NISG 2026: Pflichten, Fristen und Registrierung im Überblick
In Kürze: Das NISG 2026 setzt die EU-NIS2-Richtlinie in Österreich um. Es wurde am 23.12.2025 kundgemacht (BGBl. I Nr. 94/2025), tritt am 1. Oktober 2026 in Kraft und betrifft Schätzungen zufolge rund 4.000 Unternehmen in 18 Sektoren. Kernpflichten: Registrierung (bis 31.12.2026), Risikomanagement (§ 32), Vorfallmeldung (§ 34/35), Governance (§ 31) und Wirksamkeitsnachweis (§ 33). Bei Verstößen gegen die Sicherheitspflichten drohen – je nach Einstufung – bis zu 10 Mio. € bzw. 2 % des weltweiten Vorjahresumsatzes; eine verspätete Registrierung fällt unter einen niedrigeren Rahmen (bis 50.000 € / 100.000 €). Dieser Leitfaden gibt Ihnen den Überblick — und verlinkt in jedes Detailthema.
Was ist das NISG 2026?
NIS2 (Richtlinie (EU) 2022/2555) ist die EU-weite Cybersicherheits-Richtlinie. Sie wirkt nicht direkt, sondern muss von jedem Mitgliedstaat in nationales Recht umgesetzt werden. In Österreich geschieht das durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026).
Das Gesetz wurde am 23.12.2025 im Bundesgesetzblatt kundgemacht (BGBl. I Nr. 94/2025; der Nationalratsbeschluss erfolgte am 12.12.2025) und tritt — neun Monate später — am 1. Oktober 2026 in Kraft. Bis dahin gilt das alte NISG 2018 (BGBl. I Nr. 111/2018) weiter, das nur einen kleinen Kreis von „Betreibern wesentlicher Dienste" erfasste. NIS2 erweitert diesen Kreis deutlich: Statt einiger hundert sind nach Schätzungen aus Markt- und Behördenquellen nun rund 4.000 österreichische Unternehmen betroffen.
Wen betrifft das NISG 2026?
Betroffen sind Unternehmen, die zwei Bedingungen erfüllen:
- Sie sind in einem der 18 Sektoren der Anlagen 1 und 2 tätig (→ NIS2-Sektoren).
- Sie erreichen die Größenschwellen — als Faustregel ab 50 Mitarbeitern oder, davon unabhängig, ab mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Jahresbilanzsumme (beide Werte zusammen). Die genauen Kriterien — inklusive der Kumulativ-Regel und der Schwellen für große Einrichtungen — erläutert der Leitfaden NIS2-Schwellenwerte.
Hinzu kommen größenunabhängige Sonderfälle (z. B. DNS-Diensteanbieter, qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister) sowie Abgrenzungen wie der DORA-Vorrang im Finanzsektor (§ 24 Abs. 7) → NIS2 vs. DORA. Den vollständigen Prüfweg beschreibt der Leitfaden Sind Sie von NIS2 betroffen? — oder Sie nutzen direkt den kostenlosen Sofort-Check.
Wesentliche oder wichtige Einrichtung?
Betroffene Unternehmen werden in zwei Kategorien eingeteilt:
- Wesentliche Einrichtungen — meist große Einrichtungen in Anlage-1-Sektoren sowie größenunabhängige Sonderfälle. Sie unterliegen einer proaktiven Aufsicht.
- Wichtige Einrichtungen — mittlere Einrichtungen sowie große und mittlere Einrichtungen der Anlage-2-Sektoren. Die Aufsicht erfolgt reaktiv (anlassbezogen).
Die inhaltlichen Pflichten sind weitgehend identisch; Unterschiede gibt es bei der Aufsicht und beim Strafrahmen. Mehr dazu: Wesentliche vs. wichtige Einrichtungen.
Die Pflichten im Überblick
| Pflicht | Was bedeutet das? | § |
|---|---|---|
| Registrierung | Anmeldung bei der Cybersicherheitsbehörde mit 7 Pflichtangaben | § 29 |
| Governance | Leitungsorgan verantwortlich, Schulungspflicht | § 31 |
| Risikomanagement | Mindestens 10 Maßnahmen (a–j) – technisch, operativ, organisatorisch | § 32 |
| Wirksamkeitsnachweis | Selbstdeklaration + ggf. Prüfbericht | § 33 |
| Vorfallmeldung | 24 h Frühwarnung / 72 h Meldung / 1 Monat Abschlussbericht | § 34/35 |
Die Maßnahmen reichen von Risikoanalyse und Backup über Zugriffskontrolle und Verschlüsselung bis zur Lieferkettensicherheit — als gesetzliche Mindestinhalte (§ 32 Abs. 4), nicht als abschließende Checkliste. Den Detailüberblick geben NIS2-Pflichten und die Risikomanagement-Maßnahmen (§ 32). Vorfälle werden dabei an das zuständige CSIRT gemeldet, das die Cybersicherheitsbehörde unverzüglich informiert (§ 34) → NIS2-Meldepflicht. Den Wirksamkeitsnachweis behandelt die Selbstdeklaration (§ 33), die Verantwortung der Leitung die Schulungspflicht (§ 31).
