In Kürze: Das NISG 2026 (BGBl. I Nr. 94/2025) tritt am 1. Oktober 2026 in Kraft. Die wichtigsten Fristen danach: Registrierung bis 31. Dezember 2026 (§ 29 Abs. 3), Änderungsmeldungen binnen 2 Wochen bzw. 3 Monaten (§ 29 Abs. 4), Selbstdeklaration bis 30. September 2027 (§ 33 Abs. 1). Im laufenden Betrieb gelten die Meldefristen 24 h / 72 h / 1 Monat für erhebliche Vorfälle (§ 34). Noch unsicher, ob Sie überhaupt betroffen sind? → Geltungsbereich kostenlos prüfen.
Das NISG 2026 ist deadline-getrieben: Es kündigt sich nicht einzeln an, sondern verlangt aktives, fristgerechtes Handeln. Wer die Termine kennt und rückwärts plant, vermeidet das größte Risiko — die knappe Registrierungsfrist zum Jahresende 2026 zu verpassen. Diese Seite bündelt alle Fristen aus dem Gesetz an einer Stelle.
Die Master-Timeline auf einen Blick
| Datum / Frist | Was ist zu tun | Rechtsgrundlage |
|---|---|---|
| 23.12.2025 | Kundmachung im Bundesgesetzblatt (BGBl. I Nr. 94/2025) | — |
| 1.10.2026 | Inkrafttreten des NISG 2026; das NISG 2018 tritt sukzessive außer Kraft | § 51 |
| 31.12.2026 | Erstregistrierung bei der Cybersicherheitsbehörde (3 Monate ab Inkrafttreten) | § 29 Abs. 3 |
| laufend: 2 Wochen | Änderung der Registerangaben Z 1–5 (Name, Kontakt, Sektor, Mitgliedstaaten, IP-Bereiche) melden | § 29 Abs. 4 Z 1 |
| laufend: 3 Monate | Änderung der Registerangaben Z 6–7 (Niederlassungen, Schwellenwert-/Einstufungsangaben) melden | § 29 Abs. 4 Z 2 |
| 30.9.2027 | Selbstdeklaration der Risikomanagementmaßnahmen (12 Monate ab Inkrafttreten) | § 33 Abs. 1 |
| ab 1.10.2028 | frühestmögliche Aufforderung zur Prüfung durch eine unabhängige Stelle (2 Jahre ab Inkrafttreten) | § 33 Abs. 2 |
| laufend | erhebliche Vorfälle melden: 24 h Frühwarnung, 72 h Meldung, 1 Monat Abschlussbericht | § 34 Abs. 2 |
| alle 2 Jahre | turnusmäßige Register-Überprüfung durch die Behörde (keine Neu-Registrierungspflicht) | § 29 Abs. 1 |
1. Oktober 2026Inkrafttreten
Das Gesetz tritt „nach Ablauf von neun Monaten nach der Kundmachung mit dem nächstfolgenden Monatsersten" in Kraft (§ 51). Aus der Kundmachung vom 23.12.2025 ergibt sich damit der 1. Oktober 2026. Ab diesem Tag gelten die Pflichten — und gleichzeitig beginnt die Drei-Monats-Uhr für die Registrierung zu laufen. Das bisherige NISG 2018 (BGBl. I Nr. 111/2018) wird abgelöst.
31. Dezember 2026Registrierung
Die erste konkrete Pflicht mit der knappsten Frist: Wesentliche und wichtige Einrichtungen müssen sich binnen drei Monaten ab Inkrafttreten — also bis 31.12.2026 — bei der Cybersicherheitsbehörde registrieren (§ 29 Abs. 3). Neu qualifizierte Einrichtungen haben ab Erfüllung der Voraussetzungen ebenfalls drei Monate Zeit. Die Registrierung ist eine Selbstidentifikations-Pflicht — die Behörde schreibt Sie in der Regel nicht an.
⚠️ Wichtig: Die Registrierung bündelt Daten aus dem ganzen Unternehmen (Niederlassungen, Kontaktstellen, technische Angaben). Datenbeschaffung und interne Abstimmung dauern erfahrungsgemäß länger als gedacht — planen Sie rückwärts vom 31.12.2026, nicht erst im Dezember. Wie und wo registriert wird, erklärt der Registrierungs-Leitfaden.
LaufendÄnderungsmeldungen (2 Wochen / 3 Monate)
Nach der Erstregistrierung müssen Sie die Angaben aktuell halten (§ 29 Abs. 4):
- Angaben Z 1–5 (Name, Kontaktdaten, Sektor/Teilsektor/Art, betroffene EU-Mitgliedstaaten, IP-Bereiche): Änderung ehestmöglich, längstens binnen 2 Wochen.
