NIS2: Stärkung der Cybersicherheit für kritische Infrastruktur

Mit dem Entwurf des Netz- und Informationssicherheitsgesetzes NISG 2026, welches im November 2025 vom Ministerrat vorgelegt wurde, soll nun endlich die NIS2-Richtlinie in Österreich umgesetzt werden. Bereits 2024 leitete die Europäische Kommission ein Vertragsverletzungsverfahren wegen der Nichtumsetzung der Richtlinie ein. Ziel des Gesetzes ist es, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen und europaweit einheitliche Sicherheitsstandards zu etablieren. Die Regelungen betreffen insbesondere Betreiber kritischer Infrastrukturen – darunter auch die Sektoren Abwasser, Energie, Abfall und öffentliche Verwaltung.  

 

Cyberangriffe auf digitale Systeme nehmen in Häufigkeit und Komplexität zu. Für Unternehmen, die essenzielle Dienstleistungen wie Trinkwasserversorgung, Abwasserentsorgung oder Abfallmanagement sicherstellen, können solche Vorfälle gravierende Folgen haben – von Betriebsunterbrechungen bis hin zu erheblichen finanziellen Schäden. NIS2 soll hier verbindliche Rahmenbedingungen schaffen, um Risiken zu minimieren und eine koordinierte Reaktion sicherzustellen. 

 

• Verpflichtende Sicherheitsmaßnahmen in technischer, operativer und organisatorischer Hinsicht. 
• Einrichtung eines Bundesamtes für Cybersicherheit (Cybersicherheitsbehörde), welches die Wahrnehmung der Aufgaben auf dem Gebiet der Cybersicherheit innehat. Diese Behörde soll als zentrale Anlaufstelle für Cybersicherheit dienen und die Funktion als nationales Koordinierungszentrum übernehmen.    
• Benennung von Computer-Notfallteams (CSIRTs) zur Unterstützung der wesentlichen und wichtigen Einrichtungen.    
• Meldepflichten: Sicherheitsvorfälle sind unverzüglich an die neu geschaffene Cybersicherheitsbehörde zu melden. 
• NIS2 ergänzt das Resilienz-kritischer-Einrichtungen-Gesetz (RKEG). 
   

• Implementierung eines systematisches Risikomanagements, das technische, organisatorische und operative Sicherheitsmaßnahmen umfasst. 
• Verantwortung der Leitungsorgane für Umsetzung und Wirksamkeit der Maßnahmen sowie Schulungen ihrer Mitarbeiter:innen. 
• Etablierung eines mehrstufigen Meldesystems für Cybersicherheitsvorfälle: Frühwarnung binnen 24 Stunden und ausführliche Meldung binnen 72 Stunden   
• Registrierungspflicht beim Bundesamt für Cybersicherheit innerhalb von drei Monaten nach Inkrafttreten des NISG 2026  
• Führung einer standardisierten Datenbank von Registrierungsdaten für Einrichtungen, die Domänennamen-Registrierungsdienste erbringen.  
• Abgabe einer strukturierten Selbstdeklaration über Status quo der Umsetzung der Risikomanagementmaßnahmen zwölf Monate ab Eintritt der Registrierungspflicht