In einem zweiten Anlauf wurde die Umsetzung der NIS-2-Richtlinie der EU (RL (EU) 2022/2555) nun sowohl im Nationalrat als auch im Bundesrat beschlossen. Mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) wird der europäische Rechtsrahmen zur Cybersicherheit in österreichisches Recht umgesetzt. Das Gesetz wurde am 23.12.2025 kundgemacht und entfaltet ab 1.10.2026 seine Wirkungen.
Ziel des NISG 2026 ist es, ein hohes gemeinsames Cybersicherheitsniveau für jene Sektoren und Teilsektoren sicherzustellen, die für das Funktionieren von Gesellschaft und Wirtschaft von wesentlicher Bedeutung sind. Zu diesem Zweck werden umfassende Maßnahmen zur Absicherung von Netz- und Informationssystemen vorgesehen sowie das Bundesamt für Cybersicherheit als zentrale Cybersicherheitsbehörde eingerichtet.
Vom Anwendungsbereich des NISG 2026 erfasst sind insbesondere mittlere und große Unternehmen aus kritischen Sektoren wie Energie, Verkehr, Bankwesen, digitale Infrastruktur, Gesundheitswesen, Abfallbewirtschaftung und auch die öffentliche Verwaltung. Maßgeblich für die Einstufung als „mittleres“ oder „großes“ Unternehmen sind die Anzahl der Beschäftigten, der Jahresumsatz sowie die Jahresbilanzsumme. Bei komplexeren Unternehmensstrukturen – etwa bei Tochtergesellschaften innerhalb eines Konzerns – ist eine Einzelfallprüfung erforderlich, weil zusätzliche Beurteilungskriterien heranzuziehen sind; hier kann es zur Zusammenrechnung dieser Kennzahlen kommen. Kleine Unternehmen sind grundsätzlich nicht erfasst; Ausnahmen davon bestehen jedoch für Unternehmen wie Anbieter öffentlicher elektronischer Kommunikationsnetze und Vertrauensdiensteanbieter. Auf alle Fälle empfiehlt es sich, eine frühzeitige rechtliche und organisatorische Prüfung durchzuführen, um allfällige Verpflichtungen rechtzeitig zu identifizieren und entsprechende Maßnahmen umzusetzen.