stereum-hero
PartnerDownloadsBlogKontakt
ISO Certificate
Blog
NIS2 in Österreich: Was das NISG 2026 für KMUs bedeutet und wie Sie sich vorbereiten

NIS2 in Österreich: Was das NISG 2026 für KMUs bedeutet und wie Sie sich vorbereiten

Date: 27.06.2023
NIS2 in Österreich: Was das NISG 2026 für KMUs bedeutet und wie Sie sich vorbereiten

Nach Jahren der Verzögerung ist es nun beschlossen: Österreich hat im Dezember 2025 das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) verabschiedet. Damit setzt Österreich die europäische NIS-2-Richtlinie in nationales Recht um. Das Gesetz tritt am 1. Oktober 2026 in Kraft und betrifft deutlich mehr Unternehmen als die bisherige Regelung. [1]

Für IT-Entscheider und Geschäftsführer österreichischer KMUs stellt sich jetzt eine konkrete Frage: Bin ich betroffen, und wenn ja, was muss ich bis wann umgesetzt haben?

Was ist NIS2, und warum gibt es jetzt das NISG 2026?

NIS2 ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in Europa. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen erheblich. Die Umsetzungsfrist für die Mitgliedstaaten war Oktober 2024. Österreich scheiterte 2024 an der erforderlichen Zweidrittelmehrheit im Nationalrat und hat die Umsetzung mit dem NISG 2026 nachgeholt. [2]

Das Gesetz wurde am 23. Dezember 2025 im Bundesgesetzblatt kundgemacht. Neun Monate später, am 1. Oktober 2026, tritt es in Kraft. Bis dahin gilt noch das NISG 2018, das nur rund 100 Unternehmen in Österreich betraf. Mit dem NISG 2026 steigt diese Zahl auf geschätzte 4.000 Einrichtungen. [3]

Wer ist betroffen?

Das NISG 2026 erfasst mittlere und große Unternehmen in 18 definierten Sektoren. Als mittleres Unternehmen gilt, wer mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als 10 Millionen Euro aufweist. [3]

Zu den betroffenen Sektoren zählen unter anderem Energie, Verkehr, Gesundheitswesen, Bankwesen, Trinkwasser- und Abwasserwirtschaft, digitale Infrastruktur, öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe und IT-Dienstleister im B2B-Bereich. [1]

Wichtig: Auch Unternehmen unterhalb der Größenschwelle können betroffen sein, wenn sie Teil der Lieferkette einer NIS2-pflichtigen Einrichtung sind. Das NISG 2026 verpflichtet betroffene Unternehmen ausdrücklich, die Cybersicherheit ihrer Lieferanten und Dienstleister vertraglich sicherzustellen. [3]

Was die Zahlen zeigen

Die Studie „NIS2 Sensor 2026" von CERTAINITY und IMAS (März 2026, 300 befragte österreichische Unternehmen) liefert ein ernüchterndes Bild: Rund jedes zweite befragte Unternehmen kann nicht sicher einschätzen, ob es selbst betroffen ist. Zum Befragungszeitpunkt waren im Schnitt erst 30 Prozent der NIS2-Vorgaben umgesetzt. Gleichzeitig ist NIS2 in über 70 Prozent der Unternehmen ausschließlich in der IT-Abteilung verankert, obwohl es die gesamte Organisation betrifft. [4]

Die Fristen im Überblick

Datum

Pflicht

01.10.2026

NISG 2026 tritt in Kraft. Risikomanagementmaßnahmen und Meldepflichten gelten ab diesem Tag. Leitungsorgane müssen geschult sein. [1]

31.12.2026

Registrierung bei der Cybersicherheitsbehörde (binnen 3 Monaten nach Inkrafttreten) [3]

30.09.2027

Selbstdeklaration über umgesetzte Risikomanagementmaßnahmen [3]

ab 01.10.2028

Nachweispflicht auf Aufforderung der Behörde möglich [5]

Was konkret umgesetzt werden muss

Das NISG 2026 verlangt ein umfassendes, dokumentiertes Risikomanagement. [1] Konkret gehören dazu:

Netzwerk- und Systemsicherheit: Segmentierung, Firewalls, Zugriffskontrollen, Patchmanagement und Monitoring der gesamten IT-Infrastruktur.

Identitäts- und Zugriffsmanagement: Klare Regelung, wer auf welche Systeme und Daten zugreifen darf. Mehrstufige Authentifizierung, regelmäßige Überprüfung der Berechtigungen.

Backup und Notfallvorsorge: Funktionierendes Backup-Konzept mit definierten RPO/RTO-Werten. Business Continuity Management und dokumentierte Wiederanlaufpläne.

