Netz- und Informationssicherheitsgesetz beschlossen

Die NIS-2-Richtlinie ist seit Anfang 2023 in Kraft und hätte bis Oktober 2024 in nationales Recht umgesetzt werden müssen. In Österreich scheiterte der erste Versuch 2024 an der Zweidrittelmehrheit im österreichischen Parlament. Der nun beschlossene Text orientiert sich zwar stark an der damaligen Vorlage, enthält aber gezielte Anpassungen, insbesondere bei Meldepflichten, Übergangsfristen und der institutionellen Ausgestaltung der Cybersicherheitsbehörde. Damit wurde nicht nur die politische Blockade aufgehoben, sondern auch der europäische Druck durch das Vertragsverletzungsverfahren beseitigt.

Aufgrund der bisherigen Rechtslage standen in Österreich rund 100 Unternehmen im Fokus, vor allem klassische kritische Infrastrukturen und bestimmte digitale Dienste. Mit dem NISG 2026 wird der Anwendungsbereich auf mehrere tausend Einrichtungen ausgeweitet. Inhaltlich greift das Gesetz breiter: Es umfasst 18 Sektoren, von Energie und digitaler Infrastruktur über Verkehr, Gesundheit und öffentliche Verwaltung bis hin zu Lebensmittelproduktion, Abfallbewirtschaftung, verarbeitendem Gewerbe und Forschung.

Auffällig dabei ist der Systemwechsel beim „Wer ist betroffen?“: Die Einstufung erfolgt künftig nicht primär über einen behördlichen Bescheid, sondern durch Selbsteinstufung und Registrierung. Gleichzeitig entfällt das Konzernprivileg und Gesellschaften sind grundsätzlich einzeln zu betrachten. Das erhöht die Transparenz, kann aber auch gleichzeitig den Koordinationsaufwand in den Konzernstrukturen deutlich erhöhen, weil Zuständigkeiten, Nachweise und Fristen für jeden Rechtsträger eindeutig organisiert werden müssen.

Zentraler Baustein des NISG 2026 ist die Errichtung eines Bundesamts für Cybersicherheit im Innenministerium. Diese Behörde ist dem Innenminister unmittelbar unterstellt, organisatorisch aber außerhalb der Generaldirektion für die öffentliche Sicherheit angesiedelt. Die neu geschaffene Behörde soll als nationale NIS-Behörde fungieren, die Umsetzung koordinieren, als Single Point of Contact (SPOC) dienen und den Informationsaustausch, auch auf EU-Ebene, sicherstellen. Zusätzlich wird hier die Weiterentwicklung bzw. Koordination einer nationalen Cybersicherheitsstrategie verankert. Neu bzw. stärker ausgebaut ist auch das Element der politischen Kontrolle: Weisungen an die Behördenleitung sollen halbjährlich veröffentlicht werden.

Operativ soll das Bundesamt durch ein oder mehrere Computer Security Incident Response Teams (CSIRTs) unterstützt werden. Diese Teams analysieren Bedrohungen, begleiten Vorfälle und geben Empfehlungen für Prävention und Abhilfe. Bis die neuen Strukturen formal ermächtigt sind, übernimmt das bestehende Government Computer Emergency Response Team (GovCERT) übergangsweise Aufgaben eines nationalen CSIRT. Zusätzlich können sektorspezifische CSIRTs eingerichtet werden, besonders dort, wo Sensitivität und Komplexität hoch sind.

Das NISG 2026 verlangt ein umfassendes Risikomanagement, das technische, organisatorische und operative Maßnahmen umfasst. Genannt werden unter anderem Netzwerksicherheit, Identitäts- und Zugriffsmanagement, Protokollierung, Kryptografie, Notfallvorsorge, regelmäßige Schwachstellenanalysen und Lieferkettensicherheit. ISO/IEC-27001-Zertifizierungen können im organisatorischen und operativen Teil der Prüfung als Nachweis angerechnet werden.

