Suche

NIS-2-Gesetzesentwurf stellt Weichen für hohes Cybersicherheitsniveau in Österreich

Wien (OTS) – Es ist so weit: Mit dem Umlaufbeschluss im Ministerrat am 20. November 2025 wurde die nationale Umsetzung der NIS-2-Richtlinie auf den Weg gebracht. Damit hat Österreich den Entwurf des Netz- und Informationssystemsicherheitsgesetzes 2026 (NISG 2026) in das parlamentarische Verfahren eingebracht.

„Die NIS-2-Richtlinie ist ein essenzieller Baustein der EU zur Schaffung eines Rechtsrahmens für die Aufrechterhaltung der Cybersicherheit, um auf die zunehmende Gefährdung Europas durch Cyberbedrohungen zu reagieren. Vor dem Hintergrund, dass laut unserer zehnten Auflage der KPMG und KSÖ Studie „Cybersecurity in Österreich 2025“ jeder siebente Cyberangriff auf österreichische Unternehmen erfolgreich war, ist die Umsetzung der Regulatorik eine existenzielle Notwendigkeit“, so KPMG Partner Robert Lamprecht. War es ursprünglich geplant, bis zum 17. Oktober 2024 das Gesetz in nationales Recht zu überführen, hat Österreich neben anderen Staaten diese Frist verabsäumt. Bereits umgesetzt und durch Nationalrat und Bundesrat verabschiedet ist das RKE-Gesetz (Resilienz kritischer Einrichtungen), das unter anderem wesentliche Einrichtungen nach NIS-2 betrifft.Verlängerte Übergangsfrist und detaillierte Risikomanagementmaßnahmen
Eine Änderung im Gesetzesentwurf gegenüber dem letztjährigen Begutachtungsentwurf betrifft die Übergangsfristen für die Umsetzung von NIS-2: Nach Ablauf von neun Monaten nach der Kundmachung soll das neue NIS-2-Gesetz in Kraft treten. Damit haben heimische Unternehmen voraussichtlich bis zum Herbst 2026 Zeit, ihre technischen und organisatorischen Risikomanagementmaßnahmen umzusetzen. Nach diesen neun Monaten startet die 12-monatige Frist zur Selbstdeklaration, ohne Aufforderung durch die Behörde, im Rahmen derer Unternehmen selbst spezifische Informationen zur Wirksamkeit ihrer Maßnahmen übermitteln müssen. Die Details dazu sind noch offen.Auch bezüglich der Risikomanagementmaßnahmen gibt es Veränderungen: Gab es im ersten Entwurf des NISG 2024 einen Verweis auf die Risikomanagementmaßnahmen in Anlage 3, so fällt dieser nun weg und es werden die Themen für die Risikomanagementmaßnahmen nur sehr allgemein angeführt. Es besteht jedoch die Möglichkeit, dass die Behörde über Verordnungen weitere, konkrete Maßnahmen festlegen kann. Die Risikomanagementmaßnahmen beruhen auf einem gefahrenübergreifenden Ansatz zum Schutz von Netz- und Informationssystemen. Je nach Abdeckung sind jedoch beispielsweise bereits vorhandene ISO/IEC27001-Zertifizierungen für die Prüfung der operativen und organisatorischen Umsetzung anrechenbar.

Wie weit fortgeschritten heimische Unternehmen schon jetzt bei der Umsetzung der Risikomanagementmaßnahmen sind, zeigen auch die Ergebnisse der Cybersecurity-Studie: Die Unternehmen fühlen sich laut Selbsteinschätzung gut vorbereitet. 34 Prozent der befragten Unternehmen sind der Meinung, dass sie in puncto technischer Maßnahmen bereits weit fortgeschritten sind. Bei den organisatorischen Maßnahmen sind es sogar 39 Prozent. „Ob die Selbsteinschätzung der Unternehmen den Erwartungen der unabhängigen Stellen (aktuell Qualifizierte Stellen – QuaSte) entspricht, bleibt abzuwarten. Die Prüfungen werden richtungsweisend sein, um den Status quo zu bewerten“, so KPMG Partner Andreas Tomek.

