Am 20. Dezember 2025 hat Österreich den Gesetzesentwurf zur Umsetzung der NIS2-Richtlinie (Network Information Security) verabschiedet. Nach langer Wartezeit ist nun Klarheit geschaffen: Das neue Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) ersetzt das bisherige Regime und schafft die Grundlage für ein EU-weit hohes Cybersicherheitsniveau auch in Österreich.
Die NIS2-Richtlinie betrifft viele Unternehmen in wesentlichen und wichtigen Sektoren – von Energie, Verkehr und Gesundheitswesen bis hin zu Lebensmittelproduktion, digitalen Diensten und Abfallbewirtschaftung.
Achtung: Auch Lieferanten und Dienstleister dieser Unternehmen können unter die Richtlinie fallen.
WICHTIG: Unternehmen haben ab Kundmachung des Gesetzes eine Übergangsfrist von 9 Monaten zur Umsetzung der Risikomanagementmaßnahmen. Innerhalb von 3 Monaten nach Inkrafttreten müssen sich betroffene Einrichtungen bei der Cybersicherheitsbehörde registrieren, und nach 12 Monaten ist eine Selbstdeklaration über die umgesetzten Maßnahmen abzugeben.
Unser Experte Engelbert Mauthner:
Handeln Sie jetzt!
Die erfolgreiche Implementierung von NIS2 hängt von der aktiven Beteiligung der Unternehmen ab. Unternehmen, die regulatorische Compliance als Chance begreifen, etablieren sich als vertrauenswürdige Partner und stärken gleichzeitig Österreichs digitale Souveränität im EU-Binnenmarkt.
Nutzen Sie die Übergangsfrist und lassen Sie sich von unseren IT-Experten beraten. Wir begleiten Sie Schritt für Schritt zur vollständigen NIS2-Compliance.
Engelbert Mauthner, CDISE
Geschäftsführer BGPX IT GmbH
Die NIS2-Richtlinie stellt für viele Unternehmen eine große Herausforderung dar, da die komplette IT-Infrastruktur auf den Prüfstand gestellt werden muss. Die Anforderungen sind umfangreich und die Sanktionen bei Nichteinhaltung erheblich – bis zu EUR 10 Millionen oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen.
Die im Sommer 2024 gegründete BG&P X IT GmbH versammelt alle IT-Kompetenzen der BG&P Unternehmensgruppe unter einem Dach, von umfangreichen Beratungsleistungen bis hin zu individuellen Softwarelösungen. Eine NIS2 Beratung und Compliance-Prozessbegleitung gehört zu diesem Portfolio.
Was ändert sich gegenüber NIS?
Auch wenn Ihr Unternehmen nicht direkt unter die NIS2-Richtlinie fällt, könnten Sie als Teil der Lieferkette betroffener Unternehmen dennoch in den Anwendungsbereich gelangen. Die Richtlinie sieht umfangreichere Maßnahmen als die ursprüngliche NIS vor, und die Verantwortung liegt nun explizit bei der Unternehmensleitung.
Risikomanagementmaßnahmen müssen nach einem risikobasierten Vorgehen wirksam etabliert werden. Zu den zentralen Anforderungen zählen:
- Erstellung von Risikoanalyse- und Informationssicherheitskonzepten
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen
- Maßnahmen zur Aufrechterhaltung des Betriebs (Back-up-Management und Wiederherstellung)
- Konzepte für Zugriffskontrollen
- Verwendung von Multi-Faktor-Authentifizierung und gesicherter Kommunikation
Grundlegende Maßnahmen zur Cyberhygiene müssen umfassend eingeführt werden, insbesondere auch in Bezug auf Lieferketten:
- Risikomanagement und Sicherheitsrichtlinien
- Software-Updates und Gerätekonfiguration
- Netzwerksegmentierung und Identitäts- und Zugriffsmanagement
- Schulungen für Mitarbeiter:innen
- Meldung von Sicherheitsvorfällen und physische Sicherheit
- Bewertung der eigenen Cybersicherheitskapazitäten und Integration moderner Technologien wie Künstliche Intelligenz oder Machine Learning
Unsere Leistungen auf einen Blick
- Begleitung durch den gesamten Compliance-Prozess: Wir unterstützen Sie von der Analyse des IST-Zustands bis zur vollständigen Umsetzung der NIS2-Anforderungen.