Gleichzeitig legt das Gesetz den Fokus stark auf die Verantwortlichkeit der Leitungsorgane: Umsetzung und Wirksamkeit der Maßnahmen sind ausdrücklich Managementaufgabe, inklusive einer Verpflichtung zu regelmäßigen Schulungen. Damit wird Cybersicherheit nicht nur als IT-Thema, sondern als Bestandteil der Unternehmenssteuerung normiert.

Bei erheblichen Vorfällen führt das Gesetz ein mehrstufiges Meldesystem ein: Eine Frühwarnung binnen 24 Stunden, eine ausführliche Meldung binnen 72 Stunden und anschließend einen Abschluss- oder Fortschrittsbericht spätestens nach einem Monat.

Die Aufsicht ist gestuft. Wesentliche Einrichtungen unterliegen einer proaktiven, ex-ante Kontrolle, wichtige Einrichtungen einer anlassbezogenen Aufsicht. Die Behörde erhält weitreichende Befugnisse, von Auskunftsverlangen über Vor-Ort-Prüfungen bis zu technischen Tests und verpflichtenden Abhilfemaßnahmen.

Ein zentrales Register aller wesentlichen und wichtigen Einrichtungen wird implementiert. Die Registrierung muss binnen drei Monaten nach Inkrafttreten erfolgen und dient auch dem unionsweiten Informationsaustausch (insbesondere mit der Agentur der Europäischen Union für Cybersicherheit). Darauf folgt binnen zwölf Monaten eine strukturierte Selbstdeklaration zum Stand der Risikomanagementmaßnahmen. Zusätzlich ist ein unabhängiger Prüfbericht spätestens zwei Jahre nach Aufforderung vorzulegen.

Die Übergangsfristen wurden gegenüber dem Entwurf 2024 verlängert. Das NISG 2026 soll neun Monate nach Kundmachung im Bundesgesetzblatt, mit dem nächstfolgenden Monatsersten, in Kraft treten. Unternehmen haben damit bis Herbst 2026 Zeit, Systeme und Organisation anzupassen. Gleichzeitig ist es möglich Verordnungen bereits ab dem Tag nach der Kundmachung zu erlassen, diese werden aber erst mit Inkrafttreten wirksam. Die zeitliche Staffelung bleibt dennoch anspruchsvoll, weil Registrierung und Selbstdeklaration relativ eng auf das Inkrafttreten folgen.

Für die Wiener Stadtwerke ist das NISG 2026 nicht nur ein „IT-Gesetz“, sondern ein Rahmen, der zentrale Bereiche urbaner Daseinsvorsorge berührt: Energie, Netze, Mobilität, digitale Infrastruktur und Dienstleistungen, die im Alltag verlässlich funktionieren müssen. Gerade die Kombination aus breiter Sektorenabdeckung, streng getakteten Meldepflichten und der neuen Logik der Selbsteinstufung führt dazu, dass interne Abstimmungen künftig noch wichtiger werden, zwischen IT-Security, Betrieb, Recht/Compliance, Kommunikation und Management.

Spürbar ist auch, dass das Gesetz Detailanforderungen bewusst offenlässt und vieles in den Verordnungsweg verschiebt. Das ist technologisch flexibel, kann aber kurzfristig Planung erschweren: Viele Einrichtungen wissen, welche Themen sie abdecken müssen, aber noch nicht in welchem Detailgrad welche Maßstäbe im Vollzug erwartet werden. Umso wichtiger wird es, die sekundärrechtlichen Konkretisierungen früh mitzudenken und Nachweisfähigkeit so aufzubauen, dass sie nicht bei jeder Präzisierung neu erfunden werden muss.

Mit dem NISG 2026 ist die Grundsatzentscheidung gefallen: Cybersicherheit wird breiter, verbindlicher und stärker behördlich gesteuert. Die nächste Phase entscheidet sich im Vollzug, bei Verordnungen, Aufsichtspraktiken, Schnittstellen zwischen Bundesamt, CSIRTs, Branchenregulatoren und betroffenen Organisationen.