Am 12. Dezember 2025 hat der Nationalrat das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) mit der erforderlichen Zweidrittelmehrheit beschlossen. Damit setzt Österreich die EU-Richtlinie NIS-2 – verspätet – in nationales Recht um. Ein entscheidender und überfälliger Schritt – nach dem gescheiterten Anlauf 2024 – um die bestehende Cybersecurity-Lücke zu schließen. Für viele Organisationen beginnt damit eine neue Phase: der Wechsel von der Debatte über das “Ob” hin zur konkreten Arbeit am “Wie”.
Die NIS-2-Richtlinie ist seit Anfang 2023 in Kraft und hätte bis Oktober 2024 in nationales Recht umgesetzt werden müssen. In Österreich scheiterte der erste Versuch 2024 an der Zweidrittelmehrheit im österreichischen Parlament. Der nun beschlossene Text orientiert sich zwar stark an der damaligen Vorlage, enthält aber gezielte Anpassungen, insbesondere bei Meldepflichten, Übergangsfristen und der institutionellen Ausgestaltung der Cybersicherheitsbehörde. Damit wurde nicht nur die politische Blockade aufgehoben, sondern auch der europäische Druck durch das Vertragsverletzungsverfahren beseitigt.
Aufgrund der bisherigen Rechtslage standen in Österreich rund 100 Unternehmen im Fokus, vor allem klassische kritische Infrastrukturen und bestimmte digitale Dienste. Mit dem NISG 2026 wird der Anwendungsbereich auf mehrere tausend Einrichtungen ausgeweitet. Inhaltlich greift das Gesetz breiter: Es umfasst 18 Sektoren, von Energie und digitaler Infrastruktur über Verkehr, Gesundheit und öffentliche Verwaltung bis hin zu Lebensmittelproduktion, Abfallbewirtschaftung, verarbeitendem Gewerbe und Forschung.
Auffällig dabei ist der Systemwechsel beim „Wer ist betroffen?“: Die Einstufung erfolgt künftig nicht primär über einen behördlichen Bescheid, sondern durch Selbsteinstufung und Registrierung. Gleichzeitig entfällt das Konzernprivileg und Gesellschaften sind grundsätzlich einzeln zu betrachten. Das erhöht die Transparenz, kann aber auch gleichzeitig den Koordinationsaufwand in den Konzernstrukturen deutlich erhöhen, weil Zuständigkeiten, Nachweise und Fristen für jeden Rechtsträger eindeutig organisiert werden müssen.
Zentraler Baustein des NISG 2026 ist die Errichtung eines Bundesamts für Cybersicherheit im Innenministerium. Diese Behörde ist dem Innenminister unmittelbar unterstellt, organisatorisch aber außerhalb der Generaldirektion für die öffentliche Sicherheit angesiedelt. Die neu geschaffene Behörde soll als nationale NIS-Behörde fungieren, die Umsetzung koordinieren, als Single Point of Contact (SPOC) dienen und den Informationsaustausch, auch auf EU-Ebene, sicherstellen. Zusätzlich wird hier die Weiterentwicklung bzw. Koordination einer nationalen Cybersicherheitsstrategie verankert. Neu bzw. stärker ausgebaut ist auch das Element der politischen Kontrolle: Weisungen an die Behördenleitung sollen halbjährlich veröffentlicht werden.
Operativ soll das Bundesamt durch ein oder mehrere Computer Security Incident Response Teams (CSIRTs) unterstützt werden. Diese Teams analysieren Bedrohungen, begleiten Vorfälle und geben Empfehlungen für Prävention und Abhilfe. Bis die neuen Strukturen formal ermächtigt sind, übernimmt das bestehende Government Computer Emergency Response Team (GovCERT) übergangsweise Aufgaben eines nationalen CSIRT. Zusätzlich können sektorspezifische CSIRTs eingerichtet werden, besonders dort, wo Sensitivität und Komplexität hoch sind.
Das NISG 2026 verlangt ein umfassendes Risikomanagement, das technische, organisatorische und operative Maßnahmen umfasst. Genannt werden unter anderem Netzwerksicherheit, Identitäts- und Zugriffsmanagement, Protokollierung, Kryptografie, Notfallvorsorge, regelmäßige Schwachstellenanalysen und Lieferkettensicherheit. ISO/IEC-27001-Zertifizierungen können im organisatorischen und operativen Teil der Prüfung als Nachweis angerechnet werden.
Gleichzeitig legt das Gesetz den Fokus stark auf die Verantwortlichkeit der Leitungsorgane: Umsetzung und Wirksamkeit der Maßnahmen sind ausdrücklich Managementaufgabe, inklusive einer Verpflichtung zu regelmäßigen Schulungen. Damit wird Cybersicherheit nicht nur als IT-Thema, sondern als Bestandteil der Unternehmenssteuerung normiert.
