Zum Inhalt springen
3D Illustration von einem geschlossenen Vorhangschloss vor einem geöffneten Laptop platziert, ringsum visuell die technischen Netzwerkfäden
© Hein | stock.adobe.com
Lebensmittelhandel, Landesgremium

Cybersicherheits-Richtlinie¬¬ NIS 2 und NISG 2026

Betroffenheit im Lebensmittelhandel

Lesedauer: 1 Minute

16.12.2025

Das NISG 2026 wurde im Nationalrat beschlossen wurde. Dieses Gesetz soll mit einer Übergangsfrist von 9 Monaten nach Kundmachung in Kraft treten. Vorab möchten wir Ihnen nachstehende Informationen bereitstellen: 

  • Mit dem NISG 2026 wird das Bundesamt für Cybersicherheit als zentrale dem Bundesminister für Inneres unmittelbar nachgeordnete Behörde eingerichtet.
  • Einrichtungen aus kritischen Sektoren ab mittlerer Größe müssen mit dem NISG 2026 verpflichtend Risikomanagementmaßnahmen wie Backupmanagement, Mitarbeiterschulungen und Notfallmanagement vorsehen.
  • Dabei sind auch direkte Dienstleister und Lieferanten zu berücksichtigen.
  • Verantwortlich dafür ist die Geschäftsleitung, die auch Schulungen absolvieren muss.
  • Erhebliche Cybersicherheitsvorfälle müssen unverzüglich, längstens binnen 24 Stunden gemeldet werden.  

Zeitplan: 

  • Registrierungspflicht für wesentliche und wichtige Einrichtungen: 3 Monate ab Inkrafttreten NISG 2026
  • Pflicht zur Selbstdeklaration (ohne Aufforderung durch Behörde): 12 Monate ab Inkrafttreten 

Betroffenheit Lebensmittelhandel: 

Der Sektor Lebensmittel findet sich in der Anlage 2 unter Ziffer 4. Demnach fallen Lebensmittelunternehmen, die im Großhandel und in der industriellen Produktion und Verarbeitung tätig sind, unter das NIS-2-Gesetz. Aus den Erläuterungen ergibt sich eindeutig, dass diese Tätigkeiten kumulativ vorliegen müssen (vgl. Erläut S. 53). Somit gilt: 

  • NIS-2 unterliegen nur mittlere und große Unternehmen (dh ab 50 MA oder Jahresumsatz über 10 Mio Euro und Jahresbilanzsumme über 10 Mio Euro, wenn man nicht ohnehin schon ein großes Unternehmen ist; Näheres zu den Unternehmensgrößen finden Sie hier)
  • Lebensmitteleinzelhandel an sich unterliegt nicht diesem Gesetz
  • Lebensmittelgroßhandel ist nur dann betroffen, wenn er auch gleichzeitig industriell produziert und verarbeitet
  • Unternehmen die per Bescheid als kritische Einrichtung iSd RKE-G eingestuft wurden, unterliegen unternehmensgrößenunabhängig den Verpflichtungen aus dem NIS-2-G 

Wir empfehlen eine unternehmensinterne Überprüfung, ob man eventuell über andere Sektoren in den Anwendungsbereich des Gesetzes fällt (Sektoren finden sich in den Anlagen 1 und 2).  

Weitere Klarstellungen

  • Online-Shops gelten nicht als Online-Marktplatz und sind daher nicht von NIS-2 betroffen 
  • „Photovoltaikanlagen-Problem“: Einspeisen von überschüssiger Energie in das öffentliche Netz bewirkt nicht, dass man in den Sektor „Elektrizitätsunternehmen" fällt, wenn die elektrische Energie primär für den Eigenbedarf und somit ohne Gewinnerzielungsabsicht erzeugt wird (vgl. Erläut S. 51) 

Weiterführende Links: 

Infos zu NIS-2: https://wko.at/nis

Text NISG 2026 siehe Regierungsvorlage und Abänderungsantrag

Schulungen und Workshops zu NIS-2, CRA und Co: UBIT-Akademie incite | Cybersicherheit

Weitere interessante Artikel