NIS2 vs. NISG 2018: Was ändert sich 2026?
In Kürze: Das NISG 2026 (Umsetzung der NIS-2-Richtlinie, kundgemacht als BGBl. I Nr. 94/2025) tritt am 1. Oktober 2026 in Kraft und löst das bisherige NISG 2018 (BGBl. I Nr. 111/2018) ab, das mit dem Inkrafttreten außer Kraft tritt (§ 51). Drei große Verschiebungen: ein deutlich größerer Geltungsbereich (vom kleinen Kreis der „Betreiber wesentlicher Dienste" hin zu 18 Sektoren mit der Unterscheidung wesentlich/wichtig — Schätzungen zufolge rund 4.000 Unternehmen), konkretere Pflichten (Risikomanagement-Katalog nach § 32, gestufte Meldefristen) und ein zweistufiges, höheres Strafsystem samt erweiterter Verantwortung des Leitungsorgans.
Wer das alte NISG 2018 kennt, sollte sich nicht in Sicherheit wiegen: NIS2 ist kein bloßes Update, sondern ein Paradigmenwechsel — beim Geltungsbereich, bei den Pflichten und bei der Durchsetzung.
Die wichtigsten Änderungen im Überblick
| Dimension | NISG 2018 | NISG 2026 (NIS2) |
|---|---|---|
| Rechtsgrundlage | NISG 2018 (BGBl. I Nr. 111/2018) | NISG 2026 (BGBl. I Nr. 94/2025), in Kraft ab 1.10.2026 |
| Geltungsbereich | kleiner Kreis von „Betreibern wesentlicher Dienste" + bestimmte Anbieter digitaler Dienste | 18 Sektoren (Anlage 1 & 2); Schätzungen zufolge rund 4.000 Unternehmen |
| Einstufung | überwiegend behördliche Identifikation | Selbsteinstufung durch das Unternehmen + Registrierungspflicht |
| Kategorien | „Betreiber wesentlicher Dienste" / „Anbieter digitaler Dienste" | wesentliche und wichtige Einrichtungen (§ 24) |
| Pflichten | grundlegende Sicherheits- und Meldepflichten | konkreter Maßnahmenkatalog (§ 32, 10 Bereiche a–j), gestufte Meldung 24 h / 72 h / 1 Monat |
| Governance | wenig explizit | Leitungsorgan stellt § 32 sicher und beaufsichtigt; Schulungspflicht (§ 31) |
| Strafen | niedriger | zweistufig: bis 10 Mio. € / 2 % (wesentlich) bzw. 7 Mio. € / 1,4 % (wichtig); Verwaltungsverstöße bis 50.000 / 100.000 € |
1. Deutlich größerer Geltungsbereich
Während das NISG 2018 nur einen kleinen Kreis erfasste, erstreckt NIS2 die Pflichten auf 18 Sektoren (11 in Anlage 1, 7 in Anlage 2) — und verlagert die Verantwortung: Unternehmen müssen ihre Betroffenheit grundsätzlich selbst erkennen, sich registrieren und sich als wesentliche oder wichtige Einrichtung einordnen. Schätzungen zufolge betrifft das in Österreich rund 4.000 Unternehmen — die genaue Zahl steht nicht im Gesetz.
Ob und wie Sie betroffen sind, hängt von Sektor und Unternehmensgröße ab (§ 24/§ 25). → Sind Sie betroffen? · wesentlich oder wichtig? · Schwellenwerte
2. Konkretere Pflichten
Statt allgemeiner Vorgaben benennt das NISG 2026 einen Maßnahmenkatalog mit zehn Mindestbereichen (§ 32, Buchstaben a–j: u. a. Risikoanalyse, Bewältigung von Cybersicherheitsvorfällen, Backup/Notfall und Krisenmanagement, Lieferkettensicherheit, Kryptografie, Multi-Faktor-Authentifizierung). Die Cybersicherheitsbehörde kann diese Vorgaben per Verordnung näher konkretisieren — die a–j sind also Mindestinhalte, keine abschließende Fertig-Checkliste.
Hinzu kommen gestufte Meldefristen für erhebliche Vorfälle: 24 h Frühwarnung, 72 h Meldung und Abschlussbericht binnen 1 Monat (für Vertrauensdiensteanbieter gilt teils eine 24-h-Meldung). Gemeldet wird dabei an das zuständige CSIRT, das unverzüglich an die Cybersicherheitsbehörde weiterleitet (§ 34). → Meldepflicht & Fristen · Pflichten im Detail
3. Höhere Strafen & mehr Verantwortung im Leitungsorgan
Das NISG 2026 kennt ein zweistufiges Verwaltungsstrafsystem (§ 45):
- Inhaltliche Pflichtverstöße (z. B. § 31 Schulung, § 32 Risikomanagement, § 34 Meldung): bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des gesamten weltweiten Vorjahresumsatzes (der höhere Betrag), bei wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 %.
