Das NISG 2026 richtet sich an den systemrelevanten industriellen und digitalen Mittelbau – wo Abhängigkeiten bestehen, aber bislang kaum systematisch betrachtet wurden. | © Pixabay
Mehr als 1.300 Geschäftsführer:innen loggen sich ein. Kein Hacker-Kongress, keine IT-Fachtagung, sondern ein Webinar der Wirtschaftskammer Österreich, Sparte Information & Consulting. Thema: das neue Netz- und Informationssystemsicherheitsgesetz, kurz NISG 2026.
„Damit haben wir nicht gerechnet“, sagt Markus Roth, Obmann der Bundessparte Information und Consulting der Wirtschaftskammer. Die Zahl habe selbst ihn überrascht. Denn das Gesetz wird in Österreich rund 4.000 Unternehmen betreffen. Dass sich bereits Anfang des Jahres rund ein Drittel der Manager:innen zu einer einzigen Online-Veranstaltung anmeldet, ist ein deutliches Signal. Cybersecurity ist damit dort angekommen, wo sie lange nicht war: ganz oben auf der Agenda der Geschäftsführungen. Und sie wird nicht mehr als reine IT-Frage wahrgenommen, sondern als Thema von Risiko, Verantwortung– und Führung.
Strukturierte Risikoanalyse fehlt oft
Was das praktisch bedeutet, erläutert Verena Becker, Cybersecurity-Spezialistin mit langjähriger Beratungserfahrung, gleich zu Beginn des Webinars. „Viele Unternehmen sagen: Unsere IT ist gut aufgestellt. Was aber oft fehlt, ist eine strukturierte Risikoanalyse für das gesamte Unternehmen.“ Genau darauf zielt das Gesetz ab. Risiken sollen nicht länger isoliert technisch betrachtet werden, sondern im betrieblichen Zusammenhang. Oder anders gesagt: Nicht die IT-Abteilung, sondern die Geschäftsführung trägt künftig die Verantwortung.
Das neue Informationssicherheitsgesetz schließt damit eine Lücke zwischen Klein und Groß. Kritische Großinfrastrukturen unterliegen bereits eigenen europäischen Vorgaben, etwa der Critical Entities Resilience Directive (CER). Der Finanzsektor wird durch den Digital Operational Resilience Act (DORA) reguliert.
Das NISG 2026 richtet sich auf den Bereich dazwischen: den systemrelevanten industriellen und digitalen Mittelbau – dort, wo Abhängigkeiten bestehen, aber bislang kaum systematisch betrachtet wurden. Dass diese Perspektive notwendig ist, zeigen zahlreiche anonymisierte Fallstudien, etwa von der Europäischen Agentur für Cybersicherheit (ENISA) und der OECD. In industriellen Betrieben sind technische Schwachstellen intern oft bekannt – etwa alte Fernzugänge oder Sonderlösungen aus früheren Wartungsphasen. Die IT-Abteilung kennt diese Punkte, misst ihnen aber häufig keine hohe Priorität mehr bei. Der Geschäftsführung sind sie hingegen oft unbekannt. Solange nichts passiert, scheint alles stabil. Das Risiko aber bleibt. Gescheitert ist dann nicht die Technik, sondern die fehlende ganzheitliche Risikobetrachtung.
Der Angriff auf SolarWinds
Besonders deutlich wird die neue Logik beim Blick auf Lieferketten. Der bekannteste Fall ist der Angriff auf SolarWinds, einen US-amerikanischen Anbieter von IT-Management-Software. Über Monate hinweg wurde dessen zentrale Überwachungsplattform manipuliert. Rund 13.000 Kunden installierten ein kompromittiertes Update. Ziel war keine unmittelbare Sabotage, sondern langfristiger strategischer Datenzugriff. Der Fall machte sichtbar, wie anfällig digitale Abhängigkeiten sind – selbst bei gut abgesicherten Organisationen. Genau deshalb verlangt das neue Gesetz, Risiken entlang der gesamten Lieferkette systematisch zu erfassen.
Andere Fallvignetten wirken auf den ersten Blick unspektakulärer, sind wirtschaftlich aber oft gravierender. In mehreren von OECD und ENISA dokumentierten Fällen aus Industrie- und Gesundheitsbetrieben war es nicht ein spektakulärer Angriff, sondern eine vorsorgliche Abschaltung, die den größten Schaden verursachte. Schadsoftware wurde entdeckt, Systeme korrekt isoliert, Daten blieben unversehrt. Doch der Betrieb kam zum Stillstand. Termine konnten nicht aufgerufen, Maschinen nicht gesteuert, Aufträge nicht abgearbeitet werden. Stundenlang war unklar, wer entscheiden darf, welche Systeme wieder hochgefahren werden können, wer Kunden informiert – und ob der Vorfall bereits meldepflichtig ist. Die Technik war vorbereitet, die Organisation nicht.
Frage von Organisation und Verantwortung
Genau hier setzt das NISG 2026 an. Risikoanalyse ist nicht mehr an die IT-Abteilung delegierbar. Es geht um Abläufe, Entscheidungswege und Zuständigkeiten – und damit um Geschäftsführung. Cybersecurity wird zur Frage von Organisation und Verantwortung, nicht von Software.
