Cybersicherheits-Richtlinie NIS 2 und NISG 2026
Neue Regelungen für mehr Cybersicherheit in der EU
Lesedauer: 12 Minuten
Aktuelles
- Webinar NISG 2026 und NIS-2 am 30.1.2026
- NISG 2026 im Bundesgesetzblatt veröffentlicht
- Workshop Cybersicherheits-Richtlinie NIS-2 für Führungskräfte am 22.01.
- Workshop Cybersicherheits-Richtlinie NIS-2 ab 23.2.
- Deutschland: NIS-2-Umsetzungsgesetz in Kraft
- Workshop NISG 2026 und NIS-2-Richtlinie ab 23.2. (online)
- Bundestag beschließt NIS-2-Umsetzungsgesetz in Deutschland
- Empfehlungen NIS-2-Geschäftsleitungsschulung in Deutschland (BSI)
- DORA - Cybersicherheit im Finanzsektor: Zusatzvereinbarung und Fragebogen IKT-Drittdienstleister
- NIS-Experts finden
- ENISA Threat Landscape 2025
- Akkreditierung NIS Expert
- Leitlinie Durchführungsverordnung für die Digitale Infrastruktur
Mit dem NISG 2026 werden ab 1. Oktober 2026 für rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten gesellschaftlich relevanten Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen gelten. Dabei ist auch die Sicherheit der Lieferkette zu gewährleisten, sodass in Folge auch Dienstleister und Lieferanten betroffener Einrichtungen vertraglich zu Risikomanagementmaßnahmen verpflichtet werden. Das Gesetz dient der Umsetzung der NIS-2-Richtlinie und wird 9 Monate nach Kundmachung im Bundesgesetzblatt mit dem nächstfolgenden Monatsersten, somit am 1. Oktober 2026 in Kraft treten. Bis zu diesem Zeitpunkt gilt das NISG 2018.
Betroffene Unternehmen sollten daher im eigenen Interesse die Umsetzung im Betrieb forcieren. Cybersicherheitsvorfälle zählen zu den größten Risiken für Unternehmen. Auch unabhängig von gesetzlichen Vorgaben wie NIS-2 oder der Datenschutzgrundverordnung empfehlen wir deshalb Unternehmen jeder Größe und Branche Cybersicherheit im Unternehmen ernst zu nehmen.
Allgemeines
Wozu NIS2?
Produktion international und NIS2: Rosenbauer
Was bedeutet NIS?
NIS steht für die Sicherheit der Netz- und Informationssysteme. Derzeit gilt noch das NIS-Gesetz 2018 und die zugehörigen Verordnungen. Die derzeit geltenden Regelungen betreffen rund 100 Unternehmen in Österreich, das sind vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste).
Mit dem kommenden NISG 2026 wird der Anwendungsbereich auf mehrere tausend Unternehmen ausgeweitet und die Verpflichtungen erweitert.
Inbesondere wird der Anwendungsbereich auf das gesamte Unternehmen statt wie bisher auf die wesentlichen Dienste ausgeweitet.
Ab wann gelten die neuen Regelungen für Unternehmen?
Das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) wurde am 23.12.2025 im Bundesgesetzblatt veröffentlicht und tritt 9 Monate nach Kundmachung im Bundesgesetzblatt mit dem nächstfolgenden Monatsersten, somit ab 1. Oktober 2026 in Kraft. Ab diesem Zeitpunkt gelten die Vorgaben für betroffene Unternehmen, z.B. müssen ab dann erhebliche Cybersicherheitsvorfälle gemeldet werden.
Wesentliche und wichtige Einrichtungen müssen sich bis 31.12.2026 registrieren (in welcher Form die Registrierung zu erfolgen hat wird noch mittels Verordnung festgelegt).
