← Alle Artikel NIS2 / Compliance 30. April 2026

NISG 2026: Was KMU und kommunale Versorgungsbetriebe in Österreich jetzt tun müssen

Am 1. Oktober 2026 tritt das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) in Kraft. Es setzt die EU-NIS2-Richtlinie in nationales Recht um und bringt für tausende österreichische Einrichtungen erstmals verbindliche Cybersicherheits-Pflichten. Gemeinden sind in § 24 Abs. 3 ausdrücklich vom direkten Anwendungsbereich ausgenommen — ihre kommunalen Versorgungsbetriebe (Wasser, Abwasser, Energie, Abfall) können aber sehr wohl erfasst sein, und über Supply-Chain-Anforderungen geraten viele Klein-KMU mittelbar in die Pflicht. Dieser Leitfaden zeigt, wer direkt betroffen ist, welche Fristen gelten und welche fünf Schritte jetzt zählen.

Was ist das NISG 2026?

Das Netz- und Informationssystemsicherheitsgesetz 2026 (kurz: NISG 2026, kundgemacht als BGBl. I Nr. 94/2025 am 23. Dezember 2025) ist die österreichische Umsetzung der EU-Richtlinie 2022/2555 — besser bekannt als NIS2. Es ersetzt das bisherige NISG aus 2018 und gilt ab 1. Oktober 2026 (§ 51 NISG 2026).

Anders als die alte Fassung trifft NIS2 nicht mehr nur einige Dutzend Großbetreiber kritischer Infrastrukturen, sondern systematisch alle Unternehmen ab einer bestimmten Größe in 18 Sektoren — vom Maschinenbau über Lebensmittelproduktion und Abfallwirtschaft bis zur öffentlichen Verwaltung.

Wer ist betroffen?

NIS2 unterscheidet zwei Kategorien — und die EU-KMU-Schwellenwerte entscheiden, in welche ein Unternehmen fällt:

  • Wesentliche Einrichtungen: große Unternehmen (≥ 250 Mitarbeiter ODER Umsatz > 50 Mio. € und Bilanzsumme > 43 Mio. €) in den hochkritischen Sektoren der Anlage 1 (Energie, Verkehr, Banken, Gesundheit, Wasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung des Bundes und der Länder u. a.).
  • Wichtige Einrichtungen: mittlere Unternehmen (≥ 50 Mitarbeiter ODER Umsatz > 10 Mio. € und Bilanzsumme > 10 Mio. €) in den Sektoren der Anlagen 1 oder 2 — plus große Unternehmen in Anlage 2-Sektoren, sofern sie nicht bereits als wesentliche Einrichtung gelten (z. B. Lebensmittel, Maschinenbau, Chemie, Post- und Kurierdienste, digitale Anbieter, Forschungseinrichtungen).

Kleine Unternehmen unter 50 Mitarbeitern und 10 Mio. € Umsatz fallen grundsätzlich nicht direkt unter NIS2 — mit Ausnahme bestimmter größenunabhängig erfasster Anbieter wie qualifizierter Vertrauensdienste, öffentlich zugänglicher Telekommunikationsdienste, TLD-Registries und DNS-Diensteanbieter.

Zwei Zielgruppen — unterschiedliche Ausgangslage

KMU und kommunale Versorgungsbetriebe stehen vor demselben Gesetz, aber vor verschiedenen praktischen Herausforderungen:

KMU

Direkt betroffen bei Überschreiten der Schwellenwerte. Risiko: Bußgelder bis 10 Mio. €. Handlungsdruck oft unterschätzt, weil NIS2 als „Großkonzernthema“ gilt — und weil viele Klein-KMU über die Supply-Chain ihrer Industriekunden mittelbar in die Pflicht kommen.

Kommunale Versorgungsbetriebe

Wasser-, Abwasser-, Strom-, Fernwärme- oder Abfallbetriebe einer Gemeinde können als Einrichtungen in Anlage 1- bzw. Anlage 2-Sektoren erfasst sein — insbesondere wenn der jeweilige Versorgungsbereich die Schwellenwerte für mittlere Unternehmen erreicht. Bei unselbständigen Regiebetrieben ist die konkrete rechtliche Zuordnung gesondert zu prüfen.