Regularien für mehr Cybersicherheit gibt es schon lange. Dass aus der ersten europäischen Richtlinie zur Netz- und Informationssicherheit (NIS-1) eine deutlich schärfere NIS-2 wurde, ist Ausdruck einer veränderten geopolitischen Realität. Seit Mitte der 2010er-Jahre haben sich Cyberangriffe von punktuellen Störungen zu strategischen Instrumenten entwickelt. Eingebettet in Handelskonflikte, Sanktionsregime und hybride Bedrohungsszenarien wurde klar, dass digitale Infrastrukturen längst Teil der sicherheitspolitischen Grundversorgung sind.
Ausfall mit spürbaren Folgen
Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer Serie großangelegter Angriffe auf Energie-, Logistik- und Verwaltungssysteme in Europa zeigte sich, dass die NIS-1-Richtlinie von 2016 zu eng gefasst war. NIS-2, 2022 auf EU-Ebene beschlossen, reagiert auf diese Verschiebung. Cybersicherheit wird nicht mehr als betriebliche IT-Frage verstanden, sondern als Voraussetzung für wirtschaftliche Stabilität, staatliche Handlungsfähigkeit und gesellschaftliche Resilienz. Im NISG 2026 werden daher gezielt Unternehmen in die Pflicht genommen, deren Ausfall über den eigenen Betrieb hinaus spürbare Folgen hätte. Dazu zählen etwa Branchen aus der Energieversorgung und -verteilung, Wasser- und Abwasserwirtschaft, Krankenhäuser, digitale Infrastruktur und Rechenzentren, Telekommunikation, Transport und Logistik. Hinzu kommt das verarbeitende Gewerbe, insbesondere dort, wo Produktionsausfälle ganze Lieferketten lahmlegen können. Auch IT-Dienstleister, Cloud und Managed Service Provider, Softwareanbieter mit zentralen Funktionen sowie bestimmte Forschungs- und Infrastruktureinrichtungen fallen darunter.
Im Webinar spiegeln sich diese Fragen unmittelbar wider. Im Chat geht es weniger um technische Details als um Grundsätzliches: Bin ich betroffen? Gibt es fixe Schwellenwerte? Was gilt bei Konzernzugehörigkeit? Als Richtwert nennt das Gesetz Unternehmen ab 50 Vollzeitäquivalenten oder 10 Millionen Euro Jahresumsatz. Entscheidend ist jedoch der Einzelfall. Wer Teil einer Unternehmensgruppe ist, muss Mitarbeiterzahlen und Umsätze auf Konzernebene berücksichtigen – ein Punkt, der laut Becker häufig unterschätzt wird.
Mit NISG 2026 endet die Übergangsphase
Mit dem Inkrafttreten des Gesetzes am 1. Oktober 2026 endet die bewusst eingeräumte Übergangsphase. Sie soll Unternehmen Zeit geben, Analysen durchzuführen und Strukturen aufzubauen. Becker empfiehlt, diese Monate zu nutzen, um Zuständigkeiten, Entscheidungswege und Notfallpläne festzulegen. „Unternehmen müssen Krisensituationen durchspielen“, sagt sie. Danach greifen die neuen Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, nach 72 Stunden ist eine erste Einschätzung vorzulegen, spätestens nach einem Monat ein Zwischenbericht.
Zuständig für Aufsicht und Durchsetzung ist die österreichische Cybersicherheitsbehörde im Innenministerium, organisatorisch eng verbunden mit CERT.at. Becker geht davon aus, dass zu Beginn nicht Sanktionen im Vordergrund stehen werden, sondern die praktische Umsetzung. Klar ist aber: Das Gesetz markiert den Übergang von freiwilliger Vorsorge zu überprüfbarer Verantwortung.
Dass kleinere Unternehmen formal nicht erfasst sind, folgt der Systemlogik der Richtlinie. Ziel ist es nicht, alle zu regulieren, sondern jene Knotenpunkte abzusichern, deren Ausfall größere Schäden nach sich ziehen würde. Für kleinere Betriebe bleibt Cybersicherheit dennoch existenziell – nicht zuletzt, weil sie Teil dieser Systeme sind.
Umdenken auch kleinerer Unternehmen
Der Ausblick zeigt eine weitere Dynamik. Viele Unternehmen beginnen nun gleichzeitig, Risikoanalysen aufzusetzen und externe Unterstützung zu suchen. Das dürfte den Markt in den kommenden Jahren enger machen. Beratung und Prüfungen könnten teurer werden. Gleichzeitig entstehen neue Felder für Innovation und Forschung – von automatisierten Risikoanalysen bis zu neuen Modellen der Unternehmensführung unter digitalen Risikobedingungen.
Am Ende zwingt das neue Netz- und Informationssystemsicherheitsgesetz genau jene Unternehmen zum Umdenken, die lange davon ausgegangen sind, gut aufgestellt zu sein. Es zwingt sie, Fragen zu stellen, die im Alltag gern verdrängt werden: Wo liegen unsere Abhängigkeiten? Wer trägt Verantwortung? Und was passiert, wenn digitale Systeme nicht mehr selbstverständlich funktionieren? Für viele Unternehmen – und für Berater – gibt es in den kommenden Monaten also viel zu tun.