Die Fristen im Überblick
| Frist | Was ist zu tun |
|---|---|
| 1.10.2026 | NISG 2026 tritt in Kraft |
| 31.12.2026 | Erstregistrierung abgeschlossen (§ 29 Abs. 3, 3 Monate ab Inkrafttreten) |
| binnen 2 Wochen | Änderung registrierungsrelevanter Daten melden (Z 1–5; für Z 6–7: binnen 3 Monaten) |
| bis 30.9.2027 | Selbstdeklaration der Risikomanagementmaßnahmen (§ 33 Abs. 1, 12 Monate) |
| mind. alle 2 Jahre | Registerdaten aktuell halten; die Cybersicherheitsbehörde überprüft das Register mindestens alle 2 Jahre (§ 29 Abs. 1) |
Die Registrierung erfolgt bei der Cybersicherheitsbehörde — elektronisch über einen sicheren, strukturierten Kommunikationskanal — und umfasst sieben Pflichtangaben (§ 29 Abs. 2), darunter Name, Kontaktdaten, Sektor(en) nach Anlage 1/2 und die Einstufung als wesentlich oder wichtig. Welche sieben Angaben das Register im Detail verlangt, zeigt § 29: Die Pflichtangaben; den genauen Ablauf der Anmeldung beschreibt die Schritt-für-Schritt-Anleitung zur Registrierung.
Welche Strafen drohen?
Das NISG 2026 kennt ein zweistufiges Verwaltungsstrafsystem. Bei Verstößen gegen die inhaltlichen Sicherheitspflichten (z. B. § 31 Governance, § 32 Risikomanagement, § 34 Meldepflicht) gilt:
- Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des gesamten weltweiten Vorjahresumsatzes — maßgeblich ist der höhere Betrag.
- Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Vorjahresumsatzes — ebenfalls der höhere Betrag.
Administrative Verstöße — etwa eine verspätete oder unterlassene Registrierung — fallen dagegen unter einen niedrigeren Rahmen von bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 €. Die häufig zitierte „10-Mio.-Schlagzeile" gilt also nicht für die bloße Nicht-Registrierung.
Hinzu kommen Maßnahmen gegen die Unternehmensleitung: Bei wesentlichen Einrichtungen kann die Behörde Leitungsorganen die Ausübung von Leitungsfunktionen mit Bescheid vorübergehend untersagen (§ 39 Abs. 4 Z 2). Geldstrafen werden dabei primär gegen die juristische Person verhängt. Details: NIS2-Strafen & Verantwortung der Leitung.
Was ändert sich gegenüber dem NISG 2018?
Drei große Verschiebungen: ein viel größerer Kreis betroffener Unternehmen, konkretere Pflichten (insbesondere Risikomanagement und Meldepflichten) und deutlich höhere Strafen samt erweiterter Verantwortung der Leitungsorgane. Die Gegenüberstellung: NIS2 vs. NISG 2018.
Was sollten Unternehmen jetzt tun?
- Betroffenheit klären → kostenloser Check
- Registrierung vorbereiten (die 7 § 29-Angaben sammeln) → vor dem 31.12.2026
- Risikomanagement aufsetzen (§ 32) → bis zur Selbstdeklaration am 30.9.2027
- Meldeprozesse & Governance etablieren (§ 31, § 34/35) → Schulungspflicht der Leitung
Die NISG-Plattform unterstützt Sie bei diesen Schritten: Sie hilft bei der Einstufung im Scope-Wizard, friert Ihre Registrierungs- und Nachweis-Artefakte in unveränderliche Snapshots ein und protokolliert jeden Bearbeitungsschritt in einem manipulationssicheren Audit-Ledger — für prüffeste Nachweise. Die rechtliche Bewertung und die Einreichung bei der Behörde bleiben in Ihrer Hand.
Verschaffen Sie sich Klarheit — in zwei Minuten
Prüfen Sie Ihre voraussichtliche NISG-Einstufung und starten Sie den Weg zur Registrierungsbereitschaft. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Was ist das NISG 2026? Das österreichische Gesetz zur Umsetzung der EU-NIS2-Richtlinie (BGBl. I Nr. 94/2025). Es tritt am 1.10.2026 in Kraft und löst das NISG 2018 schrittweise ab.
Ist NISG 2026 dasselbe wie NIS2? NIS2 ist die EU-Richtlinie; das NISG 2026 ist deren Umsetzung in österreichisches Recht. In der Praxis werden die Begriffe oft synonym verwendet.
Wann tritt das NISG 2026 in Kraft? Am 1. Oktober 2026 (neun Monate nach der Kundmachung). Die erste Registrierung muss bis 31.12.2026 erfolgen, die Selbstdeklaration bis 30.9.2027.
Wie viele Unternehmen sind in Österreich betroffen? Schätzungen aus Markt- und Behördenquellen gehen von rund 4.000 mittleren und großen Unternehmen aus 18 Sektoren aus. Es handelt sich um eine Schätzung, nicht um eine im Gesetz genannte Zahl.
Welche Strafen drohen bei Nichteinhaltung? Bei Verstößen gegen die Sicherheitspflichten bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (wesentliche Einrichtungen) bzw. 7 Mio. € oder 1,4 % (wichtige Einrichtungen) — jeweils der höhere Betrag. Administrative Verstöße wie eine verspätete Registrierung sind mit bis zu 50.000 € (im Wiederholungsfall 100.000 €) bedroht. Hinzu kommen Maßnahmen gegen die Leitungsorgane.
Kostet die bloße Nicht-Registrierung 10 Mio. €? Nein. Die Obergrenze von bis zu 10 Mio. € gilt für Verstöße gegen die inhaltlichen Sicherheitspflichten (§ 31/§ 32/§ 34). Eine verspätete oder unterlassene Registrierung fällt unter den niedrigeren Rahmen von bis zu 50.000 € (im Wiederholungsfall bis zu 100.000 €).
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS/BGBl. I Nr. 94/2025, nis.gv.at, WKO, Parlament.