Bei erheblichen Vorfällen führt das Gesetz ein mehrstufiges Meldesystem ein: Eine Frühwarnung binnen 24 Stunden, eine ausführliche Meldung binnen 72 Stunden und anschließend einen Abschluss- oder Fortschrittsbericht spätestens nach einem Monat.
Die Aufsicht ist gestuft. Wesentliche Einrichtungen unterliegen einer proaktiven, ex-ante Kontrolle, wichtige Einrichtungen einer anlassbezogenen Aufsicht. Die Behörde erhält weitreichende Befugnisse, von Auskunftsverlangen über Vor-Ort-Prüfungen bis zu technischen Tests und verpflichtenden Abhilfemaßnahmen.
Ein zentrales Register aller wesentlichen und wichtigen Einrichtungen wird implementiert. Die Registrierung muss binnen drei Monaten nach Inkrafttreten erfolgen und dient auch dem unionsweiten Informationsaustausch (insbesondere mit der Agentur der Europäischen Union für Cybersicherheit). Darauf folgt binnen zwölf Monaten eine strukturierte Selbstdeklaration zum Stand der Risikomanagementmaßnahmen. Zusätzlich ist ein unabhängiger Prüfbericht spätestens zwei Jahre nach Aufforderung vorzulegen.
Die Übergangsfristen wurden gegenüber dem Entwurf 2024 verlängert. Das NISG 2026 soll neun Monate nach Kundmachung im Bundesgesetzblatt, mit dem nächstfolgenden Monatsersten, in Kraft treten. Unternehmen haben damit bis Herbst 2026 Zeit, Systeme und Organisation anzupassen. Gleichzeitig ist es möglich Verordnungen bereits ab dem Tag nach der Kundmachung zu erlassen, diese werden aber erst mit Inkrafttreten wirksam. Die zeitliche Staffelung bleibt dennoch anspruchsvoll, weil Registrierung und Selbstdeklaration relativ eng auf das Inkrafttreten folgen.
Für die Wiener Stadtwerke ist das NISG 2026 nicht nur ein „IT-Gesetz“, sondern ein Rahmen, der zentrale Bereiche urbaner Daseinsvorsorge berührt: Energie, Netze, Mobilität, digitale Infrastruktur und Dienstleistungen, die im Alltag verlässlich funktionieren müssen. Gerade die Kombination aus breiter Sektorenabdeckung, streng getakteten Meldepflichten und der neuen Logik der Selbsteinstufung führt dazu, dass interne Abstimmungen künftig noch wichtiger werden, zwischen IT-Security, Betrieb, Recht/Compliance, Kommunikation und Management.
Spürbar ist auch, dass das Gesetz Detailanforderungen bewusst offenlässt und vieles in den Verordnungsweg verschiebt. Das ist technologisch flexibel, kann aber kurzfristig Planung erschweren: Viele Einrichtungen wissen, welche Themen sie abdecken müssen, aber noch nicht in welchem Detailgrad welche Maßstäbe im Vollzug erwartet werden. Umso wichtiger wird es, die sekundärrechtlichen Konkretisierungen früh mitzudenken und Nachweisfähigkeit so aufzubauen, dass sie nicht bei jeder Präzisierung neu erfunden werden muss.
Mit dem NISG 2026 ist die Grundsatzentscheidung gefallen: Cybersicherheit wird breiter, verbindlicher und stärker behördlich gesteuert. Die nächste Phase entscheidet sich im Vollzug, bei Verordnungen, Aufsichtspraktiken, Schnittstellen zwischen Bundesamt, CSIRTs, Branchenregulatoren und betroffenen Organisationen.
© Wiener LinienMit „Tap+Ride“ starten die Wiener Linien gemeinsam mit Visa Österreich ein neues Pilotprojekt, das den Ticketkauf im öffentlichen Verkehr vereinfachen soll. Statt Tickets vorab am Automaten oder in einer App zu kaufen, werden Bezahlen und Ticketlösen künftig zu einem einzigen Vorgang.
© metamorworksMit der Pressekonferenz vom 15. April 2026 hat Mobilitätsminister Peter Hanke den Start der nächsten Phase des automatisierten Fahrens in Österreich angekündigt. Nach mehr als einem Jahrzehnt der Forschung soll der Schritt vom isolierten Testbetrieb hin zu größeren Flotten und einem späteren Regelbetrieb gelingen. Der Fokus auf Modellregionen, einen angepassten Rechtsrahmen und konkrete Leitprojekte, vor allem im öffentlichen Verkehr im ländlichen Raum (als Zubringer) soll beibehalten werden. Minister Hanke machte deutlich, dass automatisiertes Fahren kein Selbstzweck ist, sondern einen konkreten Nutzen für die Menschen bringen soll: bessere Erreichbarkeit, mehr Verkehrssicherheit und eine zukunftsfähige Mobilitätsversorgung, sowohl in der Stadt als auch in Regionen mit bislang eingeschränktem öffentlichem Angebot.
