Das laufende gegen Österreich geführte Vertragsverletzungsverfahren, der jüngste deutsche NIS-2-Gesetzesbeschluss und der kürzliche Entschließungsantrag haben den Druck auf die Regierung erhöht: Der neue NISG 2026-Entwurf liegt seit gestern als Regierungsvorlage im Nationalrat. Die Regierung verzichtet auf eine außerparlamentarische Begutachtung. Das dürfte die Opposition kritisch sehen. Damit bleibt – wieder – offen, ob der Entwurf in dieser Form die nötige 2/3-Mehrheit schafft. Die Vorlage enthält aus kompetenzrechtlichen Gründen nämlich wieder eine Verfassungsbestimmung.
The Good: Kein Gold Plating, Umsetzungsfrist bleibt
Österreich bleibt inhaltlich weiterhin nahe an der Richtlinie. Auch bleibt – anders als in Deutschland – die Übergangsfrist für betroffene Unternehmen bestehen: NIS-2-Verpflichtete haben nach Kundmachung neun Monate Zeit für die Implementierung. Die Pflichten greifen damit voraussichtlich ab Herbst 2026, sofern der Beschluss noch heuer erfolgt.
The Bad and the Ugly: Wichtige Einschränkungen und Klarstellungen fehlen weiterhin
Der Anwendungsbereich bleibt unverändert weit: Österreich übernimmt – anders als Deutschland – keine generelle Ausnahme für vernachlässigbare Tätigkeiten. Ebenso sieht das NISG 2026 trotz der umfassenden Kritik keine Ausnahme für rein konzerninterne Dienste vor. Das trifft vor allem IT-Dienstleister: Managed jede Konzerngesellschaft ihre IT selbst, greift NIS-2 wegen dieser Tätigkeit nicht. Wird die IT in einem Unternehmen zentralisiert, sind die Regelungen bei Erfüllung der Größenkriterien einschlägig.
Einschränkungen oder Klarstellungen zur äußerst weiten Definition von Managed Service Providern haben ebenfalls keinen Eingang in den Entwurf oder die Erläuterungen gefunden. Damit bleiben diese weiterhin ein großes Einfallstor für Unternehmen, die digitale Services anbieten.
Die Uhr läuft: Registrierung & Pflichten
Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten registrieren. Die Bereiche der Risikomanagementmaßnahmen stehen nun direkt im Gesetzestext – als abgespeckte Version der bisherigen Anlage 3. Das bedeutet aber nicht, dass weniger Maßnahmen nötig sind. Die nationale Verordnung wird hier entscheidend sein.
Die Aufsichts- und Durchsetzungsmaßnahmen der Behörde sowie der Strafrahmen wurde ebenfalls unverändert übernommen: Bei Verstößen drohen weiterhin unter anderem hohe Geldbußen, eine Untersagung von Leitungsfunktionen sowie die Veröffentlichung von Verstößen.
Die vier wesentlichen Änderungen im NISG 2026:
Handlungsbedarf für Unternehmen
Wird der neue Entwurf plangemäß bis Ende des Jahres verabschiedet, treten die neuen Pflichten bereits im Herbst 2026 in Kraft. Unternehmen sollten daher rasch mit der Betroffenheits- und Gap-Analyse starten. Auch die Wechselwirkungen zum Cyber Resilience Act und Data Act sind zu berücksichtigen.
Ihre NIS-2-Experten unterstützen Sie dabei gerne zielgerichtet und effizient mit ihrer umfassenden Erfahrung und ihrem praktischen Know-how. Zudem halten wir Sie zu den weiteren Entwicklungen selbstverständlich weiterhin auf dem Laufenden.