Protokollierung und Monitoring: Nachvollziehbare Aufzeichnung sicherheitsrelevanter Ereignisse. Proaktives Monitoring statt reaktiver Fehlersuche.

Lieferkettensicherheit: Sicherheitsbezogene Anforderungen an Lieferanten und Dienstleister müssen dokumentiert und vertraglich verankert sein. [3]

Schwachstellenanalysen: Regelmäßige Bewertung der eigenen Systeme auf bekannte Schwachstellen.

Meldepflicht: Bei erheblichen Sicherheitsvorfällen gilt ein dreistufiges Verfahren: Frühwarnung binnen 24 Stunden, ausführliche Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. [6]

Schulung der Geschäftsführung: Das Leitungsorgan trägt die direkte Verantwortung und muss nachweislich in Cybersicherheit geschult sein. Das ist keine Empfehlung, sondern gesetzliche Pflicht. [5]

Die Sanktionen

Das NISG 2026 orientiert sich am DSGVO-Modell:

Für wesentliche Einrichtungen drohen Strafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Umsatzes. [7] Bereits die Verletzung organisatorischer Pflichten wie fehlende Registrierung oder ausbleibende Selbstdeklaration kann mit bis zu 50.000 Euro, im Wiederholungsfall bis zu 100.000 Euro geahndet werden. [3]

Die Aufsicht liegt beim neu geschaffenen Bundesamt für Cybersicherheit im Innenministerium. [2]

ISO 27001 als Fundament für NIS2-Konformität

Eine ISO 27001-Zertifizierung deckt einen erheblichen Teil der organisatorischen und operativen Anforderungen des NISG 2026 ab. Unternehmen, die bereits ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) betreiben, haben wesentliche Vorarbeit geleistet: Risikoanalysen, dokumentierte Prozesse, definierte Verantwortlichkeiten und regelmäßige Überprüfungen sind Teil des ISO 27001-Rahmens. Bereits vorhandene ISO 27001-Prüfungen sind laut NISG 2026 für die organisatorischen Risikomanagementmaßnahmen anrechenbar. [8]

Die Studie „NIS2 Sensor 2026" bestätigt das explizit: Eine ISO 27001-Zertifizierung kann als Nachweis für die organisatorische und operative Umsetzung der NIS2-Anforderungen herangezogen werden. Zusätzliche technische Audits bleiben in der Regel erforderlich, aber der organisatorische Unterbau steht. [4]

RockLogic ist seit März 2026 nach ISO 27001:2022 zertifiziert, auditiert von Tempo Audits unter UKAS-Akkreditierung. Dieses ISMS ist nicht nur intern wirksam. Es bildet die Grundlage dafür, wie wir Informationssicherheit auch bei unseren Kunden strukturiert umsetzen.

Roadmap: In sechs Schritten zur NIS2-Konformität mit RockLogic

Für Unternehmen, die jetzt mit der Umsetzung beginnen, empfehlen wir folgenden strukturierten Weg:

Schritt 1: Betroffenheitsanalyse (sofort)

Klären Sie, ob Ihr Unternehmen direkt unter das NISG 2026 fällt oder über die Lieferkette betroffen ist. Prüfen Sie Sektor, Unternehmensgröße und bestehende Verträge mit NIS2-pflichtigen Kunden. Die WKO bietet dazu einen Online-Ratgeber an. [3]

Was RockLogic beiträgt: Wir unterstützen bei der Einordnung Ihrer IT-Landschaft und identifizieren, welche Systeme und Prozesse in den Geltungsbereich fallen.

Schritt 2: IST-Analyse der IT-Infrastruktur (Q2 2026)

Bestandsaufnahme aller Netz- und Informationssysteme, Endgeräte, Netzwerkkomponenten, Server, Backup-Systeme, Cloud-Dienste und Zugriffsstrukturen.

Was RockLogic beiträgt: Als Managed-Services-Anbieter betreuen wir die gesamte IT-Infrastruktur unserer Kunden: Endpoint Management mit MDM, Netzwerktechnik, Virtualisierung (Proxmox VE), Server, Backups und MS365-Administration. Wir kennen die typischen Lücken, die sich in der Praxis zeigen: fehlende Netzwerksegmentierung, unzureichendes Patchmanagement, Endgeräte ohne Mobile Device Management, Monitoring das nur auf dem Papier existiert.

Schritt 3: Risikobewertung und Gap-Analyse (Q2/Q3 2026)

Abgleich des IST-Zustands mit den Anforderungen des NISG 2026. Wo gibt es Lücken bei Netzwerksicherheit, Zugriffsmanagement, Backup, Protokollierung oder Lieferkettensicherheit?

Was RockLogic beiträgt: Auf Basis unseres eigenen ISO 27001-ISMS wissen wir, wie eine strukturierte Risikoanalyse aufgebaut wird. Wir helfen Ihnen, die Lücken zu identifizieren und nach Kritikalität zu priorisieren.

