Recht | Steuern | Finanzen
Lesedauer: 4 Minuten
Webinar: Cybersicherheitsgesetz NISG 2026 veröffentlicht - am 30.1.26 zu Pflichten ab 1.10.26
Am 23.12.2025 ist das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz) im Bundesgesetzblatt veröffentlicht worden. Ziel ist die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors zu verbessern, das NISG 2026 setzt die NIS-2-Richtlinie um.
Betroffen sind rund 4.000 Unternehmen und Einrichtungen aus gesellschaftlich relevanten Sektoren (Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe, etc.) und über die Lieferkettenvorgaben zusätzlich deren Dienstleister und Lieferanten. Bei der Ermittlung der Betroffenheit hilft der wko.at Online-Ratgeber - Cybersicherheitsrichtlinie - NIS2.
Die Unternehmen müssen ab 1. Oktober strenge Vorgaben für Cybersicherheit und Meldepflichten bei erheblichen Cybersicherheitsvorfällen einhalten.
Mit dem NISG 2026 gibt es nun Klarheit bezüglich der Fristen für wesentliche und wichtige Einrichtungen:
Inkrafttreten NISG 2026 am 01.10.2026:
Damit müssen Risikomanagementmaßnahmen umgesetzt sein, Meldepflichten gelten, Leitungsorgane müssen geschult sein.
Das bisherige NISG 2018 tritt zeitgleich außer Kraft.
Registrierpflicht bis 31.12.2026:
Wesentliche und wichtige Einrichtungen haben 3 Monate ab Inkrafttreten des NISG 2026 Zeit sich zu registrieren (Verordnung mit Details ist noch offen).
Übermittlung der Selbstdeklaration bis 30.09.2027.
Wesentliche und wichtige Einrichtungen müssen innerhalb von 12 Monaten ab Inkrafttreten des NISG 2026 Zeit Informationen hinsichtlich umgesetzter Risikomanagementmaßnahmen an das Bundesamt für Cybersicherheit übermitteln.
Was bedeutet das NISG 2026 nun in der Praxis?
Wir laden dazu zu einem Webinar am 30. Jänner 2026, 10.00-11.15 Uhr ein:
Cybersicherheit - NISG 2026 und NIS-2 kompakt - WKO
Infos zum NISG 2026:
Infos auf https://wko.at/nis
Weiterbildung:
Workshops der FV UBIT Akademie incite zu NIS-2: UBIT-Akademie incite | Cybersicherheit
Fristen für wesentliche und wichtige Einrichtungen:
01.10.2026: Inkrafttreten NISG 2026; NISG 2018 tritt zeitgleich außer Kraft
Bestimmungen zu den Risikomanagementmaßnahmen inklusive Sicherheit der Lieferkette und Meldepflichten gelten
Aufsicht- und Durchsetzungsmaßnahmen der Behörde sind möglich.
01.01.2027: Registrierung muss erfolgt sein
01.10.2027: Selbstdeklaration muss erfolgt sein
01.10.2028: Cybersicherheitsbehörde kann Einrichtungen zur Prüfung auffordern
30.11.2028: frühester Zeitpunkt zu die wesentlichen Einrichtungen nach Aufforderung operative und organisatorische Umsetzung der Risikomanagementmaßnahmen nachzuweisen hat
30.09.2030: frühester Zeitpunkt zu dem wesentliche oder wichtige Einrichtung Prüfbericht durch unabhängige Stelle nachzuweisen hat;
jeweils nur nach Aufforderung; wichtige Einrichtungen nur bei begründeten Hinweisen
Wer ist betroffen?
Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:
Sektoren mit hoher Kritikalität: Sonstige kritische Sektoren:
- Energie
- Verkehr
- Bankwesen (Info hier)
- Finanzmarktinfrastrukturen (Info hier)
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten B2B
- öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie
- Lebensmittel
- verarbeitendes/herstellendes Gewerbe (Info hier)
- Anbieter digitaler Dienste
- Forschung (fakultativ)
Achtung!
Bei Unternehmen mit einer komplexeren Struktur (z.B. Tochtergesellschaft im Konzern) ist eine Einzelfallprüfung erforderlich. Für die Beurteilung wird neben der Unternehmensgröße (d.h. Mitarbeiterzahl und Umsatz- bzw. Bilanzzahl) berücksichtigt, ob es sich um ein eigenständiges Unternehmen, Partnerunternehmen (Beteilungen an anderen Unternehmen ab 25 % bis 50 %) oder verbundenes Unternehmen (Beteiligungen an anderen Unternehmen über 50 %) handelt.
Update zur EU-Taxonomie + FAQ zur Anwendung
"In Die Europäische Kommission hat Änderungen zur EU-Taxonomie in Form eines delegierten Rechtsakts zur Änderung des delegierten Taxonomie-Rechtsakts über die Offenlegungspflichten und der delegierten Rechtsakte zur Klimataxonomie und zur Umwelttaxonomie angenommen. Rat und Parlament haben keinen Einwand erhoben. Das bedeutet, dass der delegierte Rechtsakt formell angenommen ist und im EU-Amtsblatt veröffentlicht wird. Seit 1.Jänner 2026 ist er gültig und somit anzuwenden.
Neue FAQ zur Berichterstattung über taxonomiefähige oder -konforme Aktivitäten
Ergänzend dazu hat die Europäische Kommission einen Entwurf für einen Leitfaden in Form von FAQ veröffentlicht. Dieser Leitfaden soll bei der Vorbereitung auf die neuen Vorschriften der EU-Taxonomie (gültig ab Jänner 2026) und die Anwendung der Offenlegungsanforderungen gemäß Artikel 8 helfen. Damit wird einer WKÖ-Förderung nachgekommen.
Im Fokus stehen u.a. folgende Punkte:
- Allgemeine Fragen zur zeitlichen Anwendung der überarbeiteten Vorgaben (iZm Omnibus I) à Übergangsregelungen
- Wie ist mit der neuen Wesentlichkeitsschwelle umzugehen?
- Fragen iZm der Offenlegung von Finanzunternehmen gegenüber Zweckgesellschaften
Die FAQ sollen eine praktische Orientierungshilfe zur Umsetzung und rechtlichen Auslegung der überarbeiteten Offenlegungsvorschriften sein sowie für Klarheit und Einheitlichkeit bei der Berichterstattung sorgen. Sie sollen bei der ersten jährlichen Taxonomie Berichterstattung nach den überarbeiteten Vorschriften helfen, die 2026 für das Geschäftsjahr 2025 vorzunehmen ist.
Die formelle Verabschiedung der FAQ in allen EU-Sprachen wird nach der Veröffentlichung des Omnibus I-Delegierten Rechtsakts im EU-Amtsblatt im ersten Quartal 2026 erwartet.
Angepasster Anwendungsbereich
Die Änderung des Anwendungsbereichs erfolgt iZm den Anpassungen der Corporate Sustainability Reporting Directive (CSRD). Dazu konnte auch im Dezember eine politische Einigung erzielt werden. Die Grenzwerte für Unternehmen, die Nachhaltigkeitsberichtspflichten und somit auch die Taxonomie direkt betreffen, wurden angehoben. Konkret wurden sie auf über 1000 Mitarbeitende und mehr als 450 Millionen Euro Jahresumsatz fixiert.