Mit dem vorgelegten NISG 2026 startet die Bundesregierung einen zweiten Versuch. | © Unsplash/Adi Goldstein
Die EU-Richtlinie NIS-2 verpflichtet die Mitgliedstaaten seit Anfang 2023, die Cyber- und Informationssicherheit wesentlicher Einrichtungen zu stärken. Die nationale Umsetzung hätte bis 17. Oktober 2024 erfolgen müssen. In Österreich scheiterte dieser Schritt jedoch zunächst: Das NISG 2024 erhielt im Nationalrat nicht die notwendige Zweidrittelmehrheit, woraufhin die Europäische Kommission ein Vertragsverletzungsverfahren einleitete.
Mit dem nun vorgelegten NISG 2026 startet die Bundesregierung einen zweiten Versuch. Der Ministerrat brachte das Gesetz am 20. November 2025 ein. Inhaltlich knüpft es an die Fassung von 2024 an, enthält jedoch zentrale Anpassungen bei Verantwortlichkeiten, Meldeprozessen, Übergangsfristen und der Rolle der Cybersicherheitsbehörde. Da auch diese Version Verfassungsbestimmungen umfasst, ist wiederum eine Zweidrittelmehrheit erforderlich.
Präzisere Verantwortlichkeiten für Leitungsorgane
Eine wesentliche Weiterentwicklung betrifft die klare Zuweisung der Verantwortlichkeit. Während der Entwurf 2024 noch offenließ, ob auch Aufsichtsräte in Compliance-Pflichten einbezogen werden müssen, beschränkt das NISG 2026 diese nun eindeutig auf Geschäftsführung, Vorstand und Personen, die tatsächlich Leitungsbefugnisse ausüben. Gleichzeitig wird die Pflicht zur Sicherstellung geeigneter Schulungen sowie zur wirksamen organisatorischen Steuerung der Cybersicherheit deutlicher und verbindlicher formuliert.
Risikomanagement direkt im Gesetz verankert
Stark überarbeitet wurde auch die Systematik der Risikomanagementanforderungen. Diese sind nun nicht mehr in einer Anlage ausgelagert, sondern im Gesetz selbst verankert, was ihren normativen Stellenwert erheblich erhöht. Der risikobasierte Ansatz wurde weiterentwickelt, insbesondere im Hinblick auf die Lieferkettensicherheit. Diese umfasst künftig sowohl externe Dienstleister als auch software- und entwicklungsbezogene Komponenten. Neu ist zudem, dass die Behörde technische und methodische Anforderungen per Verordnung präzisieren kann – ein dynamisches Element, das im Entwurf 2024 noch nicht vorgesehen war.
Melde- und Berichtspflichten deutlich präzisiert
Die Grundstruktur der Meldepflichten bleibt erhalten: Frühwarnungen innerhalb von 24 Stunden und Vollmeldungen binnen 72 Stunden. Neu ist jedoch, dass länger andauernde Vorfälle künftig durch regelmäßige Fortschrittsberichte begleitet werden müssen, die innerhalb eines Monats vorzulegen sind. Auch die Anforderungen an Abschlussberichte werden klarer definiert. Damit reagiert die Fassung 2026 auf die Unschärfen des Vorjahresentwurfs und schafft ein umfassenderes und verbindlicheres Meldesystem.
Nationales Register und gestufte Nachweisprozesse
Mit dem NISG 2026 wird erstmals ein nationales Register aller wesentlichen und wichtigen Einrichtungen geschaffen – ein Element, das im Entwurf 2024 vollständig fehlte. Ergänzend sieht das Gesetz einen mehrstufigen Compliance-Prozess vor, der eine Registrierung binnen drei Monaten nach Inkrafttreten verlangt. Innerhalb eines Jahres ist eine Selbstdeklaration vorzulegen, gefolgt von technischen und organisatorischen Nachweisen, deren Fristen gesetzlich festgelegt sind. Dieser strukturierte Aufsichtsmechanismus stellt eine deutliche Weiterentwicklung gegenüber der früheren Fassung dar.
Erweiterte Befugnisse der Cybersicherheitsbehörde
Die nationale Cybersicherheitsbehörde erhält im NISG 2026 deutlich größere Regelungskompetenzen, insbesondere zur Konkretisierung technischer Standards. Darüber hinaus können künftig auch Einrichtungen erfasst werden, die sicherheitsrelevante Dienste von wesentlichen oder wichtigen Einrichtungen beziehen und dadurch in kritische Abhängigkeiten geraten. Damit trägt die neue Fassung der zunehmenden Bedeutung komplexer digitaler Lieferketten Rechnung.
Klarstellungen zum Anwendungsbereich
Der Anwendungsbereich des Gesetzes wurde sprachlich präzisiert und systematisch überarbeitet. Nun werden auch Einrichtungen ausdrücklich erfasst, die zwar selbst keine kritischen Dienste erbringen, deren Tätigkeit jedoch in sicherheitsrelevante Interdependenzen eingebettet ist. Dadurch wird der regulatorische Rahmen kohärenter und stärker an die realen Risikostrukturen moderner digitaler Infrastrukturen angepasst.