiten.

Die FV UBIT Akademie incite bietet dazu regelmäßig speziell darauf ausgerichtete Workshops (online und physisch) an, Termine und Infos finden Sie hier.

Es ist sinnvoll und empfehlenswert auch Personen, die der Geschäftsleitung zuarbeiten oder die an Entscheidungen zum Risikomanagement oder an der Umsetzung der Maßnahmen beteiligt sind, schulen zu lassen. In der Praxis erweisen sich gemeinsame Schulungen zB Geschäftsleitung gemeinsam mit Risk Manager, IT-Leiter, Chief Information Security Officer, Compliance Abteilung als sehr nutzbringend.

Das NISG 2026 sieht ist ausdrücklich vor, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen haben.

Außerdem ist vorgesehen, dass die Geschäftsleitungen an Schulungen teilnehmen müssen, um über ausreichende Kenntnisse im Bereich Cybersicherheit zu verfügen.

Für Leitungsorgane sind im NISG 2026 keine Verwaltungsstrafen vorgesehen. Eine Verletzung der Pflichten der Leitungsorgane kann jedoch zu Schadenersatzansprüchen führen, wenn ein Leitungsorgan sorgfaltswidrig gehandelt hat und dies für dein Eintritt eines Schadens ursächlich war.

Registrierung

Wesentliche und wichtige Einrichtungen müssen sich beginnend mit 01.10.2026 bis spätestens 31.12.2026 über das USP (Unternehmensserviceportal) registrieren. Einrichtungen, die erst nach dem 01.10.2026 als wesentliche oder wichtige Einrichtungen gelten müssen sich ehestmöglich, jedenfalls innerhalb von drei Monaten ab Erfüllung der jeweiligen Voraussetzungen, registrieren. Spätere Änderungen der Angaben müssen der Behörde mitgeteilt werden.

Weitere Informationen zur Registrierung sollen von der Cybersicherheitsbehörde bereitgestellt werden.

Die Registrierung wird über ein bereitgestelltes elektronisches Formular, das über das USP (Unternehmensserviceportal) bzw. über den Portalverbund erreichbar ist, ermöglicht.

Anzugeben sind folgende Angaben nach § 29 Abs. 2 NISG 2026:

Namen der Einrichtung;
die Anschrift und aktuelle Kontaktdaten sowie gegebenenfalls den gemäß § 28 Abs. 4 benannten Vertreter;
den Sektor oder die Sektoren, den Teilsektor oder die Teilsektoren und die Art oder Arten der Einrichtung gemäß Anlage 1 oder 2;
die Mitgliedstaaten der Europäischen Union, in denen sie Dienste erbringt;
gegebenenfalls die IP-Adressbereiche der Einrichtung;
die Anschrift der Hauptniederlassung der Einrichtung und ihrer sonstigen Niederlassungen in der Europäischen Union oder, falls sie nicht in der Europäischen Union niedergelassen ist, die Anschrift ihres gemäß § 28 Abs 4 benannten Vertreters;
Informationen zu den in § 25 angeführten Schwellenwerten und darüber, ob es sich um eine wesentliche oder wichtige Einrichtung handelt.

Mit IP-Adressbereichen sind lediglich statische öffentliche IP-Adressbereiche gemeint, die bei der Registrierung um Domainnamen/URLs ergänzt werden können.

Es muss sich jeweils die Einrichtung, die die Art(en) der Einrichtung / Tätigkeit(en) im Konzern betreibt, registrieren. Eine Gesamtregistrierung als Konzern ist nicht vorgesehen – es können jedoch im USP jeweils dazu berechtigte Personen Registrierungen für mehrere Einrichtungen vornehmen.

Ja. Einrichtungen, die einen Bescheid nach dem RKE-Gesetz erhalten und somit als kritische Einrichtungen ermittelt wurden, gelten damit auch als wesentliche Einrichtungen nach dem NISG 2026 und müssen sich registrieren, falls eine Registrierung nach dem NISG 2026 nicht ohnehin bereits durchgeführt wurde.

Ja, wenn sie die Kriterien als wesentliche oder wichtige Einrichtungen nach dem NISG 2026 erfüllen (z.B. als Managed Service Provider ab mittlerer Größe).