Spezialfall Gemeinden — ausdrücklich nicht erfasst

Eine zentrale Klarstellung, die in vielen Beiträgen untergeht: § 24 Abs. 3 NISG 2026 nimmt Gemeinden und Gemeindeverbände ausdrücklich aus dem Sektor „öffentliche Verwaltung“ aus. Österreich nutzt damit eine Option, die die NIS2-Richtlinie den Mitgliedstaaten für die lokale Verwaltungsebene ausdrücklich einräumt. Diese Bereichsausnahme greift unabhängig von der Größe der Gemeinde: Eine 12-Personen-Landgemeinde ist genauso wenig erfasst wie eine mittelgroße Stadtgemeinde — solange es um die Kerntatätigkeit als Behörde geht.

Eine direkte Pflicht entsteht für Gemeinden nur über zwei Hintertüren:

  • Kommunale Versorgungsbetriebe (Regiebetriebe): Wenn die Gemeinde Wasser, Abwasser, Energie, Fernwärme oder Abfall selbst betreibt und der Betrieb die Schwellenwerte für mittlere Unternehmen erreicht, kann eine NISG-Pflicht für diesen Versorgungsbereich relevant werden. Die konkrete Einordnung sollte gesondert geprüft werden.
  • Lieferanten-Rolle (Supply Chain): Erfasste Auftraggeber müssen die Sicherheit ihrer Lieferkette bewerten und werden Cybersicherheits-Nachweise einfordern. Wer als Gemeinde IT-Services, Datenverarbeitung oder Software an erfasste Stellen liefert, gerät vertraglich in die Pflicht — auch ohne direkte Gesetzesanwendung.

Welche konkreten Pflichten entstehen?

Wesentliche und wichtige Einrichtungen müssen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen umsetzen, um Risiken für ihre Netz- und Informationssysteme zu beherrschen. Konkret verlangt das Gesetz unter anderem:

  • Risikomanagement-Konzept mit dokumentierter Risikoanalyse und Sicherheitsrichtlinien
  • Bewältigung von Sicherheitsvorfällen inklusive Notfall- und Wiederherstellungspläne
  • Sicherheit der Lieferkette (Bewertung und Vertragsgestaltung mit Dienstleistern)
  • Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen — insbesondere Schwachstellenmanagement; in der Praxis umfasst das regelmäßig ein dokumentiertes Patch-Management
  • Konzepte zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen
  • Cyberhygiene und Schulungen für die Belegschaft
  • Einsatz von Kryptografie und Verschlüsselung
  • Zugriffskontrolle, Asset-Management, Multi-Faktor-Authentifizierung

In der Praxis heißt das: Wer heute Updates noch immer „bei Gelegenheit“ einspielt und keine vollständige Inventarliste seiner IT-Assets hat, wird im Audit nicht bestehen.

Meldepflichten: 24 Stunden, 72 Stunden, 1 Monat

Bei einem erheblichen Sicherheitsvorfall verlangt § 34 NISG 2026 ab Oktober 2026 eine dreistufige Meldung an das zuständige CSIRT:

  • Innerhalb von 24 Stunden nach Kenntnisnahme: Frühwarnung mit Erstinformation
  • Innerhalb von 72 Stunden: detaillierte Vorfallsmeldung mit Erstbewertung von Schweregrad und Auswirkungen
  • Innerhalb eines Monats: Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen

Welches CSIRT ist zuständig?

Das NISG 2026 sieht eine gestufte CSIRT-Struktur vor — sektorspezifische CSIRTs haben Vorrang, das nationale Team ist subsidiär:

  • Sektorspezifische CSIRTs (sofern eingerichtet) haben Vorrang — etwa OeNB-CSIRT für den Banken-/Finanzsektor, ACONet-CERT für Forschung und Wissenschaft, AustroControl für die Luftfahrt.
  • CERT.at ist das nationale CSIRT und subsidiär für alle Sektoren ohne eigenes sektorspezifisches CSIRT zuständig — das betrifft die meisten KMU.
  • GovCERT (seit April 2025 beim BMI) ist sektorspezifisches CSIRT für Bund und Länder. Für Gemeinden besteht keine GovCERT-Zuständigkeit — sie sind nicht in den Anwendungsbereich einbezogen.
Praxishinweis

Wer ohne funktionierenden Meldeprozess in einen Sicherheitsvorfall stolpert, hat im Ernstfall keine 24 Stunden — er hat null. Vor Oktober 2026 muss klar sein: Welches CSIRT ist für unser Unternehmen oder unseren Versorgungsbetrieb zuständig? Welchen Meldeweg verlangt es? Welche Daten müssen in der 24-Stunden-Frühwarnung enthalten sein?