Schritt 4: Umsetzung der technischen Maßnahmen (Q3 2026)

Schließung der identifizierten Lücken: Netzwerksegmentierung, Firewall-Konfiguration, Zugriffskonzepte, Backup-Strategien mit definierten RPO/RTO-Werten, Monitoring-Aufbau, Härtung der Endgeräte.

Was RockLogic beiträgt: Das ist unser Kerngeschäft. Wir setzen die technischen Maßnahmen operativ um und betreiben sie im laufenden Betrieb. Kein einmaliges Projekt, das danach im Ordner verstaubt, sondern kontinuierliche Betreuung.

Schritt 5: Dokumentation und Schulung (vor 01.10.2026)

Dokumentation aller umgesetzten Maßnahmen, Erstellung von Notfall- und Wiederanlaufplänen, Vorbereitung der Selbstdeklaration. Schulung der Geschäftsführung in Cybersicherheitsgrundlagen.

Was RockLogic beiträgt: Wir unterstützen bei der Dokumentation der technischen Maßnahmen und liefern die Grundlage für Ihre Selbstdeklaration. Unsere ISO 27001-Erfahrung hilft, die Dokumentation praxistauglich zu gestalten, nicht als Papiertiger, sondern als gelebtes System.

Schritt 6: Registrierung und laufende Compliance (ab 01.10.2026)

Registrierung bei der Cybersicherheitsbehörde bis 31.12.2026. Abgabe der Selbstdeklaration bis 30.09.2027. Aufbau einer Incident-Response-Fähigkeit für die Meldepflichten. [3]

Was RockLogic beiträgt: Durch unser proaktives Monitoring und den laufenden Betrieb Ihrer Infrastruktur sind wir in der Lage, Sicherheitsvorfälle frühzeitig zu erkennen und die notwendigen Informationen für Meldungen zeitnah bereitzustellen.

Fazit: Sechs Monate sind nicht viel

Bis zum 1. Oktober 2026 bleiben rund sechs Monate. Wer noch nicht begonnen hat, sollte jetzt starten. Die Anforderungen des NISG 2026 sind umfangreich, aber sie sind nicht abstrakt. Es geht um konkrete technische und organisatorische Maßnahmen, die jedes Unternehmen mit der richtigen Unterstützung umsetzen kann.

Wir machen aus Compliance kein Beratungsprojekt mit PowerPoint-Folien. Wir setzen die Infrastruktur auf, betreiben sie und dokumentieren, was getan wurde. Das ist der Unterschied zwischen einem Berater und einem Managed-Services-Partner.

RockLogic GmbH ist ein österreichischer IT-Infrastruktur-Dienstleister mit Sitz in Stockerau, Bezirk Korneuburg. Wir betreuen die gesamte IT-Infrastruktur unserer Kunden: Endgeräte inkl. MDM, Netzwerktechnik, Virtualisierung (Proxmox VE), Server, Backups und MS365-Administration. Seit März 2026 sind wir ISO 27001:2022-zertifiziert.

Sie möchten wissen, wie NIS2 Ihr Unternehmen betrifft? Kontakt aufnehmen

Quellen

[1] Austrian Standards: NIS-2 & NISG 2026 in Österreich: Pflichten & Fristen — https://www.austrian-standards.at/de/standardisierung/aktuelle-themen/technologie-innovation/nis-2

[2] Parlament Österreich: Regierungsvorlage NISG 2026 (308 d.B.) — https://www.parlament.gv.at/gegenstand/XXVIII/I/308

[3] WKO: NISG 2026 – neue Pflichten zur Cybersicherheit für Unternehmen — https://www.wko.at/it-sicherheit/nis2-uebersicht

[4] CERTAINITY / IMAS: Studie „NIS2 Sensor 2026" (März 2026, n=300) — https://certainity.com/nis2-sensor-2026/

[5] Schoenherr Rechtsanwälte: Österreich: NISG 2026 – Alles, was Sie wissen müssen — https://www.schoenherr.eu/content/oesterreich-nisg-2026-alles-was-sie-wissen-mussen

[6] Fellner Wratzfeld & Partner: NISG 2026: Der neue Entwurf im Überblick — https://www.fwp.at/news/blog/nisg-2026-der-neue-entwurf-im-ueberblick

[7] BG&P: NIS2 in Österreich: NISG 2026 bringt neue Pflichten und hohe Strafen — https://bgundp.com/2025/12/22/nis2-oesterreich-nisg-2026-umsetzung-compliance/

[8] KPMG: Netz- und Informationssystemsicherheitsgesetz 2026 — https://kpmg.com/at/de/insights/2025/12/nisg-2026.html