Fristen für wesentliche und wichtige Einrichtungen:
| 01.10.2026: | Inkrafttreten NISG 2026; NISG 2018 tritt zeitgleich außer Kraft |
| 01.01.2027: | Registrierung muss erfolgt sein |
| 01.10.2027: | Selbstdeklaration muss erfolgt sein |
| 01.10.2028: | Cybersicherheitsbehörde kann Einrichtungen zur Prüfung auffordern |
| 30.11.2028: | frühester Zeitpunkt zu dem wesentliche Einrichtung nach Aufforderung operative und organisatorische Umsetzung der Risikomanagementmaßnahmen nachzuweisen hat |
| 30.09.2030: | frühester Zeitpunkt zu dem wesentliche oder wichtige Einrichtung Prüfbericht durch unabhängige Stelle nachzuweisen hat; jeweils nur nach Aufforderung; wichtige Einrichtungen nur bei begründeten Hinweisen |
Was ist das Ziel von NIS2?
Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern.
Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.
Betroffene Einrichtungen müssen daher geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten.
Welchen Beitrag kann NIS2 für die Cybersicherheit leisten?
Gesundheitsbereich und Cybersicherheit: Therme Bad Waltersdorf
IT-Dienstleistung und NIS2: more.Software
Robotik und NIS2: MIMM
Telekom und NIS2: A1
Technologie und Maschinenbau und NIS2: Palfinger
Lebensmittelproduktion und NIS2: Salzburg Milch
Wer ist betroffen?
Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:
| Sektoren mit hoher Kritikalität: | Sonstige kritische Sektoren: |
|---|---|
|
» „Sektoren mit hoher Kritikalität“ laut Begutachtungsentwurf zum NISG 2024 (vorbehaltlich Gesetz)
» „Sonstige kritische Sektoren“ laut Begutachtungsentwurf zum NISG 2024 (vorbehaltlich Gesetz)
*) Im Finanzsektor hat die Verordnung (EU) 2022/2554, kurz „DORA“ (Digital Operational Resilience Act) Vorrang vor NIS2 (weitere Infos)
**) Infos zur ÖNACE Klassifikation
Ab wann gilt ein Unternehmen als groß oder mittel?
Die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder als „großes Unternehmen“ richtet sich nach der Anzahl der Mitarbeiter, dem Jahresumsatz und der Jahresbilanzsumme.
Großes Unternehmen
Eine Einrichtung gilt als „großes Unternehmen“, wenn sie zumindest 250 Mitarbeiter beschäftigt oder wenn sie einen Jahresumsatz von über 50 Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über 43 Millionen Euro beläuft.
Mittleres Unternehmen
Eine Einrichtung gilt als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeiter beschäftigt, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über zehn Millionen Euro beläuft, sofern sie nicht bereits als großes Unternehmen gilt.
Bei Unternehmen mit einer komplexeren Struktur (z.B. Tochtergesellschaft im Konzern) ist eine Einzelfallprüfung erforderlich. Für die Beurteilung wird neben der Unternehmensgröße (d.h. Mitarbeiterzahl und Umsatz- bzw. Bilanzzahl) berücksichtigt, ob es sich um ein eigenständiges Unternehmen, Partnerunternehmen (Beteilungen an anderen Unternehmen ab 25 % bis 50 %) oder verbundenes Unternehmen (Beteiligungen an anderen Unternehmen über 50 %) handelt.
Die Richtlinie und das NISG 2026 verweisen bei der Einstufung auf die Empfehlung der Kommission zur Definition von KMU. Beispiele dazu finden Sie im zugehörigen Benutzerleitfaden.
Sind auch kleine Unternehmen betroffen?
Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS2.
Dabei gibt es jedoch Ausnahmen − folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:
- Vertrauensdiensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
- TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
- Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten. Unter Basismaßnahmen für Informationssicherheit im Unternehmen finden Sie eine Hilfestellung und Musterdokumente zu wichtigen Sicherheitsmaßnahmen, die bereits einen Großteil der Cyberangriffe abwehren können.