Verantwortung der Geschäftsführung

NIS2 verankert eine wesentliche Neuerung: Die Verantwortung für die Cybersicherheits-Maßnahmen liegt ausdrücklich und nicht delegierbar bei den Leitungsorganen — also bei Geschäftsführern und Vorständen erfasster Einrichtungen. Sie müssen die Maßnahmen genehmigen, ihre Umsetzung überwachen und sich regelmäßig verpflichtend schulen lassen (§ 31 NISG 2026). Bürgermeister sind nur dann adressiert, wenn ihre Gemeinde über einen erfassten kommunalen Versorgungsbetrieb verfügt — und auch dann beschränkt auf diesen Betrieb.

Als Sanktion sieht Art. 32 Abs. 5 NIS2 ein vorübergehendes Tätigkeitsverbot für Leitungsorgane vor — allerdings nur für wesentliche Einrichtungen und nur als Ultima Ratio nach formaler Vollstreckungsanordnung. Für wichtige Einrichtungen ist diese Maßnahme nicht vorgesehen. Eine zivilrechtliche persönliche Haftung der Geschäftsführung kann sich darüber hinaus aus den allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten (§ 25 GmbHG, § 84 AktG) ergeben — etwa wenn die Schulungs- und Überwachungspflicht aus § 31 NISG 2026 verletzt wird.

Was für KMU-Geschäftsführer praktisch bleibt: Cybersicherheit ist keine reine IT-Angelegenheit mehr, sondern eine dokumentationspflichtige Geschäftsführerpflicht.

Supply-Chain-Anforderungen

NIS2 verpflichtet wesentliche und wichtige Einrichtungen, die Sicherheit ihrer Lieferanten und Dienstleister mitzubewerten — von der Software bis zum IT-Outsourcing-Partner. Konkret bedeutet das: Größere betroffene Unternehmen werden bei ihren Zulieferern vertraglich Sicherheitsnachweise einfordern (ISO 27001, vergleichbare Audits, dokumentiertes Patch- und Schwachstellenmanagement).

Kleine KMU und Gemeinden, die selbst unterhalb der Schwellenwerte bleiben, geraten so indirekt in die Pflicht: Wer einen Industriekunden, einen Energieversorger oder ein Spital als Auftraggeber hat, wird ohne nachweisbare Cybersicherheits-Hausaufgaben Aufträge verlieren.

Was passiert bei Nichteinhaltung?

Das Sanktionsregime ist nach Einrichtungs-Kategorie gestaffelt:

KategorieSanktion
Wesentliche Einrichtungen (§ 45) bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (jeweils höherer Wert)
Wichtige Einrichtungen (§ 45) bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (jeweils höherer Wert)
Öffentliche Verwaltung des Bundes und der Länder (§ 46) Kein Bußgeld — stattdessen Feststellungsbescheid mit verpflichtender Veröffentlichung der Mängel
Gemeinden (Kerntatätigkeit als Behörde) Keine NIS2-Sanktion — Bereichsausnahme nach § 24 Abs. 3 NISG 2026
Kommunale Versorgungsbetriebe ab Schwellenwert Wie wesentliche / wichtige Einrichtung — bei unselbständigen Regiebetrieben ist die konkrete Zurechnung rechtlich zu prüfen

Die behördliche Veröffentlichung trifft Bundes- und Landeseinrichtungen besonders hart, weil sie das Vertrauen der Bürgerinnen und Bürger direkt antastet. Reine Bußgelder gegen Gemeinden in ihrer Kerntätigkeit als Behörde sieht das NISG 2026 nicht vor. Bei erfassten kommunalen Versorgungsbereichen sollte die konkrete Zurechnung im Einzelfall rechtlich geprüft werden.

