NISG 2026 in Österreich: Wer betroffen ist und was jetzt zu tun ist

von RA Clemens Handl 

 1. Ausgangslage

Mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) setzt Österreich die NIS-2-Richtlinie Das Gesetz wurde am 23. Dezember 2025 kundgemacht und tritt mit 1. Oktober 2026 in Kraft. Ziel des Gesetzgebers ist es, ein unionsweit hohes und möglichst einheitliches Cybersicherheitsniveau für Netz- und Informationssysteme sicherzustellen.

Für Unternehmen stellt sich damit eine zentrale Weichenstellung: Ob und in welchem Umfang das NISG 2026 zur Anwendung kommt. Diese Frage lässt sich nicht allein anhand der Unternehmensgröße beantworten. Ausschlaggebend ist stets das Zusammenspiel von Größe und konkreter wirtschaftlicher Tätigkeit.

Der folgende Beitrag ordnet den Anwendungsbereich des NISG 2026 rechtlich ein, zeigt typische Abgrenzungsprobleme auf und skizziert die praktischen Konsequenzen für betroffene Unternehmen.

2. Anwendungsbereich des NISG 2026

Der persönliche Anwendungsbereich des NISG 2026 ergibt sich aus den §§ 24 ff NISG 2026 und erfasst Unternehmen mit einer Niederlassung in Österreich. Das Gesetz unterscheidet systematisch zwischen sogenannten wesentlichen Einrichtungen und wichtigen Einrichtungen. Die Zuordnung erfolgt nach einem zweistufigen Prüfungsmodell, das zunächst auf die Unternehmensgröße und in einem zweiten Schritt auf die Zugehörigkeit zu bestimmten gesetzlich definierten Sektoren

Als mittlere Unternehmen gelten Unternehmen mit zumindest 50 Beschäftigten oder mit einem Jahresumsatz und einer Jahresbilanzsumme von jeweils mehr als zehn Millionen Euro.

Große Unternehmen liegen vor, wenn zumindest 250 Mitarbeiter beschäftigt werden oder ein Jahresumsatz von mehr als fünfzig Millionen Euro sowie eine Bilanzsumme von mehr als dreiundvierzig Millionen Euro erreicht werden.

Bei der Ermittlung dieser Schwellenwerte sind die Kennzahlen von Partner- oder verbundenen Unternehmen zu berücksichtigen, sofern keine vollständige organisatorische, technische und operative Trennung besteht. In der Praxis führt dies insbesondere bei konzerninternen IT- oder Shared-Service-Gesellschaften regelmäßig zu einer Zurechnung.

3. Wesentliche Einrichtungen

Als wesentliche Einrichtungen qualifizieren einerseits bestimmte Unternehmen unabhängig von ihrer Größe, sofern sie besonders kritische Tätigkeiten ausüben. Dazu zählen etwa qualifizierte Vertrauensdiensteanbieter oder Betreiber zentraler digitaler Infrastrukturen. Darüber hinaus gelten mittlere Unternehmen als wesentliche Einrichtungen, wenn sie öffentliche elektronische Kommunikationsnetze oder öffentlich zugängliche Kommunikationsdienste betreiben. Schließlich fallen auch große Unternehmen unter diese Kategorie, sofern sie ihre Haupttätigkeit in einem kritischen Sektor gemäß Anlage 1 des NISG 2026 ausüben.

Zu diesen kritischen Sektoren zählen unter anderem Energie, Verkehr, Bankwesen und Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser- und Abwasserwirtschaft, digitale Infrastruktur, die Verwaltung von IKT-Diensten im B2B-Bereich sowie die öffentliche Verwaltung.

4. Wichtige Einrichtungen

Wichtige Einrichtungen sind Unternehmen, die keine wesentlichen Einrichtungen sind, ein mittleres oder großes Unternehmen betreiben und in einem der in den Anlagen 1 oder 2 genannten Sektoren tätig sind. Während Anlage 1 die kritischen Sektoren erfasst, umfasst Anlage 2 weitere kritische Bereiche wie Post- und Kurierdienste, Abfallbewirtschaftung, Lebensmittelproduktion, chemische Industrie, bestimmte Teile des verarbeitenden Gewerbes, Anbieter digitaler Dienste sowie Forschungseinrichtungen.

Auch im Bereich der wichtigen Einrichtungen ist entscheidend, dass eine eigenständige, sektorbezogene Tätigkeit vorliegt. Ohne einen sachlichen Bezug zu den in den Anlagen genannten Tätigkeiten entfaltet das NISG 2026 keine Wirkung, selbst wenn die Unternehmensgröße die relevanten Schwellen überschreitet.

5. Typische Fehlannahmen in der Praxis

In der rechtlichen Praxis zeigt sich, dass das NISG 2026 häufig überschätzt oder falsch eingeordnet wird. Weder führt die bloße Qualifikation als großes Unternehmen automatisch zur Anwendbarkeit des Gesetzes, noch begründet jede energienahe Tätigkeit, etwa der Betrieb eigener Photovoltaikanlagen, eine Einstufung im Energiesektor. Ebenso lösen konzerninterne IT-Dienstleistungen nicht per se die Anwendung des NISG 2026 aus. Ausschlaggebend bleibt stets, ob tatsächlich Dienste gemäß den Anlagen 1 oder 2 erbracht werden.

