Am 12. 12. 2026 wurde das Netz- und Informationssystemsicherheitsgesetzes (NISG) 2026 im Nationalrat beschlossen und markiert damit das Ende der Ungewissheit und den Beginn einer intensiven Umsetzungsphase für die österreichische Wirtschaft. Das NISG 2026 überführt die EU-weite NIS-2-Richtlinie in nationales Recht und weitet den Kreis der Pflichtigen auf rund 4.000 Unternehmen aus – eine massive Steigerung gegenüber dem alten NISG. Betroffen sind nicht nur die klassischen Kritischen Infrastrukturen, sondern auch weite Teile des verarbeitenden Gewerbes und der digitalen Dienstleistungsökonomie (Cloud-Dienste, Rechenzentren).
Risiko und Haftung auf Führungsebene
Die neuen gesetzlichen Regelungen erhöhen den Druck auf das Risikomanagement drastisch. Das Gesetz verlangt die Einhaltung eines umfassenden Katalogs von elf Mindestanforderungen an die Cybersicherheit. Diese reichen von der obligatorischen Einführung von Multi-Faktor-Authentifizierung (MFA) und robuster Verschlüsselung bis hin zur Einrichtung eines professionellen Krisenmanagements inklusive umfassender Notfallpläne.
Die wohl größte Herausforderung liegt in der Meldepflicht (erste Warnung binnen 24 Stunden) und der persönlichen Haftung der Geschäftsleitung für die Einhaltung. Die möglichen Sanktionen sind immens: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sind möglich.
Die Kaskadenwirkung der Lieferkette
Besondere Brisanz liegt in der Pflicht zur Absicherung der digitalen Lieferkette. Alle 4.000 erfassten Unternehmen müssen künftig die Sicherheitsstandards ihrer Dienstleister und Zulieferer vertraglich einfordern und überprüfen. Dies führt zu einer Kaskadenwirkung, durch die auch Tausende kleinere Unternehmen, die formal nicht unter das Gesetz fallen, indirekt zur NIS-2-Compliance gezwungen werden.
WKÖ fordert „Beraten statt Strafen“
Markus Roth, Obmann der WKÖ-Bundessparte Information und Consulting, begrüßt zwar die geschaffene Rechtssicherheit, mahnt aber zur sofortigen Vorsicht bei der Umsetzung: „Angesichts der komplexen und herausfordernden Thematik muss Beratung im Vordergrund stehen – Beraten statt Strafen.“ Er fordert von der Cybersicherheitsbehörde eine pragmatische Linie, um eine Überforderung der KMU zu vermeiden. Für Unternehmen besteht nun akuter Handlungsbedarf. Die gesetzlichen Fristen sind eng gesteckt. Der erste Schritt muss eine Gap-Analyse sein, welche die Diskrepanz zwischen dem aktuellen IT-Sicherheitsniveau und den elf geforderten Mindestanforderungen aufzeigt. Priorität hat die Implementierung des Incident Response-Prozesses, um die Einhaltung der strengen Meldepflichten gewährleisten zu können.