Was sind wesentliche Einrichtungen und was sind wichtige Einrichtungen?
Als wesentliche Einrichtungen gelten große Unternehmen aus den Sektoren
- Energie
- Verkehr
- Bankwesen
- Finanzmarkt
- Gesundheit
- Trinkwasser
- Abwasser
- Verwaltung von IKT-Diensten
- Weltraum
(Sektoren mit hoher Kritikalität laut Anhang I).
Mittlere Unternehmen dieser Sektoren gelten als wichtige Einrichtungen.
Ebenso gelten große und mittlere Unternehmen aus den Sektoren
- Post und Kurier
- Abfall
- Chemie
- Lebensmittel
- Produktion
- Digitale Dienste
- Forschung
(„sonstige kritische Sektoren“ laut Anhang II) als wichtige Einrichtungen.
Kleinunternehmen sind grundsätzlich nicht im direkten Anwendungsbereich (können aber über die Lieferkette betroffen sein).
Was sind die Unterschiede, ob ein Unternehmen als wesentlich oder wichtig gilt?
Ob man als Unternehmen eine wesentliche oder eine wichtige Einrichtung im Sinne der Richtlinie ist, macht bei der Umsetzung der geforderten Sicherheitsmaßnahmen (siehe unten) keinen Unterschied.
Es gibt jedoch Unterschiede bei der Aufsicht und den Sanktionen:
| Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|
|
|
Was gilt für die „Digitale Infrastruktur“?
Für den Sektor „Digitale Infrastruktur“ (laut Anhang I der Richtlinie) gibt es Ausnahmeregelungen für den Anwendungsbereich und die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen:
Sektor | Art der Einrichtung | groß | mittel | klein |
|---|---|---|---|---|
Digitale Infrastruktur | TLD-Namenregister qualifizierte Vertrauensdiensteanbieter | wesentlich | ||
DNS Diensteanbieter | ||||
Anbieter öffentlicher elektronischer Kommunikationsnetze oder elektronischer Kommunikationsdienste |
| wichtig | ||
| Vertrauensdiensteanbieter | wesentlich | wichtig | ||
Betreiber von Internet-Knoten | wesentlich | wichtig | ||
Anbieter von Cloud-Computing-Diensten | ||||
Anbieter von Rechenzentrumsdiensten | ||||
Betreiber von Content Delivery Networks (CDN) | ||||
| Verwaltung von IKT-Diensten | wesentlich | wichtig | ||
Für die Risikomanagementmaßnahmen und Meldepflichten (wann ein Sicherheitsvorfall als erheblich gilt) gibt es einen EU-weit geltenden Durchführungsrechtsakt der Europäischen Kommission für die digitale Infrastruktur und Anbieter digitaler Dienste.
NIS-2 - Pflichten im Unternehmen
Was gibt das kommende NISG 2026 voraussichtlich für Unternehmen vor?
Registrierungspflicht
Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkrafttreten des NISG 2026, somit bis 31.12.2026 registrieren. (In welcher Form die Registrierung zu erfolgen hat wird noch mittels Verordnung festgelegt).
Selbstdeklaration
Binnen 12 Monaten nach Eintritt der Registrierungspflicht, somit bis 30.09.2027 ist eine Information hinsichtlich der umgesetzten Risikomanagementmaßnahmen an die Cybersicherheitsbehörde zu übermitteln (Selbstdeklaration).
Prüfungen auf Aufforderung der Cybersicherheitsbehörde
Die Cybersicherheitsbehörde kann wesentliche und wichtige Einrichtungen auffordern die Umsetzung der Risikomanagementmaßnahmen durch eine Prüfung durch eine unabhängige Stelle nachzuweisen. Frühester Zeitpunkt der Aufforderung ist der 01.10.2028 (siehe oben „Fristen“).
Risikomanagementmaßnahmen und Berichtspflichten
Ab 01.10.2026 sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten.
