Österreich hat mit dem Umlaufbeschluss im Ministerrat im November 2025 die Umsetzung der NIS-2-Richtlinie gestartet. Der Entwurf des Netz- und Informationssystemsicherheitsgesetzes 2026 (NISG 2026) wurde ins parlamentarische Verfahren eingebracht.
„Die NIS-2-Richtlinie ist ein essenzieller Baustein der EU zur Schaffung eines Rechtsrahmens für die Aufrechterhaltung der Cybersicherheit, um auf die zunehmende Gefährdung Europas durch Cyberbedrohungen zu reagieren. Vor dem Hintergrund, dass laut unserer zehnten Auflage der KPMG- und KSÖ-Studie „Cybersecurity in Österreich 2025“ jeder siebente Cyberangriff auf österreichische Unternehmen erfolgreich war, ist die Umsetzung der Regulatorik eine existenzielle Notwendigkeit“, so KPMG-Partner Robert Lamprecht.
Die Übergangsfrist wurde verlängert: Nach neun Monaten tritt das Gesetz in Kraft, Unternehmen haben dann Zeit, ihre technischen und organisatorischen Maßnahmen umzusetzen. Anschließend beginnt eine zwölfmonatige Frist zur Selbstdeklaration, in der sie Angaben zur Wirksamkeit ihrer Maßnahmen machen müssen. Die Risikomanagementmaßnahmen sind allgemein beschrieben; die Behörde kann jedoch per Verordnung konkrete Vorgaben festlegen. Bereits bestehende ISO/IEC27001-Zertifikate können angerechnet werden.
Die Cybersecurity-Studie zeigt, dass viele Unternehmen sich gut vorbereitet fühlen: 34 Prozent bei den technischen, 39 Prozent bei den organisatorischen Maßnahmen. Andreas Tomek von KPMG betonte, dass die Prüfungen unabhängiger Stellen zeigen werden, wie realistisch diese Einschätzungen sind. Lamprecht hob hervor, dass regelmäßiger Austausch zwischen Unternehmen und Behörden wichtig ist, um eine gemeinsame Cybersicherheitskultur zu entwickeln. Tomek ergänzte, dass Unternehmen, die die Vorgaben aktiv umsetzen, sich als vertrauenswürdige Partner etablieren und Österreichs digitale Souveränität stärken.
Weitere Neuerungen: Unternehmen bestimmen künftig selbst, ob sie unter den Anwendungsbereich fallen, und müssen sich bei der zuständigen NIS-2-Behörde registrieren. Ein Konzernprivileg gibt es nicht. Zuständige Behörde wird eine nachgelagerte Stelle des Innenministeriums, ähnlich dem deutschen BSI.