Cybersecurity-Arbeitsgruppen für eine gemeinsame Cybersicherheitsstrategie
Die zukünftigen, per Verordnung festgelegten Risikomanagementmaßnahmen sollen sich unter anderem auch an der Durchführungsverordnung (EU) 2024/2690 für Anbieter digitaler Dienste und den Ergebnissen der Arbeitsgruppe der Cyber Sicherheit Plattform (CSP) orientieren. „Hier zeigt sich einmal mehr, dass der regelmäßige Diskurs mit den betroffenen Unternehmen und Einrichtungen absolut notwendig ist, um eine gemeinsame Cybersicherheitskultur zu gestalten“, so Lamprecht. Das bestätigen auch die Zahlen der KPMG und KSÖ Cybersecurity-Studie: 38 Prozent der Befragten geben an, dass Arbeitsgruppen, wie jene zu den NIS-2-Risikomanagementmaßnahmen der Cyber Sicherheit Plattform (CSP) oder des Rechts- und Technologiedialogs (RTD) des Kompetenzzentrum Sicheres Österreich (KSÖ), den aktiven Austausch zwischen öffentlicher Verwaltung und Unternehmen fördern. „Die erfolgreiche Implementierung der Cyberregulatorik hängt von der aktiven Beteiligung der Unternehmen ab. Unternehmen, die regulatorische Compliance als Chance begreifen, etablieren sich als vertrauenswürdige Partner und stärken gleichzeitig Österreichs digitale Souveränität im EU-Binnenmarkt“, so Tomek.

Weitere Neuerungen aus dem Gesetzesentwurf zur Umsetzung von NIS-2 in Österreich

  • Der Anwendungsbereich für Unternehmen ändert sich. Dieser wird nun nicht mehr über das Bescheidverfahren festgelegt, sondern durch das Unternehmen selbst ermittelt. Unternehmen werden sich zukünftig bei der zuständigen NIS-2-Behörde registrieren müssen. Zudem gibt es kein Konzernprivileg, wodurch jede Gesellschaft gesondert zu betrachten ist.
  • Die zuständige NIS-Behörde wird eine nachgelagerte Stelle (Cybersicherheitsbehörde) des Bundesministeriums für Inneres (BMI), ähnlich der Struktur des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Deutschland, sein.

Teilen   

Kanzlei-Empfehlung

GEUER Rechtsanwälte OG

RA

Dr.

Ermano GEUER

  • Gewerblicher Rechtsschutz, Immaterialgüterrecht, IT- EDV- & Datenschutzrecht, Telekommunikationsrecht
Zum Profil

Videos

Künstliche Intelligenz ist in vielen Unternehmen schon Alltag, rechtlich aber oft noch Graubereich. Im nächsten RechtEasy Fachgespräch sprechen wir live mit Rechtsanwalt Dr. Ermano Geuer darüber, wie AI Act, DSGVO und Urheberrecht zusammenspielen und wo es für Unternehmen konkret heikel wird. Wir zeigen: - welche Daten ihr wirklich in KI-Tools eingeben dürft, - wo Urheberrecht und Trainingsdaten zum Risiko werden, - wie ihr Betriebs- und Geschäftsgeheimnisse wirksam schützt und - welche technischen und vertraglichen Schutzmaßnahmen heute Standard sein sollten. 📅 Datum: 09.12.2025 ⏰ Uhrzeit: 10:00 🔴 Im Stream-Interview mit Manuel Roessler von RechtEasy.
KI im Unternehmen: Datenschutz, Urheberrecht, Geheimnisschutz

Podcast

Einfach in 3 Schritten einen Anwalt finden, der auf Ihr Rechtsproblem spezialisiert ist

Ein zugelassener Anwalt / eine zugelassen Anwältin ist dafür da, über Rechtsfragen zu beraten und Klienten vor Gericht zu vertreten. Es ist seine Aufgabe, Dienstleistungen im Bereich der Rechtsberatung zu erbringen und Klienten vor Gericht zu vertreten. Mit diesem Wissen kennt er alle relevanten Herausforderungen dieses Systems und ist mit allen einschlägigen Rechtsnormen vertraut.

Fachexperten auf Ihrem Gebiet

Anwalts-Empfehlungen gefiltert durch das RechtEasy-Team -Best Choice der Anwälte in Österreich

Chatbox aufmachen

Klicken Sie auf den blauen Button im rechten unteren Eck und wählen aus, dass Sie eine Anwaltsempfehlung benötigen.

Problem schildern

Erklären Sie, welches Anliegen Sie haben. Gehen Sie hier auch gerne ins Detail.

Zurücklehnen

Unser Team beurteilt Ihre Rechtsfrage und vermittelt den richtigen Anwalt/die richtige Anwältin für Sie in Ihrer Region.

Die Vermittlung ist kostenlos. Der jeweilige Anwalt wird Ihnen vorab die genauen Kosten mitteilen, sodass Sie immer die volle Kontrolle haben.

Rechts unten den Chat öffnen, Rechtsfrage stellen und gleich vermitteln lassen.

News
Filter

Liste der Anwälte

Liste der Anwälte

Liste der Anwälte

ANWALT FINDEN