Verantwortlich dafür sind die Leitungsorgane (Geschäftsführer:in bei GmbH, Vorstand bei Aktiengesellschaft).
Welche Risikomanagementmaßnahmen sind zu treffen?
a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme inklusive Rollen, Verantwortlichkeiten und Weisungsbefugnisse
b) Bewältigung von Cybersicherheitsvorfällen
c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
d) Sicherheit der Lieferkette der unmittelbaren Anbietern oder Diensteanbieter
e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Dabei zu berücksichtigen sind:
- der Stand der Technik
- europäische und internationalen Normen
- Kosten der Umsetzung
- bestehendes Risiko
Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Hilfreich zu Risikomanagement, Business Impact Analyse und Notfallmanagement ist der Online-Kurs Notfallmanagement des deutschen Bundesamtes für Informationssicherheit.
Für digitale Sektoren (u.a. Anbieter von Cloud-Computing-Diensten, Rechenzentrumsdiensten oder Online-Marktplätzen sowie Managed Services Provider) gibt es eine EU-Durchführungsverordnung der Europäischen Kommission, sowie zugehörige Leitlinien . Diese regeln die erforderlichen Risikomanagementmaßnahmen („technische und methodische Anforderungen; siehe Anlage) für die betreffenden Sektoren. Die Durchführungsverordnung gilt für die genannten Branchen ab dem Inkrafttreten des NISG 2026.
Für alle anderen NIS-2-Sektoren (Energie, Gesundheit, verarbeitendes Gewerbe, etc.) wird es für die Risikomanagementmaßnahmen eine nationale Verordnung geben. Es ist aber damit zu rechnen, dass sich die nationale Verordnung stark an der EU-Durchführungsverordnung orientiert.
Wir empfehlen daher Einrichtungen aller Sektoren sich für die Umsetzung der Risikomanagementmaßnahmen derzeit (so lange es keine nationale Verordnung zu den Risikomanagementmaßnahmen gibt) an der Anlage der EU-Durchführungsverordnung und den zugehörigen Leitlinien zu orientieren.
NIS-2 – Was tun?
(Quelle: Information des deutschen Bundesamts für Sicherheit in der Informationstechnik/BSI)
- Benennen Sie zuständige Personen
- Übernehmen Sie als Leitung die Verantwortung
- Machen Sie eine (erste) Bestandsaufnahme Ihrer Informationssicherheit
- Verbessern Sie Ihre Informationssicherheit kontinuierlich
- Bereiten Sie sich auf die Meldepflicht und den Empfang von Warnungen und Lageberichten vor
» Weitere Informationen (bsi.bund.de)
Was bedeutet „Sicherheit der Lieferkette“?
Wesentliche und wichtige Einrichtungen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern beachten.
Sie müssen die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-)Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen.
Welche Berichtspflichten sind zu beachten?
Bei erheblichen Cybersicherheitsvorfällen gibt es ein dreistufiges Meldeverfahren an das zuständige CSIRT (Cybersecurity Incident Response Team).
Fristen
- Unverzüglich, innerhalb von 24 Stunden: Frühwarnung (ggf. Verdacht auf rechtswidrige und schuldhafte Handlung oder grenzüberschreitende Auswirkungen)
- Unverzüglich, jedenfalls innerhalb von 72 Stunden: Meldung (Schweregrad, Auswirkungen, ggf. Komprimittierungsindikatoren)
- Spätestens einen Monat nach Frühwarnung: Abschlussbericht (Beschreibung Vorfall, einschließlich Schweregrad und Auswirkungen, Art der Bedrohung, Ursachen, Abhilfemaßnahmen)
Auf Ersuchen des CSIRT oder der Behörde Zwischenberichte über Statusaktualisierungen
Data Breach
Sollte es im Zuge des Cybersicherheitsvorfalls auch zu einer Verletzung des Schutzes personenbezogener Daten (data breach) gekommen sein, sind zusätzlich die Melde- und Berichtspflichten nach DSGVO zu beachten.