- Angaben Z 6–7 (Niederlassungen, Schwellenwert-/Einstufungsangaben): Änderung ehestmöglich, längstens binnen 3 Monaten.
30. September 2027Selbstdeklaration
Innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht — also bis 30.9.2027 — informieren betroffene Einrichtungen die Behörde in strukturierter Form über die umgesetzten Risikomanagementmaßnahmen nach § 32 (§ 33 Abs. 1). Details: Selbstdeklaration & Wirksamkeitsnachweis.
Ab Oktober 2028Prüfung durch eine unabhängige Stelle
Die Behörde kann frühestens zwei Jahre nach Inkrafttreten (also ab ~1.10.2028) zur Prüfung durch eine unabhängige Stelle auffordern; die Prüfung ist dann binnen zwei Jahren ab Aufforderung durchzuführen. Für wesentliche Einrichtungen ist die operative/organisatorische Umsetzung binnen zwei Monaten ab Aufforderung nachzuweisen. Geplante Prüfungen sind mindestens einen Monat im Voraus anzukündigen (§ 33 Abs. 2 und 5). Gültige einschlägige Zertifikate können angerechnet werden.
Im BetriebMeldefristen für Vorfälle (24 h / 72 h / 1 Monat)
Tritt ein erheblicher Sicherheitsvorfall ein, laufen kurze Fristen (§ 34 Abs. 2):
- 24 Stunden nach Kenntnis: Frühwarnung an das zuständige CSIRT.
- 72 Stunden nach Kenntnis: Meldung mit erster Bewertung (Schweregrad, ggf. Kompromittierungsindikatoren). Vertrauensdiensteanbieter: abweichend 24 Stunden.
- spätestens 1 Monat nach der 72-h-Meldung: Abschlussbericht.
Vorfälle gehen an das CSIRT (sektorspezifisch bzw. national), das unverzüglich an die Cybersicherheitsbehörde weiterleitet — nicht direkt an die Behörde. Ablauf und Erheblichkeitsschwelle: NIS2-Meldepflicht.
Warum jetzt handeln?
Schätzungen zufolge sind in Österreich rund 4.000 Unternehmen betroffen. Die Pflichten greifen alle ab dem 1.10.2026 — die Vorbereitung (Geltungsbereich klären, § 29-Angaben sammeln, Maßnahmen dokumentieren) braucht Vorlauf. Eine Plattform, die aus Ihrer Einstufung datierte Aufgaben ableitet und rechtzeitig erinnert, unterstützt Sie beim Einhalten dieser Termine.
Fristen im Griff behalten — vor dem 31.12.2026
Prüfen Sie zuerst Ihre Betroffenheit, dann leitet die Plattform die für Sie geltenden Fristen als nachverfolgbare Aufgaben ab. → Jetzt Betroffenheit prüfen
Häufige Fragen (FAQ)
Wann tritt das NISG 2026 in Kraft? Am 1. Oktober 2026 — neun Monate nach der Kundmachung vom 23.12.2025, mit dem nächstfolgenden Monatsersten (§ 51).
Bis wann muss ich mich nach NIS2 registrieren? Bis 31. Dezember 2026 — binnen drei Monaten ab Inkrafttreten (§ 29 Abs. 3).
Bis wann ist die Selbstdeklaration fällig? Bis 30. September 2027 — zwölf Monate ab Inkrafttreten (§ 33 Abs. 1).
Wie schnell muss ich einen Vorfall melden? 24 Stunden Frühwarnung, 72 Stunden Meldung, 1 Monat Abschlussbericht (§ 34 Abs. 2). Vertrauensdiensteanbieter melden binnen 24 Stunden.
Muss ich mich alle zwei Jahre neu registrieren? Nein. Die Behörde überprüft das Register mindestens alle zwei Jahre (§ 29 Abs. 1). Ihre Aufgabe ist, Änderungen fristgerecht zu melden (§ 29 Abs. 4).
Ab wann drohen Prüfungen durch eine unabhängige Stelle? Eine Aufforderung ist frühestens zwei Jahre nach Inkrafttreten (ab ~1.10.2028) möglich; die Prüfung ist dann binnen zwei Jahren durchzuführen (§ 33 Abs. 2).
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – NISG 2026, BGBl. I Nr. 94/2025, nis.gv.at, WKO.