- Sicherheitsstand bewerten und verbessern: Wir zeigen auf, welche Erfordernisse nötig sind, um die NIS2-Vorgaben zu erfüllen.
- Maßgeschneiderte Lösungen: Unsere IT-Experten entwickeln umsetzbare Maßnahmen, die auf die spezifischen Anforderungen Ihres Unternehmens und Ihrer Branche abgestimmt sind.
- Erhöhte Transparenz und Klarheit: Sie erhalten einen detaillierten Überblick über den aktuellen Stand Ihrer IT-Sicherheit und klare Handlungsempfehlungen.
Hintergrund & Ziele der NIS2-Richtlinie
Die NIS2-Richtlinie ist eine EU-weite Initiative, die darauf abzielt, die Cybersicherheitsstandards zu vereinheitlichen und die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen. Ihr Hauptziel ist es, die Sicherheit von Netz- und Informationssystemen auf ein hohes Niveau zu heben.
Die Richtlinie knüpft an die NIS-Richtlinie von 2018 an und modernisiert den Rechtsrahmen aufgrund der zunehmenden Digitalisierung, der veränderten Bedrohungslandschaft und der Defizite der ursprünglichen NIS. Sie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.
Wesentliche Neuerungen im NISG 2026
- Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen
Wesentliche Einrichtungen umfassen Sektoren wie Energie, Verkehr, Wasserversorgung, Gesundheitswesen, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum. Für sie gelten strengere Anforderungen und höhere Sanktionen.
Wichtige Einrichtungen umfassen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelproduktion, Hersteller bestimmter Waren, Anbieter digitaler Dienste und Forschungseinrichtungen.
- Anwendungsbereich
Um Divergenzen zwischen Mitgliedstaaten zu vermeiden, definiert die Richtlinie den Anwendungsbereich selbst: Sie umfasst alle mittleren und großen Unternehmen in den wesentlichen und wichtigen Sektoren. Wichtig: Es gibt kein Konzernprivileg, jede Gesellschaft ist separat zu betrachten.
- Umfangreiche Risikomanagementmaßnahmen
Die Unternehmensleitung trägt die Verantwortung für die Einhaltung. Erforderlich sind unter anderem:
- Risikoanalyse- und Informationssicherheitskonzepte
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen
- Back-up-Management und Wiederherstellung
- Zugriffskontrollen und Multi-Faktor-Authentifizierung
- Software-Updates, Netzwerksegmentierung, Gerätekonfiguration
- Schulungen für Mitarbeiter:innen
- Lieferkettenmanagement und physische Sicherheit
- Strikte Meldepflichten
Erhebliche Sicherheitsvorfälle müssen zeitnah gemeldet werden:
- Frühwarnung: Innerhalb von 24 Stunden nach Kenntnisnahme
- Meldung: Innerhalb von 72 Stunden
- Abschlussbericht: Spätestens 1 Monat nach der Meldung
- Aufsichts- und Durchsetzungsmaßnahmen
Die Cybersicherheitsbehörde (eine nachgelagerte Behörde des BMI) ist ermächtigt zu Vor-Ort-Kontrollen, Sicherheitsprüfungen und Ad-hoc-Prüfungen. Für organisatorische Aspekte sind bestehende Nachweise (z.B. ISO/IEC 27001) anrechenbar, technische Wirksamkeitskontrollen müssen jedoch separat nachgewiesen werden (z.B. durch Penetrationstests).
- Erhebliche Sanktionen
- Wesentliche Einrichtungen: Bis zu EUR 10 Millionen oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
- Wichtige Einrichtungen: Bis zu EUR 7 Millionen oder 1,4% des weltweiten Jahresumsatzes
Zusätzlich besteht für Leitungsorgane das Risiko von Schadenersatzforderungen bei Pflichtverletzungen.