Wesentliche und wichtige Einrichtungen müssen sich eigenständig ohne Aufforderung durch die Behörde beginnend mit 01.10.2026 bis 31.12.2026 sowie darüber hinaus fortlaufend registrieren. Die Nichteinhaltung der Registrierungspflicht kann Strafen bis zu EUR 50.000, im Wiederholungsfall bis zu EUR 100.000 nach sich ziehen (vgl. § 45 Abs 4 NISG 2026).

Maßnahmen

Wesentliche und wichtige Einrichtungen unterliegen insbesondere folgenden Pflichten nach dem NISG 2026:

Risikomanagementmaßnahmen (§ 32)
Governance inklusive verpflichtende Schulungen für Leitungsorgane (§ 31)
Meldepflichten bei erheblichem Cybersicherheitsvorfall (§ 33)
Registrierung: binnen 3 Monaten (§ 29)
Selbstdeklaration (Aufstellung umgesetzter Maßnahmen): binnen 12 Monaten ab Eintreten Registrierungspflicht (§ 33 Abs. 1)
Nachweis durch Prüfung unabhängiger Stelle auf Aufforderung (§ 33 Abs. 2)

Die Umsetzung der Risikomanagementmaßnahmen stellt eine zentrale Verpflichtung im NISG 2026 dar.

Sie sind in § 32 NISG aufgelistet:

Konzept Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Cybersicherheitsvorfällen
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Sicherheit der Lieferkette
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
Cyberhygiene und Schulungen zur Cybersicherheit
Kryptografie und ggf Verschlüsselung
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung

Für Teile der digitalen Infrastruktur gilt die EU-Durchführungsverordnung (EU) 2024/2690 Risikomanagementmaßnahmen für (Teile der) digitale(n) Infrastruktur, zu der auch Leitlinien zur Durchführungsverordnung zur Verfügung stehen.

Für alle anderen Sektoren folgt eine nationale Verordnung. Es ist geplant, dass die nationale Verordnung bezüglich der Risikomanagementmaßnahmen auf die EU-Durchführungsverordnung (EU) 2024/2690 verweist.

Es wird daher allen betroffenen Einrichtungen empfohlen, sich bei der Umsetzung an der Durchführungsverordnung und den Leitlinien zu orientieren.

Das NISG 2026 verpflichtet wesentliche und wichtige Einrichtungen, eine Risikoanalyse im Rahmen ihres Risikomanagements vorzunehmen. Die Maßnahmen nach § 32 NISG 2026 beruhen auf einem gefahrenübergreifenden Ansatz in Bezug auf die Netz- und Informationssystemsicherheit. Die Detailtiefe der Risikoanalyse richtet sich daher nach der Größe und dem Risikoprofil der jeweiligen Einrichtung.

Nein, es fällt jeweils die gesamte Einrichtung (juristische Person) in den Anwendungsbereich des NISG 2026 fällt.

Auch wenn die IT komplett ausgelagert ist, bleibt immer die wichtige oder wesentliche Einrichtung selbst verantwortlich. Sie muss sicherstellen, dass die Dienstleister die nötigen NISG-Vorgaben umsetzen, dies regelmäßig überprüfen werden und sicherstellen, dass Vorfälle ordnungsgemäß gemeldet werden. Die Geschäftsleitung der wichtigen oder wesentlichen Einrichtung bleibt in der Verantwortung, das Risikomanagement zu steuern und umzusetzen.

Einrichtungen müssen sicherstellen, dass ihre Mitarbeitenden einschließlich der Mitglieder des Leitungsorgans – sowie, soweit angemessen, auch direkte Anbieter und Dienstleister für Cyberrisiken sensibilisiert sind, die Bedeutung von Cybersicherheit verstehen und grundlegende Cyberhygiene anwenden. Dafür ist ein strukturiertes Sensibilisierungsprogramm vorzusehen, das regelmäßig durchgeführt wird, neue Mitarbeitende erfasst und inhaltlich mit den internen Sicherheitskonzepten und Verfahren abgestimmt ist. Dieses Programm muss insbesondere aktuelle Bedrohungen, bestehende Risikomanagementmaßnahmen, relevante Anlaufstellen sowie konkrete Verhaltensregeln zur Cyberhygiene abdecken, regelmäßig auf seine Wirksamkeit überprüft und laufend an die aktuelle Bedrohungslage sowie interne Änderungen angepasst werden.

