Österreich: Cybersicherheitsgesetz kommt jetzt ins Parlament

Wien – Über ein Jahr zu spät, aber endlich in Bewegung: Die österreichische Bundesregierung hat am 20. November 2025 den Entwurf für das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) im Ministerrat beschlossen und ins Parlament eingebracht. Damit unternimmt Wien einen erneuten Anlauf, die EU-Richtlinie NIS2 in nationales Recht umzusetzen – nachdem der Vorgängerentwurf im Juli 2024 spektakulär gescheitert war.

Die EU-Kommission hat längst ein Vertragsverletzungsverfahren eingeleitet. Drohen bald empfindliche Geldstrafen? Der Druck auf den Nationalrat ist jedenfalls immens.

Das NISG 2026 ersetzt den gescheiterten Entwurf von 2024 und soll Österreich endlich auf EU-Cybersecurity-Kurs bringen. Wie die Wirtschaftskammer Österreich (WKO) bestätigt, liegt der Gesetzesentwurf nun dem Nationalrat zur Debatte vor.

Doch die Sache hat einen Haken: Wegen enthaltener Verfassungsbestimmungen braucht es eine Zweidrittelmehrheit. Genau daran scheiterte bereits der Vorgänger – die Opposition verweigerte ihre Zustimmung. Ob sich die politischen Kräfteverhältnisse nach den Nationalratswahlen im September 2024 geändert haben, wird sich in den kommenden Wochen zeigen.

Passend zum Thema NIS2 und den neuen Pflichten für Unternehmen: Viele Firmen unterschätzen, wie umfassend technische und organisatorische Maßnahmen sein müssen – von Risikomanagement bis zur fristgerechten Meldung an das nationale CSIRT. Ein kostenloses E‑Book erklärt praxisnah, welche Schritte KMU und größere Betriebe jetzt sofort angehen sollten, welche Checklisten helfen und wie Geschäftsführer Haftungsrisiken mindern können. Kostenlosen Cyber-Sicherheits-Leitfaden für Unternehmen sichern

„Die Uhr tickt”, warnt ein WKO-Sprecher. „Die NIS-2-Richtlinie hätte bis 17. Oktober 2024 umgesetzt sein müssen. Wir liegen mehr als ein Jahr im Rückstand.”

EU verliert die Geduld: Vom Mahnschreiben zur Klage

Österreichs Weg zur NIS2-Umsetzung gleicht einem Hürdenlauf mit ständigen Verzögerungen. Die ursprüngliche Frist verstrich am 17. Oktober 2024 ungenutzt. Brüssel reagierte prompt:

• November 2024: Start des Vertragsverletzungsverfahrens wegen fehlender Umsetzungsmeldung
• Mai 2025: Am 7. Mai folgte die „mit Gründen versehene Stellungnahme” – die vorletzte Stufe vor der Klage beim Europäischen Gerichtshof

Das Scheitern des Gesetzes vor den Wahlen ließ Österreich monatelang im legislativen Niemandsland zurück. Die neue Regierung hat das Thema zur Priorität erklärt – auch um mögliche EU-Zwangsgelder abzuwenden, die täglich anfallen könnten.

4.000 Unternehmen im Visier: Was sich ändert

Das NISG 2026 weitet den Kreis der regulierten Firmen drastisch aus. Statt bisher rund 100 Betreibern wesentlicher Dienste fallen künftig geschätzt 4.000 österreichische Unternehmen aus 18 Branchen unter die Cybersecurity-Pflichten.

Die wichtigsten Neuerungen:
* Sektorenvielfalt: Neben Energie, Transport, Banken und Gesundheit kommen nun Abfallwirtschaft, Lebensmittelproduktion und verarbeitendes Gewerbe hinzu
* Meldepflicht: „Erhebliche” Cybervorfälle müssen binnen 24 Stunden (Frühwarnung) und 72 Stunden (vollständige Meldung) an das nationale CSIRT gemeldet werden
* Managerhaftung: Geschäftsführer tragen persönliche Verantwortung und müssen verpflichtende Cybersecurity-Schulungen absolvieren
* Drakonische Strafen: Bei Verstößen drohen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für „wesentliche” Einrichtungen – für „wichtige” immerhin noch 7 Millionen Euro oder 1,4 %

Laut Ministerratsbeschluss soll das Gesetz neun Monate nach Veröffentlichung im Bundesgesetzblatt vollständig in Kraft treten. Diese Übergangsfrist soll Unternehmen Zeit für Registrierung und Umsetzung der Risikomanagement-Maßnahmen geben.

Wirtschaft mahnt: Nicht auf Beschluss warten

Die Reaktionen der Wirtschaft sind zwiegespalten. Einerseits bringt der neue Entwurf Klarheit, andererseits bleibt die Zeit knapp. Die WKO rät Unternehmen dringend, nicht auf die finale Parlamentsentscheidung zu warten, sondern sofort mit den Vorbereitungen zu beginnen.

„Die Anforderungen an Risikomanagement und Meldewesen sind erheblich”, betonen Cybersecurity-Experten. „Selbst mit neun Monaten Übergangsfrist werden viele KMU Probleme haben, die Standards zu erfüllen – wenn sie nicht jetzt starten.”

Showdown im Parlament: Kann das NISG 2026 die Opposition überzeugen?

Jetzt rückt das Parlament in den Fokus. Politikbeobachter erwarten intensive Verhandlungen in den kommenden Wochen. Die Opposition hatte beim gescheiterten Entwurf 2024 stärkere Datenschutz-Garantien und klarere Grenzen für die Befugnisse der Cybersecurity-Behörde gefordert.

Kann das NISG 2026 diese Gräben überwinden? Davon hängt ab, ob Österreich dieses Kapitel regulatorischer Unsicherheit endlich abschließen kann. Bei einer Verabschiedung noch vor Jahresende würden die Registrierungspflichten für betroffene Unternehmen voraussichtlich Ende 2026 greifen – was den neuen Namen des Gesetzes rechtfertigen würde.

PS: Unternehmen können die Übergangszeit nutzen, um Bußgelder und Reputationsschäden zu vermeiden. Der kostenlose Report zeigt konkrete Sofortmaßnahmen – von schnellen Schutzchecks bis zu Mitarbeiter-Trainings – und wie Sie Compliance-Anforderungen des NISG/NIS2 pragmatisch und kosteneffizient umsetzen. Jetzt Gratis-Guide ‘Cyber Security Awareness Trends’ herunterladen