NISG 2026 beschlossen: Unternehmen müssen handeln

Der Nationalrat hat das Netz- und Informationssystemsicherheitsgesetz (NISG 2026) verabschiedet, mit dem die EU-weit geltende NIS-2-Richtlinie in österreichisches Recht überführt wird. Dieser Schritt bringt für Unternehmen aus kritischen Sektoren wie Energie, Gesundheitswesen und verarbeitendem Gewerbe eine neue Phase der Cybersicherheits-Pflichten: Ab dem Inkrafttreten müssen Betriebe nicht nur technische und organisatorische Sicherheitsmaßnahmen umsetzen, sondern auch Sicherheitsvorfälle melden und ihre Lieferkettenrisiken stärker berücksichtigen.

Für Unternehmer bedeutet das: Jetzt beginnt die komplexe Vorbereitungsphase. Unternehmen sollten prüfen, ob sie unter die neuen Vorgaben fallen und entsprechende Risikomanagement- und Meldeprozesse etablieren, noch bevor die gesetzlichen Fristen greifen. Entscheidend sind dabei klare Zuständigkeiten im Betrieb, dokumentierte Sicherheitsstandards und ein frühzeitiger Dialog mit der zuständigen Cybersicherheitsbehörde, um spätere Nachforderungen und mögliche Strafen zu vermeiden.

Die Wirtschaftskammer betont, dass die Umsetzung praxisnah und im Beratungsmodus erfolgen muss, damit besonders kleinere und mittlere Unternehmen nicht überfordert werden. Gleichzeitig fordert sie auf EU-Ebene eine spätere Evaluierung der Regelungen, um sicherzustellen, dass sie den tatsächlichen betrieblichen Anforderungen entsprechen.

Für Unternehmen heißt das: Zeitnah interne Strukturen anpassen, Verantwortliche benennen und Abläufe zur Gefährdungsbeurteilung und Vorfallmeldung einführen. Wer diese Schritte frühzeitig plant, stärkt nicht nur die eigene Cyber-Resilienz, sondern kann auch Reputations- und Haftungsrisiken reduzieren.