Darüber hinaus sind für Mitarbeitende mit sicherheitsrelevanten Aufgaben spezifische Sicherheitsschulungen erforderlich. Unternehmen müssen jene Rollen identifizieren, die besondere Fachkenntnisse benötigen, und ein darauf abgestimmtes Schulungsprogramm etablieren. Die Schulungen haben funktionsbezogen zu erfolgen, regelmäßig stattzufinden und ihre Wirksamkeit ist zu evaluieren. Inhaltlich müssen sie insbesondere die sichere Konfiguration und den Betrieb von Netz- und Informationssystemen (einschließlich mobiler Geräte), den Umgang mit bekannten Cyberbedrohungen sowie das richtige Verhalten bei sicherheitsrelevanten Vorfällen umfassen.

(Vgl. dazu Art 8 Anhang der EU-Durchführungsverordnung (EU) 2024/2690 sowie die Leitlinien zur Durchführungsverordnung).

Einrichtungen sind verpflichtet, die Umsetzung ihrer Risikomanagementmaßnahmen nachvollziehbar zu dokumentieren. Dazu gehört insbesondere, dass Prozesse, Zuständigkeiten und getroffene Risikomanagementmaßnahmen schriftlich festgehalten und regelmäßig überprüft werden.

Die Erbringung von Nachweisen ist einzelfallabhängig. Die Dokumentation ist dabei insbesondere abhängig von der Art der Einrichtung, Auflagen, jeweilige Risikomanagementmaßnahmen und kann z.B. durch folgende Mittel erbracht werden:

interne Dokumentation und Berichte,
Nachweise und Zeugnisse über Schulungen und Awareness-Maßnahmen
Auditberichte oder interne Kontrollverfahren

Pflichten für wesentliche und wichtige Einrichtungen ergeben sich aus dem NISG 2026. Darunter fällt neben den Risikomanagementmaßnahmen zB auch die Pflicht erhebliche Cybersicherheitsvorfälle zu melden. Eine Unternehmenszertifizierung alleine ist nicht ausreichend, um sämtliche Anforderungen des NISG 2026 zu erfüllen, kann aber ein wichtiger Teil für den Nachweis der Umsetzung der Risikomanagementmaßnahmen nach § 32 NISG 2026 sein.

Eine Zertifizierung nach ISO 27001 stellt eine sehr gute Basis dar, muss aber im Hinblick auf den gesetzlich vorgegebenen Maßnahmenkatalog geprüft und gegebenenfalls ergänzt werden, insbesondere ist auf den entsprechend gewählten Scope der Zertifizierung zu achten.

Eine ISO 27001 Zertifizierung kann aber nur als Nachweis der operativen sowie organisatorischen Umsetzung (nicht aber der technischen Umsetzung!) dienen.

Siehe zum Nachweis von Lieferanten mit ISO 27001 Zertifizierung die Frage im Kapitel „Sicherheit der Lieferkette“.

Als Anhaltspunkt kann derzeit folgendes Mapping herangezogen werden:

NIS2 Technical Implementation Guidance | ENISA, insbesondere
NIS2 Technical Implementation Guidance | ENISA (Table Version 1.2)

Lieferkette

Im Rahmen des NISG 2026 sind nicht grundsätzlich alle Lieferanten erfasst. Andrerseits wäre eine Einschränkung auf IT-Dienstleister auch zu eng.

Zu erfassen sind alle Teilnehmer der Lieferkette bezüglich der Netz- und Informationssysteme, welche die die Dienste der Einrichtung unterstützen bzw. ermöglichen. Dies würde z.B. auch die Klimaanlagentechnik für den Serverraum betreffen.

Die Sicherheit der Lieferkette umfasst sicherheitsbezogene Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern, unter Berücksichtigung der spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter, der Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Dienstanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, sowie der Ergebnisse der durchgeführten koordinierten Risikobewertungen auf EU-Ebene (vgl. § 32 Abs 4 lit d NISG 2026).

Als Anhaltspunkt können die Inhalte der EU-Durchführungsverordnung sowie die Leitlinien zur Durchführungsverordnung herangezogen werden.

Als Anhaltspunkt können die Inhalte aus Art 5 der EU-Durchführungsverordnung sowie die Leitlinien zur Durchführungsverordnung herangezogen werden.