Freiwillige Meldungen nach NIS
Weiters gibt es die Möglichkeit der freiwilligen Meldung von (Beinahe-)Cybersicherheitsvorfällen, und -bedrohungen an das CSIRT, das die Meldungen zusammenfasst und an die Cybersicherheitsbehörde weiterleitet.
Watchlist Internet
Melden Sie betrügerischen Nachrichten und Internetfallen auch an die Watchlist Internet. So können andere Unternehmen rechtzeitig gewarnt werden.
Was passiert, wenn Unternehmen die Regelungen nicht einhalten?
Das NISG 2026 sieht eine Reihe von Aufsichts- und Durchsetzungsmaßnahmen vor um die Einhaltung der Pflichten zu überprüfen und durchzusetzen. Dies beginnt bei der Anordnung von Umsetzungsmaßnahmen und kann im Extremfall bis zum Entzug von Genehmigungen zur Ausübung der Dienste bei wesentlichen Einrichtungen gehen.
Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen für besonders relevante Kernpflichten (wie zB Nichtumsetzung der Risikomanagementmaßnahmen wie Mitarbeiterschulungen oder Nichtumsetzung behördlicher Druchsetzungsmaßnahmen).
Für die Verletzung von organisatorischen Pflichten wie zB Verletzung Registrierungspflicht oder fehlende Übermittlung der Selbstdeklaration drohen Strafen bis zu EUR 50.000, im Wiederholungsfall bis zu EUR 100.000.
Verantwortung der Leitungsorgane
Die Leitungsorgane (Geschäftsführung bei GmbH, Vorstand bei Aktiengesellschaften) sind für die Einhaltung und Aufsicht der Risikomanagementmaßnahmen verantwortlich und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.
Umsetzung
- Phase 1 – Analyse & Grundsatzklärung
Nutzen Sie für die Betroffenheitsanalyse den kostenlosen Online-Ratgeber. - Phase 2 – Organisation & Verantwortung
- Phase 3 – Ist-Zustand & Risikobewertung
- Phase 4 – Ressourcen sichern & Umsetzung vorbereiten
- Phase 5 – Umsetzung Kernmaßnahmen
- Phase 6 – Verstetigung & kontinuierliche Verbesserung
Quelle und Details: #nis2know-Roadmap des deutschen Bundesamtes für Sicherheit in der Informationstechnik
Wo erhalten Unternehmen Unterstützung?
- Accredited NIS Experts finden (Expert:innen)
- Unternehmen mit Accredited NIS Experts finden (UBIT Firmen A-Z)
- Förderungen
- kmudigital.at
- www.it-safe.at - Informationen rund um das Thema Cybersicherheit im Unternehmen
Aus- und Weiterbildung
- Webinar NISG 2026 und NIS-2 am 30.1.2026
- Weiterbildungsangebote zu NIS-2, Cyber Resilience Act und DORA
- Akkreditierung NIS Expert
Sie sind Berater:in?
Nutzen Sie die Weiterbildungsangebote der FV UBIT Akademie incite. Mit der Akkreditierung zum NIS Expert sind Sie und Ihr Unternehmen im UBIT Firmen A-Z und im Expert:innen-Verzeichnis für potenzielle Kunden sichtbar.
Links:
- Weiterbildungsangebote zum NISG 2026, CRA und Co
- Wie unterstützt die WKO?
- Online-Ratgeber zum NISG 2026
Rechtliches
- NISG 2026
- NIS2-Richtlinie
- NIS2 Directive – FAQs (englisch)
- Durchführungsverordnung für die digitale Infrastruktur und zugehörige Leitlinien
- Wie unterstützt die WKO?
- Empfehlung der EK betreffend Definition von KMU
- Benutzerleitfaden zur Definition von KMU
- NIS-2 Tracker in den EU-Mitgliedstaaten
Überblick über die Umsetzung der Richtlinie - NIS-Behördenseite: FAQs