NISG 2026: Betrifft das NIS2-Update auch Ihr Unternehmen ab 1. Oktober 2026?

Am 1. Oktober 2026 tritt das neue Netz- und Informationssystemsicherheitsgesetz 2026 in Kraft. Damit setzt Österreich die europäische NIS-2-Richtlinie um. Seitdem ich beim Update-Webinar dabei war, beschäftigt mich vor allem eine Beobachtung: Viele Unternehmen wissen inzwischen, dass etwas kommt. Aber nur wenige haben wirklich klar vor Augen, was das konkret für ihren Alltag bedeutet. Und genau darum geht es.

NISG: „Sind wir überhaupt betroffen?“

Diese Frage habe ich bereits 2024 ausführlich aufgegriffen – inklusive einer Matrix zur Einordnung, ob ein Unternehmen als wesentliche oder wichtige Einrichtung gilt. Wer das noch nicht geprüft hat, sollte genau dort beginnen.

Denn ohne diese Einordnung fehlt jede strategische Grundlage. Das NISG (Netz-Informations-Sicherheits-Gesetz, Nachlesen NISG via RIS) 2026 betrifft grundsätzlich mittlere und große Unternehmen in definierten kritischen Sektoren – von Energie über Gesundheit bis hin zu digitaler Infrastruktur.

Doch auch kleinere Unternehmen können indirekt betroffen sein. Zum Beispiel, wenn ein großer Kunde in Zukunft von ihnen als Lieferant in seiner Lieferkette vertraglich verlangt, dass bestimmte Sicherheitsstandards eingehalten und nachgewiesen werden. Cybersicherheit wird damit nicht nur regulatorisch, sondern wirtschaftlich relevant.

Warum das kein IT-Projekt ist

Was sich durch das Update und das finale Gesetz ganz klar zeigt: Cybersecurity ist Chefsache. Das Gesetz legt die Verantwortung ausdrücklich bei den Leitungsorganen fest. Geschäftsführerinnen, Vorstände und geschäftsführende Gesellschafter tragen die Gesamtverantwortung für die Einhaltung und Überwachung der Maßnahmen.

Das bedeutet: Es reicht nicht mehr, wenn „die IT das schon macht“. Was aber auch schon zum DSGVO-Start vielen bewusst sein hätte sollen.

Es braucht strategische Entscheidungen, Ressourcen, klare Zuständigkeiten und ein echtes Verständnis für Risiken. Und ja – auch verpflichtende Schulungen für Führungskräfte sind vorgesehen.

Was Unternehmen konkret umsetzen müssen

Im Kern verlangt das NISG 2026 ein strukturiertes, nachvollziehbares Risikomanagement für Netz- und Informationssysteme.

Das klingt technisch, es sind aber im Grunde unternehmerische Grundfragen:

• Wo liegen unsere kritischen Prozesse?
• Was würde passieren, wenn sie ausfallen?
• Wie schnell könnten wir reagieren?

Gefordert sind unter anderem ein sauberes Sicherheitskonzept, ein funktionierendes Incident-Management, ein belastbares Backup- und Notfallkonzept sowie klare Regelungen zur Lieferkette.

Gerade das Thema Lieferkette wird oft unterschätzt. Zwei Drittel der gemeldeten schwerwiegenden IKT-Vorfälle im Finanzbereich standen zuletzt im Zusammenhang mit externen Dienstleistern.

Das heißt übersetzt: Die Schwachstelle sitzt häufig nicht im eigenen Serverraum, sondern beim Partner. Und als wesentliches oder wichtiges Unternehmen tragen Sie dafür Mitverantwortung.

Die Meldepflichten – wenn es ernst wird

Ein weiterer Punkt, der häufig unterschätzt wird: die Meldepflicht bei erheblichen Cybersicherheitsvorfällen.

Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen. Eine erste Bewertung innerhalb von 72 Stunden. Ein Abschlussbericht spätestens nach einem Monat.

Das funktioniert nur, wenn Prozesse vorbereitet sind. Im Ernstfall bleibt keine Zeit, Zuständigkeiten zu diskutieren.

Wesentlich oder wichtig – was ist der Unterschied?

Der Unterschied liegt vor allem in der Intensität der Aufsicht und im Strafrahmen.

Wesentliche Einrichtungen unterliegen einer strengeren Kontrolle und können auch ohne konkreten Anlass geprüft werden. Zudem sind die möglichen Geldstrafen höher – bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Wichtige Einrichtungen werden primär bei begründeten Hinweisen geprüft, doch auch hier sind Sanktionen von bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes vorgesehen.

Noch entscheidender als die Höhe der Strafen ist aber etwas anderes: Reputationsverlust, Vertrauensbruch, Lieferkettenprobleme. Das Gesetz ist nur der formale Rahmen. Der Markt reagiert viel schneller.

Die entscheidenden Fristen

Das Gesetz tritt am 1. Oktober 2026 in Kraft. Die Registrierung muss innerhalb von drei Monaten erfolgen – spätestens bis 31. Dezember 2026

Bis 30. September 2027 ist eine Selbstdeklaration über die umgesetzten Risikomanagementmaßnahmen vorzulegen. Und ab Oktober 2028 kann die Behörde Prüfungen anordnen.

Was nach viel Zeit klingt, ist in der Praxis schnell vorbei – vor allem wenn man bei null startet.

Die eigentliche Frage ist nicht „müssen wir?“

Die spannendere Frage lautet: Wie resilient ist unser Unternehmen wirklich?

Wenn ein Internet-Ausfall oder ein Cyberangriff Ihren Betrieb mehrere Tage lahmlegt, was kostet Sie das? Finanziell. Emotional. Reputativ.

Genau darum geht es beim NISG. Nicht um Bürokratie. Sondern um Stabilität.

Mein NISG-Impuls für Sie

Nutzen Sie die Zeit bis Oktober 2026 nicht als Aufschub, sondern als strategisches Umsetzungsfenster.

• Klären Sie Ihre Betroffenheit – wichtig, wesentlich oder in der Lieferkette?
• Benennen Sie klare Verantwortlichkeiten für Technik, Organisation und Kultur der IT-Security.
• Starten Sie mit einer ehrlichen Bestandsaufnahme, z.B. durch ein Friendly Audit durch uns.

Nicht, weil es das Gesetz verlangt. Sondern weil Ihr Unternehmen es wert ist, stabil und zukunftsfähig aufgestellt zu sein.

Wenn Sie möchten, gehen wir die mögliche Roadmap gemeinsam strukturiert durch – pragmatisch, verständlich und mit Blick auf das, was für Ihr Unternehmen wirklich relevant ist.

Denn Digitalisierung und Sicherheit sind kein Selbstzweck.
Sie werden dann wirksam, wenn sie Prozesse vereinfachen, Teams stärken – und Zukunft sichern. Und das kann die Vorbereitung auf das NISG auch leisten.