© Kristine KozakaMobilitätsdaten sind das Fundament eines modernen Verkehrssystems. Ihre Qualität entscheidet darüber, wie effizient, nachhaltig und sozial inklusiv unsere Mobilität ist. In Wien wurde mit dem Aufbau der GIP als digitaler Zwilling des Verkehrssystems früh ein wichtiger Schritt gesetzt. Doch warum sind Mobilitätsdaten so entscheidend – und wie sichern wir ihre Qualität und Souveränität?
© FotaliaWer kontrolliert im Ernstfall unsere Daten? Welche Zugriffsrechte gelten und wie unabhängig ist Europas digitale Infrastruktur wirklich? Fragen wie diese galten lange als technische Detailthemen - heute stehen sie im Zentrum einer strategischen Grundsatzdebatte. Mit zunehmenden geopolitischen Spannungen rückt Europas digitale Handlungsfähigkeit in den Fokus. Die Abhängigkeit von internationalen Infrastrukturlieferanten, Softwareherstellern, Cloud- und Plattformanbietern wird nicht mehr nur wirtschaftlich bewertet, sondern zunehmend als Risiko für Sicherheit und Resilienz verstanden. Für Betreiber kritischer Infrastruktur ist das unmittelbar relevant. Die Wiener Stadtwerke sehen digitale Stabilität inzwischen als Teil moderner Daseinsvorsorge. Resilienz endet nicht bei Energie, Mobilität oder Netzen – sie umfasst auch die digitale Ebene, auf der zentrale Systeme und Daten verlässlich funktionieren müssen.
© Wiener StadtwerkeDie Geschäftsführung der Wiener Stadtwerke - Generaldirektor Peter Weinelt und Generaldirektor-Stellvertreterin Monika Unterholzner - war am 2. und 3. März in Brüssel, wo Termine mit hochrangigen politischen Vertreter*innen sowie mehrere Fachgespräche auf der Agenda standen. Höhepunkt des Aufenthalts war eine Abendveranstaltung im Wien-Haus unter dem Titel „Strengthening Europe’s Resilience: The Security of Critical Energy and Mobility Infrastructures“, bei der die Sicherheit und Resilienz kritischer Energie- und Mobilitätsinfrastrukturen im Mittelpunkt standen.
© Wien EnergieDie Europäische Kommission hat am 11. Februar einen umfassenden Aktionsplan zur Bekämpfung der zunehmenden Drohnenbedrohung in der EU vorgelegt. Besonders hervorzuheben ist, dass die Kommission ausdrücklich anerkennt, wie stark Betreiber kritischer Infrastrukturen von dieser Entwicklung betroffen sind. Sie greift damit zentrale Themen auf, die für die Wiener Stadtwerke von hoher Relevanz sind und wichtige Elemente der bereits formulierten Anforderungen im Bereich Drohnen- und Infrastruktursicherheit widerspiegeln.
© Markus SpiskeAuch im Bereich der Digitalgesetzgebung steht das Thema Resilienz weit oben auf der politischen Agenda. Angesichts zunehmender geopolitischer Spannungen gewinnen Bestrebungen nach größerer europäischer digitaler Souveränität an Bedeutung. Besonders Ausbau von Kapazitäten in Schlüsseltechnologien, insbesondere in der Künstlichen Intelligenz (KI), soll die technologische Souveränität stärken und Abhängigkeiten reduzieren. Gleichzeitig werden im Zuge laufender Bestrebungen zur Regulierungsvereinfachung zentrale Elemente der Digitalgesetzgebung überprüft.
© Simon KadulaDie Bundesregierung hat ihre Industriestrategie vorgelegt. Mit 114 Maßnahmen will die Bundesregierung Österreich bis 2035 unter die zehn wettbewerbsfähigsten OECD-Staaten bringen und den Industrieanteil von aktuell 16,9 auf über 20 Prozent steigern.
© Albert StoynovAm 12. Dezember 2025 hat der Nationalrat das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) beschlossen.
© Wien EnergieUm Österreich besser auf diese sicherheitspolitischen Herausforderungen vorzubereiten, hat die Bundesregierung die Entwicklung einer gesamtstaatlichen Drohnenabwehrstrategie beschlossen.
© Adobe StockMit dem neuen Regierungsprogramm der Stadt Wien möchte sich die Koalition aus SPÖ und NEOS dem Aufschwung verpflichten und den Wirtschaftsstandort Wien stärken.
© Wien EnergieWie kann Wien auch im Fall eines länger andauernden Stromausfalls – eines sogenannten Blackouts – weiter funktionieren und was passiert eigentlich, wenn Wien stillsteht?