5 Schritte zur Vorbereitung

Die Fristen im Überblick

1. Oktober 2026: NISG 2026 tritt in Kraft — materielle Pflichten (Risikomanagement, Meldewege, technische Maßnahmen) gelten ab diesem Tag.

31. Dezember 2026: Registrierungsfrist für betroffene Einrichtungen beim zuständigen Register.

30. September 2027: Frist für die Selbstdeklaration der umgesetzten Risikomanagement-Maßnahmen.

Wichtig: Die spätere Registrierungs- und Deklarationsfrist ist kein Aufschub für die eigentliche Compliance. Wer am 1. Oktober 2026 keinen Meldeprozess eingerichtet hat und in einen Vorfall gerät, ist bereits im Verstoß.

  1. Betroffenheit prüfen. Mitarbeiterzahl, Umsatz und Sektor-Zuordnung gegen die Schwellenwerte halten. Bei Gemeinden: kommunale Versorgungsbereiche separat betrachten (Wasser, Abwasser, Energie, Abfall) und die rechtliche Einordnung im Zweifel prüfen lassen. Auch die Lieferketten-Position mitprüfen, weil indirekte Betroffenheit oft übersehen wird.
  2. Risikobewertung durchführen. IT-Assets vollständig inventarisieren, Schutzbedarf bewerten, dokumentierte Risikoanalyse erstellen. Ohne Inventar keine NIS2-Compliance.
  3. Technische Maßnahmen umsetzen. Multi-Faktor-Authentifizierung, Backup-Strategie, Verschlüsselung, Zugriffskontrolle — und vor allem: ein funktionierendes Patch-Management für alle Drittanbieter-Software. Ungepatchte Software zählt laut ENISA seit Jahren zu den häufigsten Einfallstoren bei Cyberangriffen auf KMU.1
  4. Dokumentation aufbauen. Sicherheitsrichtlinien, Notfallpläne, Schulungsnachweise, Vorfallprotokolle. NIS2-Audits sind Dokumentations-Audits.
  5. Meldeprozess einrichten. Klare Verantwortlichkeiten, dokumentierter Eskalationsweg, vorbereitete Meldevorlagen für das zuständige CSIRT (sektorspezifisch, sonst CERT.at). Im Vorfall zählt jede Stunde.

Wie WUPD bei Schritt 3 konkret hilft

Schwachstellenmanagement gehört zum Risikomanagement-Katalog des NISG 2026 (§ 32 NISG 2026); in der Praxis ist ein dokumentiertes Patch-Management dafür einer der wichtigsten Bausteine. Gerade hier haben viele KMU den größten Nachholbedarf. Manuelles Patchen von Drittanbieter-Software (Chrome, Adobe Reader, 7-Zip, Zoom & Co.) ist fehleranfällig, zeitaufwändig und in einer Prüfung schwer nachweisbar.

Genau dafür haben wir WUPD entwickelt: einen nativen Windows-Dienst, der Drittanbieter-Software automatisiert patcht — mit kryptografischer Verifikation, vollständigem Audit-Trail und maschinenlesbaren Compliance-Reports, die direkt in eine NIS2-Dokumentation einfließen können.

WUPD ersetzt keine vollständige NIS2-Strategie, deckt aber einen der prüfungsrelevantesten Pflichtenkreise sauber und nachweisbar ab.

Patch Management als erster NIS2-Schritt

WUPD deckt Schritt 3 sauber ab: automatisches Patchen von Drittanbieter-Software mit vollständigem Audit-Trail und maschinenlesbaren Compliance-Reports — direkt verwendbar für die NIS2-Dokumentation.

Alle Details, Preise und technische Spezifikationen auf styrit.at/wupd — oder direkt Kontakt aufnehmen für eine kurze Demo.

Dieser Beitrag dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Trotz sorgfältiger Recherche kann keine Gewähr für Vollständigkeit, Aktualität oder rechtliche Verbindlichkeit übernommen werden. Ob und in welchem Umfang das NISG 2026 auf eine konkrete Organisation anwendbar ist, sollte im Einzelfall rechtlich geprüft werden.

1 ENISA Threat Landscape 2024, European Union Agency for Cybersecurity — identifiziert ungepatchte Schwachstellen in Standardsoftware konsistent als einen der häufigsten initialen Angriffsvektoren.