Danach sollen auf Grundlage eines Konzepts für die Sicherheit der Lieferkette und unter Berücksichtigung einer Risikobewertung konkrete vertragliche Regelungen getroffen werden.

Soweit angemessen ist in Abhängigkeit der Risikobewertung Folgendes vertraglich zu vereinbaren:

Cybersicherheitsanforderungen an die Anbieter oder Diensteanbieter, einschließlich der Anforderungen an die Sicherheit beim Erwerb von IKT-Diensten oder -Produkte,
Sensibilisierungs-, Qualifikations- und Ausbildungsanforderungen sowie – soweit angemessen – Zertifizierungen für deren Mitarbeitende,
Anforderungen an die Zuverlässigkeitsüberprüfungen der Mitarbeitenden,
eine Verpflichtung, Sicherheitsvorfälle, unverzüglich zu melden,
das Recht auf Prüfung oder das Recht auf Erhalt von Prüfberichten,
eine Verpflichtung zur Behebung von Schwachstellen,
Anforderungen an die Unterauftragsvergabe sowie Cybersicherheitsanforderungen an Unterauftragnehmer,
sowie „Pflichten bei Vertragskündigung, z. B. Abruf und Entsorgung der Informationen.

Die regulatorischen Anforderungen zielen auf konkret ausgestaltete, überprüfbare Vertragspflichten ab – ein pauschaler Hinweis z.B. in den AGB oder in Einkaufsbedingungen auf das NISG 2026 genügt diesen Anforderungen nicht.

Ein allgemeines Zertifikat zum Nachweis der NISG 2026-Anforderungen gibt es nicht. Einrichtungen müssen Maßnahmen ergreifen um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu reduzieren und die Auswirkungen von Cybersicherheitsvorfällen auf die Nutzer ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.

Ob eine IS0 27001 Zertifizierung des Dienstleisters im jeweiligen Fall als Nachweis der Sicherheit der Lieferkette im Sinne des NISG 2026 ausreichend ist, ist abhängig von der jeweiligen Risikobewertung im Einzelfall zu prüfen.

Insbesondere bei hoher Kritikalität ist auch eine Kombination mit zusätzlichen kompensierenden Maßnahmen möglich (Wie umgehen bei Ausfall / Veränderung der Vertraulichkeitsbewertung eines Lieferanten/Dienstleisters…).

Es ist jedenfalls Bedacht auf den Scope und der Gültigkeit der Zertifizierung zu legen.

Nachweise

Wesentliche und wichtige Einrichtungen müssen der Cybersicherheitsbehörde bis 30.09.2027 Informationen hinsichtlich umgesetzter Risikomanagementmaßnahmen gemäß § 32 übermitteln (Selbstdeklaration).

Dazu wird ein Formular mit kurzen konkreten Fragen über das USP (Unternehmensserviceportal) auszufüllen sein.

Ziel ist für die Behörde eine Indikation über den Stand der Umsetzung der Risikomanagementmaßnahmen gemäß NISG 2026 zu erfassen, insbesondere betreffend die genutzten Netz- und Informationssysteme und die Sicherheit der Lieferketten sowie die Ergebnisse der durchgeführten Risikoanalyse. Die Selbstdeklaration ist nur ein Indikator und keine umfassende Bewertung und soll eine Prüfung, weder im Detailgrad, noch Tiefe oder Aufwand ersetzen.

Wesentliche und wichtige Einrichtungen haben auf Aufforderung durch die Cybersicherheitsbehörde die technische, operative und organisatorische Umsetzung der Risikomanagementmaßnamen gemäß § 32 durch eine Prüfung von einer unabhängigen Stelle nachzuweisen. Der Nachweis der operativen sowie organisatorischen Umsetzung (nicht der technischen Umsetzung!) kann auch durch einschlägige gültige Zertifikate, (zB ISO 27001) erfolgen. Dabei ist insbesondere auf den Scope zu achten.

Der Scope muss für den Nachweis die gesamte Einrichtung erfassen. Eine Teilanerkennung ist möglich – der nicht abgedeckte Teil muss aber anderwärtig (Prüfung durch unabhängige Stelle) nachgewiesen werden.