- Administrative Verstöße (z. B. nicht fristgerechte Registrierung, verspätete Änderungs- oder Selbstdeklaration): bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 €.
Die oft zitierte „10-Millionen-Schlagzeile" gilt also für inhaltliche Sicherheits- und Meldepflichten — nicht für eine bloß versäumte Registrierung.
Neu ist außerdem die Governance: Das Leitungsorgan muss die Risikomanagement-Maßnahmen nach § 32 sicherstellen und beaufsichtigen und an spezifischen Cybersicherheitsschulungen teilnehmen (§ 31). Bei wesentlichen Einrichtungen kann die Behörde Leitungsorganen die Wahrnehmung von Leitungsaufgaben vorübergehend untersagen (§ 39 Abs. 4 Z 2). Geldstrafen treffen dabei primär die juristische Person (§ 44). → Strafen & Verantwortung
Was bedeutet das für Bestandsunternehmen?
Waren Sie bereits unter dem NISG 2018 erfasst, sind Sie es unter NIS2 voraussichtlich weiterhin — meist mit erweiterten Pflichten und unter neuer Kategorisierung (wesentlich/wichtig). Neu betroffene Unternehmen — der weitaus größere Teil — starten ohne Vorlauf. Beide Gruppen sollten frühzeitig mit der Einstufung beginnen, denn die Erstregistrierung ist bis 31.12.2026 vorgesehen (3 Monate ab Inkrafttreten, § 29 Abs. 3). Den Gesamtüberblick gibt der NISG-2026-Leitfaden.
Unsere Plattform unterstützt Sie bei der Vorbereitung: Der Scope-Wizard führt Sie durch eine detaillierte Einstufung, dokumentiert Nachweise prüffest und friert sie in unveränderlichen Snapshots ein — abgesichert über ein manipulationssicheres Audit-Ledger.
Neu betroffen oder schon dabei?
Klären Sie in wenigen Minuten Ihre voraussichtliche Einstufung nach dem neuen Recht. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Was ist der Unterschied zwischen NISG 2018 und NISG 2026? Das NISG 2026 (Umsetzung der NIS-2-Richtlinie) hat einen deutlich größeren Geltungsbereich — 18 Sektoren statt eines kleinen Kreises von „Betreibern wesentlicher Dienste" —, einen konkreteren Maßnahmenkatalog (§ 32), gestufte Meldefristen (24 h / 72 h / 1 Monat) und ein zweistufiges, höheres Strafsystem. Außerdem ist das Leitungsorgan stärker in der Verantwortung (§ 31).
Wann löst das NISG 2026 das NISG 2018 ab? Mit dem Inkrafttreten am 1. Oktober 2026. Das NISG 2018 (BGBl. I Nr. 111/2018) tritt zu diesem Zeitpunkt außer Kraft (§ 51 NISG 2026).
Ich war unter NISG 2018 betroffen — ändert sich für mich etwas? Voraussichtlich ja: In der Regel kommen erweiterte Pflichten hinzu, und Sie werden als wesentliche oder wichtige Einrichtung kategorisiert. Eine erneute Einstufung nach dem neuen Recht ist sinnvoll.
Bis wann muss ich mich registrieren? Die Erstregistrierung bei der Cybersicherheitsbehörde ist innerhalb von 3 Monaten ab Inkrafttreten vorgesehen, also bis 31.12.2026 (§ 29 Abs. 3). Eine versäumte Registrierung fällt unter die administrative Strafstufe (bis 50.000 € / 100.000 €).
Sind die Strafen wirklich so hoch wie bei der DSGVO? Die Rahmen sind an die DSGVO-Größenordnung angelehnt, aber gestaffelt: bis 10 Mio. € / 2 % für wesentliche bzw. 7 Mio. € / 1,4 % für wichtige Einrichtungen — und nur für inhaltliche Pflichtverstöße. Verwaltungsverstöße wie eine versäumte Registrierung sind mit bis zu 50.000 € / 100.000 € sanktioniert.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS/BGBl. I Nr. 94/2025, nis.gv.at, WKO.