NIS-2-Gesetzesentwurf stellt Weichen für hohes Cybersicherheitsniveau in Österreich

Es ist so weit: Mit dem Umlaufbeschluss im Ministerrat am 20. November 2025 wurde die nationale Umsetzung der NIS-2-Richtlinie auf den Weg gebracht. Damit hat Österreich den Entwurf des Netz- und Informationssystemsicherheitsgesetzes 2026 (NISG 2026) in das parlamentarische Verfahren eingebracht.

„Die NIS-2-Richtlinie ist ein essenzieller Baustein der EU zur Schaffung eines Rechtsrahmens für die Aufrechterhaltung der Cybersicherheit, um auf die zunehmende Gefährdung Europas durch Cyberbedrohungen zu reagieren. Vor dem Hintergrund, dass laut unserer zehnten Auflage der KPMG und KSÖ Studie „Cybersecurity in Österreich 2025“ jeder siebente Cyberangriff auf österreichische Unternehmen erfolgreich war, ist die Umsetzung der Regulatorik eine existenzielle Notwendigkeit“, so KPMG Partner Robert Lamprecht. War es ursprünglich geplant, bis zum 17. Oktober 2024 das Gesetz in nationales Recht zu überführen, hat Österreich neben anderen Staaten diese Frist verabsäumt. Bereits umgesetzt und durch Nationalrat und Bundesrat verabschiedet ist das RKE-Gesetz (Resilienz kritischer Einrichtungen), das unter anderem wesentliche Einrichtungen nach NIS-2 betrifft.

Verlängerte Übergangsfrist und detaillierte Risikomanagementmaßnahmen
Eine Änderung im Gesetzesentwurf gegenüber dem letztjährigen Begutachtungsentwurf betrifft die Übergangsfristen für die Umsetzung von NIS-2: Nach Ablauf von neun Monaten nach der Kundmachung soll das neue NIS-2-Gesetz in Kraft treten. Damit haben heimische Unternehmen voraussichtlich bis zum Herbst 2026 Zeit, ihre technischen und organisatorischen Risikomanagementmaßnahmen umzusetzen. Nach diesen neun Monaten startet die 12-monatige Frist zur Selbstdeklaration, ohne Aufforderung durch die Behörde, im Rahmen derer Unternehmen selbst spezifische Informationen zur Wirksamkeit ihrer Maßnahmen übermitteln müssen. Die Details dazu sind noch offen.

Auch bezüglich der Risikomanagementmaßnahmen gibt es Veränderungen: Gab es im ersten Entwurf des NISG 2024 einen Verweis auf die Risikomanagementmaßnahmen in Anlage 3, so fällt dieser nun weg und es werden die Themen für die Risikomanagementmaßnahmen nur sehr allgemein angeführt. Es besteht jedoch die Möglichkeit, dass die Behörde über Verordnungen weitere, konkrete Maßnahmen festlegen kann. Die Risikomanagementmaßnahmen beruhen auf einem gefahrenübergreifenden Ansatz zum Schutz von Netz- und Informationssystemen. Je nach Abdeckung sind jedoch beispielsweise bereits vorhandene ISO/IEC27001-Zertifizierungen für die Prüfung der operativen und organisatorischen Umsetzung anrechenbar.

Wie weit fortgeschritten heimische Unternehmen schon jetzt bei der Umsetzung der Risikomanagementmaßnahmen sind, zeigen auch die Ergebnisse der Cybersecurity-Studie: Die Unternehmen fühlen sich laut Selbsteinschätzung gut vorbereitet. 34 Prozent der befragten Unternehmen sind der Meinung, dass sie in puncto technischer Maßnahmen bereits weit fortgeschritten sind. Bei den organisatorischen Maßnahmen sind es sogar 39 Prozent. „Ob die Selbsteinschätzung der Unternehmen den Erwartungen der unabhängigen Stellen (aktuell Qualifizierte Stellen – QuaSte) entspricht, bleibt abzuwarten. Die Prüfungen werden richtungsweisend sein, um den Status quo zu bewerten“, so KPMG Partner Andreas Tomek.

Cybersecurity-Arbeitsgruppen für eine gemeinsame Cybersicherheitsstrategie
Die zukünftigen, per Verordnung festgelegten Risikomanagementmaßnahmen sollen sich unter anderem auch an der Durchführungsverordnung (EU) 2024/2690 für Anbieter digitaler Dienste und den Ergebnissen der Arbeitsgruppe der Cyber Sicherheit Plattform (CSP) orientieren. „Hier zeigt sich einmal mehr, dass der regelmäßige Diskurs mit den betroffenen Unternehmen und Einrichtungen absolut notwendig ist, um eine gemeinsame Cybersicherheitskultur zu gestalten“, so Lamprecht. Das bestätigen auch die Zahlen der KPMG und KSÖ Cybersecurity-Studie: 38 Prozent der Befragten geben an, dass Arbeitsgruppen, wie jene zu den NIS-2-Risikomanagementmaßnahmen der Cyber Sicherheit Plattform (CSP) oder des Rechts- und Technologiedialogs (RTD) des Kompetenzzentrum Sicheres Österreich (KSÖ), den aktiven Austausch zwischen öffentlicher Verwaltung und Unternehmen fördern. „Die erfolgreiche Implementierung der Cyberregulatorik hängt von der aktiven Beteiligung der Unternehmen ab. Unternehmen, die regulatorische Compliance als Chance begreifen, etablieren sich als vertrauenswürdige Partner und stärken gleichzeitig Österreichs digitale Souveränität im EU-Binnenmarkt“, so Tomek.

Weitere Neuerungen aus dem Gesetzesentwurf zur Umsetzung von NIS-2 in Österreich

• Der Anwendungsbereich für Unternehmen ändert sich. Dieser wird nun nicht mehr über das Bescheidverfahren festgelegt, sondern durch das Unternehmen selbst ermittelt. Unternehmen werden sich zukünftig bei der zuständigen NIS-2-Behörde registrieren müssen. Zudem gibt es kein Konzernprivileg, wodurch jede Gesellschaft gesondert zu betrachten ist.
• Die zuständige NIS-Behörde wird eine nachgelagerte Stelle (Cybersicherheitsbehörde) des Bundesministeriums für Inneres (BMI), ähnlich der Struktur des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Deutschland, sein.

Bildmaterial zum Download:

• Pressefoto Robert Lamprecht
• Pressefoto Andreas Tomek

Terminaviso – Webinar „NISG 2026 in Österreich: Was Unternehmen erwartet”

Im Rahmen eines Online-Webinars am Donnerstag, 27. November 2025 von 9 bis 10 Uhr stellen Ihnen unser Experten Robert Lamprecht und Severin Winkler den Gesetzesentwurf vor und beleuchten die Auswirkungen auf Österreichs Unternehmen.

Anmeldung unter: presse@kpmg.at