Meldungen

Ein Cybersicherheitsvorfall ist erheblich, wenn er

schwerwiegende Betriebsstörungen der erbrachten Dienste der Einrichtung oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann;
andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Ob ein Vorfall erheblich ist, hängt vom Einzelfall ab. Wichtige Kriterien sind:

Wie abhängig andere Sektoren von den betroffenen Diensten sind
Mögliche Auswirkungen auf Umwelt, Sicherheit oder Gesundheit
Die Marktbedeutung der Einrichtung
Das betroffene Gebiet (auch grenzüberschreitend)
Welche Systeme betroffen sind und wie kritisch sie sind
Art und Schwere des Angriffs sowie bekannte Schwachstellen
Sektor- oder unternehmensspezifische Besonderheiten

Kurz gesagt: Je größer die Auswirkungen und je kritischer die betroffenen Dienste, desto eher ist der Vorfall „erheblich“ und muss daher gemeldet werden.

Einrichtungen jeder Art können freiwillig Cybersicherheitsvorfälle, Cyberbedrohungen und Beinahe-Cybersicherheitsvorfälle an das für sie zuständige sektorale CSIRT oder an das nationale CSIRT, melden. Das nationale CSIRT fasst die Meldungen zusammen und leitet diese an die Cybersicherheitsbehörde weiter. Freiwillige Meldungen können auch anonym erfolgen.

Das NISG 2026 regelt grundsätzlich die Berichtspflichten für Einrichtungen mit Niederlassung in Österreich.

In diesem Fall ist das Bundesamt für Cybersicherheit in Österreich die zuständige Behörde. Unternehmen müssen jedoch selbst prüfen, ob in anderen Staaten weitere Meldepflichten bestehen. Die Meldung muss an das jeweils zuständige CSIRT erfolgen.

Eine Meldung in Österreich erfüllt nicht automatisch alle Meldepflichten in anderen Staaten, gegebenenfalls muss in allen betroffenen EU-Mitgliedstaaten eine Meldung erfolgen.

Wichtige Links:

Ja, wenn sowohl Lieferant/Dienstleister als auch das Unternehmen Einrichtungen gem. NISG 2026 sind und die Erheblichkeit des Cybersicherheitsvorfalls jeweils gegeben ist dann müssen beide melden.

Ja. Die Meldung knüpft an die Kenntnis des erheblichen Cybersicherheitsvorfalls an. Dem CSIRT ist unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Cybersicherheitsvorfall auf rechtswidrige und schuldhafte Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte, zu übermitteln (§ 34 Abs 2 Z 1 NISG 2026).

Prüfer

Der Fokus wird mit dem NISG 2026 auf den Prüfern (statt wie bisher mit dem NISG 2018 auf die qualifizierten Stellen/in Zukunft: unabhängigen Stellen) liegen.

Die Cybersicherheitsbehörde lässt Prüfer auf Antrag unter folgenden Voraussetzungen zu:

österreichisches Reifeprüfungszeugnis, ein österreichisches Diplomprüfungszeugnis, ein österreichisches Zeugnis über die Berufsreifeprüfung, ein aufgrund völkerrechtlicher Vereinbarung gleichwertiges Zeugnis oder einschlägige berufliche Qualifikation
facheinschlägige und durchgängige mindestens dreijährige Berufserfahrung im Ausmaß von zumindest zwanzig Wochenstunden im Bereich der Cybersicherheit, die durch Zeugnisse gemäß § 39 des Angestelltengesetzes, BGBl. Nr. 292/1921, oder in gleichwertiger Form nachzuweisen ist, und
Fachprüfung: Nachweis der Eignung zur Prüfung der Umsetzung der Risikomanagementmaßnahmen durch ausreichende theoretische Fachkenntnisse sowie praktische Fähigkeiten in organisatorischer und technischer Hinsicht

Bei Nichteinhaltung der Anforderungen droht ein Entzug der Zulassung.

Genauere Regelung werden in einer Verordnung festgelegt.

Für die Beratung von Unternehmen und Einrichtungen in Bezug auf die Umsetzung von Vorgaben gibt es aus dem NISG 2026 keine verpflichtende Vorgabe für eine Zertifizierung. Generell empfehlen wir sich bei Anfragen aufgrund der Komplexität der Vorgaben jedenfalls an Expert:innen zu wenden. Die FV UBIT Akademie incite bietet eine Personenzertifizierung zum Certified NIS Expert, sowie Aus- und Weiterbildungen zum NISG 2026 an.