Das NISG 2026 ist damit kein allgemeines IT-Compliance-Gesetz, sondern ein klar sektorspezifisches Regulierungsinstrument.

6. Pflichten bei Anwendbarkeit des NISG 2026

Unternehmen, die als wesentliche oder wichtige Einrichtung qualifizieren, unterliegen umfangreichen rechtlichen Verpflichtungen. Sie haben sich bis spätestens Dezember 2026 bei der Cybersicherheitsbehörde zu registrieren und relevante Änderungen laufend zu melden. Darüber hinaus sind angemessene technische, organisatorische und operative Maßnahmen zur Beherrschung von Cybersicherheitsrisiken umzusetzen.

Besondere Bedeutung kommt der Governance zu. Das NISG 2026 verlagert die Verantwortung für Cybersicherheit ausdrücklich auf die Ebene der Leitungsorgane. Geschäftsleiter sind nicht nur organisatorisch eingebunden, sondern rechtlich verpflichtet, die Einhaltung der Cybersicherheitsanforderungen sicherzustellen und laufend zu überwachen. Cybersicherheit wird damit zu einer originären Managementaufgabe und kann nicht wirksam an die IT-Abteilung delegiert werden.

Die Leitungsorgane haben dafür zu sorgen, dass angemessene technische, organisatorische und operative Maßnahmen tatsächlich implementiert werden und im laufenden Betrieb wirksam sind. Dazu gehört auch die persönliche Teilnahme an spezifisch ausgestalteten Cybersicherheitsschulungen. Unterbleiben diese Maßnahmen oder beschränkt sich die Geschäftsleitung auf formale Vorgaben ohne effektive Kontrolle, entsteht ein erhebliches Haftungsrisiko. Regelmäßige Schulungen der Mitarbeiter sind Teil dieser Organisationsverantwortung und dienen zugleich der Haftungsprävention auf Leitungsebene.

Ein zentrales Novum des NISG 2026 liegt in den ausgeprägten Lieferketten-Sorgfaltspflichten. Unternehmen müssen Cyberrisiken entlang ihrer unmittelbaren Liefer- und Dienstleistungsketten bewerten und Cybersicherheitsanforderungen vertraglich absichern. Die eigene Compliance reicht nicht aus, wenn Schwachstellen bei Vertragspartnern bestehen.

Innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht ist zudem eine Selbstdeklaration gegenüber der Cybersicherheitsbehörde abzugeben, die eine Risikoanalyse sowie eine Darstellung der umgesetzten Maßnahmen enthält. Bei erheblichen Cybersicherheitsvorfällen bestehen strenge Meldepflichten, beginnend mit einer Frühwarnung binnen 24 Stunden bis hin zu einer Abschlussmeldung innerhalb eines Monats.

7. Sanktionen und Geschäftsleiterhaftung

Verstöße gegen das NISG 2026 sind mit empfindlichen Verwaltungsstrafen bedroht. Bei wesentlichen Einrichtungen drohen Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Diese Sanktionen richten sich zwar formal gegen die juristische Person, sie sind jedoch regelmäßig Ausfluss eines Organisations- oder Überwachungsversagens auf Ebene der Geschäftsleitung.

Das Gesetz knüpft ausdrücklich an Pflichtverletzungen von Personen in Führungspositionen an, insbesondere dann, wenn diese aufgrund mangelnder Aufsicht oder Kontrolle Cybersicherheitsverstöße ermöglicht oder begünstigt haben. Für Geschäftsleiter bedeutet dies, dass Cybersicherheit nicht nur ein Compliance-Thema, sondern ein haftungsrelevanter Bestandteil der ordnungsgemäßen Unternehmensführung ist. Eine unzutreffende Einstufung des Unternehmens, verspätete Registrierungen, unzureichende Risikomanagementmaßnahmen oder fehlende Lieferkettenkontrollen können als schuldhafte Pflichtverletzung gewertet werden.

In der Praxis steigt damit das persönliche Risiko von Geschäftsführern, Vorständen und sonstigen Leitungsorganen deutlich an. Wer Cybersicherheit nicht strukturiert steuert, dokumentiert und überwacht, setzt sich nicht nur behördlichen Sanktionen, sondern auch gesellschaftsrechtlichen Regressansprüchen aus.

8.  Fazit

Das NISG 2026 entfaltet keine flächendeckende Wirkung, birgt jedoch erhebliche Risiken bei unzutreffender Einordnung. Unternehmen sind gut beraten, ihre tatsächliche Tätigkeit präzise zu analysieren, die Unternehmensgröße korrekt unter Berücksichtigung konzernrechtlicher Verflechtungen zu bestimmen und frühzeitig Governance- sowie Vertragsstrukturen anzupassen. Eine saubere rechtliche Qualifikation ist die Grundlage jeder tragfähigen Cybersicherheitsstrategie.

 

Ihre Praxisgruppe data & technology bei CHG Rechtsanwälte berät Unternehmen umfassend zur Anwendbarkeit des NISG 2026, zur strategischen Umsetzung der gesetzlichen Pflichten und zur Haftungsminimierung auf Ebene der Geschäftsleitung.