Sie sind aktuell jedoch nicht zwingend erforderlich, um Kundenanfragen zum NISG 2026 zu bedienen.

Anders verhält es sich bei der Durchführung von Prüfungen durch unabhängige Stellen gemäß § 33 Abs. 2 NISG 2026. Die unabhängigen Prüfer sind von der Cybersicherheitsbehörde gemäß § 7 Abs. 2 unter bestimmten Voraussetzungen, die in einer Verordnung noch spezifiziert werden, zuzulassen. Für qualifizierte Stellen nach dem NISG 2018 gibt es Übergangsbestimmungen.

Durchführungsverordnung zur NIS-2 Richtlinie für digitale Infrastruktur

IT-Sicherheit

Cyber Resilience Act

Gesetzgebung

Wann tritt das NISG 2026 in Kraft?

Gibt es eine Übergangsfrist bzw. ab wann muss ich die Sicherheitsmaßnahmen umsetzen?

Was geschieht mit Empfehlungen gem. § 17 Abs. 5 NISG 2018 beim Außerkrafttreten des NISG 2018?

Wird die NIS-2-Richtlinie noch geändert?

Anwendungsbereich

Fällt mein Unternehmen unter das NISG 2026?

Was ist eine „Einrichtung“ im Sinne des NISG 2026?

Welche Einrichtungen unterliegen dem NISG 2026 in Österreich (örtlicher Anwendungsbereich)?

Wie erfolgt die Prüfung der Betroffenheit?

Größenberechnung

Wie wird die Mitarbeiterzahl berechnet?

Fallen Freelancer unter die bei der Größenberechnung maßgebliche Mitarbeiterzahl?

Auf welchen Zeitpunkt beziehen sich bei der Größenberechnung die Mitarbeiterzahl und der Jahresumsatz?

Was passiert, wenn die Schwellenwerte für die Größenberechnung in einem Jahr überschritten bzw. unterschritten werden?

Wie erfolgt die Größenberechnung bei neugegründeten Unternehmen?

Konzern

Wie erfolgt die Zurechnung im Konzern bzw. bei Beteiligungen?

Sind verbundene und Partnerunternehmen, die nicht in Österreich sind, bei der Größenberechnung miteinzubeziehen?

Gibt es im Anwendungsbereich Ausnahmen für Konzerne („Konzernprivileg“)?

Wie sind Mutter- und Tochterunternehmen bei der Berechnung der Schwellenwerte nach dem NISG 2026 zu berücksichtigen?

Wie sieht die Umsetzung, bzw. Berücksichtigung von 100%-Tochterunternehmen im Nicht-EU-Ausland aus?

Sektoren

Macht es einen Unterschied, ob die Tätigkeit als Haupt- oder Nebentätigkeit ausgeübt wird?

Ist es zulässig, wie in der deutschen NIS2-Umsetzung ausdrücklich vorgesehen ist, vernachlässigbare Tätigkeiten nicht zur Einschätzung der NIS2-Anwendbarkeit heranzuziehen?

Falle ich wegen meiner PV-Anlage auf dem Dach als Energieerzeuger unter das NISG 2026?

Fällt ein Unternehmen unter das NISG, wenn für Mitarbeiter und Kunden E-Ladestationen bereitgestellt werden? Was ist ein Betreiber von Ladepunkten?

Was ist ein Managed Service Provider?

Ist für die Einordnung als Managed Service Provider (MSP) entscheidend, ob die Leistung selbst erbracht wird oder vollständig an Subunternehmer ausgelagert ist?

Fällt unser Unternehmen unter den Sektor „Verwaltung von IKT-Diensten“, wenn wir PCs und Server verkaufen und lediglich das Betriebssystem installieren?

Sind eigenständig angebotene SaaS-Dienste als Cloud-Computing-Dienste im Sinne des NISG 2026 einzuordnen, wenn sie auf der Infrastruktur externer Cloud-Anbieter betrieben werden und der SaaS-Anbieter die Rechenressourcen nicht selbst betreibt?

Können konzerninterne IT-Dienstleister als MSP unter das NISG 2026 fallen?

Welche DNS-Diensteanbieter sind vom NISG 2026 erfasst?

Fallen auch Klein- und Kleinst-DNS-Diensteanbieter unter das NISG 2026 und müssen sich diese registrieren?

Was sind Cloud-Computing-Dienste?

Müssen sich Banken oder Versicherungen oder sonstige durch DORA regulierte Einrichtung nach dem NISG 2026 registrieren?

Fällt ein Lebensmittelhändler unter das NISG 2026?

Was gilt für Pflegeheime?

Welche Rolle spielen NACE-Codes bei der Prüfung des Anwendungsbereiches des NISG 2026?

Was ist der Unterschied zwischen NACE-Code und ÖNACE und wie werden diese bestimmt?

Fallen Gemeinden auch unter das NISG 2026?

Geschäftsleitung

Wer ist Leitungsorgan und damit verantwortlich für die Umsetzung des NISG 2026?

Ist der gewerberechtliche Geschäftsführer Leitungsorgan im Sinne des NISG 2026?

Wie ist ein Leitungsorgan im Kontext der öffentlichen Verwaltung zu verstehen?

Was sind die Aufgaben der Leitungsorgane?

Im NISG 2026 steht, dass Schulungen für den Geschäftsführer verpflichtend sind. Welche Schulungen betrifft das? Müssen diese wiederholt werden?

Reicht es bei mehreren Geschäftsführer:innen, wenn sich von diesen nur eine Person schulen lässt?

Wie soll die Schulung der Leitungsorgane erfolgen?

Ist die Geschäftsleitung persönlich verantwortlich, wenn das NISG 2026 nicht eingehalten wird, zB Cybersicherheitsmaßnahmen nicht oder nicht ausreichend umgesetzt werden?

Registrierung

Wen trifft die Registrierungspflicht?

Wie erfolgt die Registrierung?

Was ist unter IP-Adressbereichen im Rahmen der Registrierungspflicht zu verstehen?

Gibt es eine konzernweite Registrierung oder muss sich jede Gesellschaft extra registrieren?

Müssen sich kritische Einrichtungen nach dem RKE-Gesetz auch nach dem NISG 2026 registrieren?

Müssen sich IKT-Drittdienstleister, die DORA unterliegen, nach dem NISG 2026 registrieren?

Was passiert, wenn der Registrierungspflicht nicht nachgekommen wird?

Maßnahmen

Welche Pflichten treffen wesentliche und wichtige Einrichtungen?

Welche Risikomanagementmaßnahmen müssen Einrichtungen umsetzen?

Bezieht sich die geforderte Risikoanalyse auf die gesamte Einrichtung oder auf den jeweils zu einer Einstufung als wesentlich/wichtig führenden erbrachten Dienst?

Wenn ein Unternehmen Rechenzentrumsbetreiber ist, reicht es die Maßnahmen auf die Rechenzentrumsdienste zu beschränken, während man kundenbezogene Services auf App-ebene ausnehmen kann?

Unsere IT ist vollständig an einen externen Dienstleister ausgelagert. Müssen wir noch etwas beachten?

Welche Anforderungen gelten für Schulungen und Sensibilisierungsmaßnahmen zur Cybersicherheit für Mitarbeitende?

Wie kann eine Einrichtung dokumentieren, dass sie die geforderten Maßnahmen umsetzt?

Ist eine ISO 27001 Zertifizierung ausreichend um die Anforderungen des NISG 2026 zu erfüllen?

Gibt es ein Mapping von ISO 27001 und NIS2 um zu wissen, was man für NIS2 noch machen muss, wenn man bereits die ISO27001 Zertifizierung besitzt?

Lieferkette

Sind alle Lieferanten oder nur IT-Lieferanten und Applikationen umfasst?

Was umfasst die Sicherheit der Lieferkette?

Welche vertraglichen Verpflichtungen werden mit den Lieferanten ausformuliert?

Wie kann ich Kunden gegenüber darlegen, dass mein Unternehmen NIS-2-compliant ist?

Ist eine IS0 27001 Zertifizierung des Dienstleisters ausreichend für den Nachweis zur Sicherheit der Lieferkette?

Nachweise

Was ist die sogenannte Selbstdeklaration?

Kann eine Zertifizierung nach der ISO 27001 eine Prüfung durch eine unabhängige Stelle ersetzen?

Wenn Organisationen ISO 27001 geprüft sind, wie muss das Scoping sein, damit es von der Behörde anerkannt wird?

Meldungen

Was ist ein meldepflichtiger erheblicher Cybersicherheitsvorfall?