Anlässlich des herannahenden Stichtags des Inkrafttretens des neuen Netz- und Informationssystemsicherheitsgesetz (NISG 2026) am 01.10.2026 informiert der ÖWAV seine Mitglieder über die umzusetzenden Pflichten und die Frage der Betroffenheit der Unternehmen, insbesondere im Abwasser- und Abfallsektor. Denn mit dem neuen NISG 2026 tritt das NISG 2018 außer Kraft und es werden Maßnahmen festgelegt, mit denen ein hohes Cybersicherheitsniveau, insbesondere von wesentlichen und wichtigen Einrichtungen bestimmter Sektoren erreicht werden soll – also auch Einrichtungen der Abwasser- und Abfallwirtschaft.
Welche Einrichtungen sind betroffen?
1) Das NISG 2026 definiert klar die Sektoren, in denen Unternehmen betroffen sein können, darunter
- Abwasser laut Anlage 1 Z 7 (Unternehmen, die Abwasser iSd RL 91/271/EWG sammeln, entsorgen oder behandeln, wenn dies der wesentliche Teil ihrer allgemeinen Tätigkeit ist) und
- die Abfallbewirtschaftung laut Anlage 2 Z 2 (Unternehmen gem § 2 Abs 6 AWG 2002, solange dies die Haupttätigkeit darstellt).
2) Um als wesentliche oder wichtige Einrichtung zu gelten, reicht die Tätigkeit in einem der erfassten Sektoren allein jedoch nicht aus, sondern es ist zusätzlich die Unternehmensgröße gem § 25 NISG 2026 entscheidend, wobei sich die Größe nach Anzahl der Mitarbeiter:innen, dem Jahresumsatz und der Jahresbilanzsumme richtet.
Betroffen sind
- große Unternehmen laut § 25 Abs 2, die zumindest 250 Mitarbeiter beschäftigen ODER wenn sie einen Jahresumsatz von über 50 Millionen Euro erzielen UND sich die Jahresbilanzsumme auf über 43 Millionen Euro beläuft.
- mittlere Unternehmen laut § 25 Abs 3, wenn sie zumindest 50 Mitarbeiter beschäftigen, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielen UND sich die Jahresbilanzsumme auf über zehn Millionen Euro beläuft.
3) Zusätzlich gibt es dann noch die größenunabhängige Einstufung als wesentliche Einrichtung per Bescheid. Denn gem § 24 Abs 1 Z 1 lit f NISG 2026 gelten Einrichtungen, die bereits als "kritische Einrichtungen" im Sinne des RKEG eingestuft wurden, automatisch als "wesentliche Einrichtungen" für das NISG 2026. Gem § 26 hat die Cybersicherheitsbehörde zudem die Möglichkeit, Einrichtungen größenunabhängig als wesentliche oder wichtige Einrichtung einzustufen, wenn sich eine Störung des von der Einrichtung erbrachten Dienstes unter anderem wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken kann.
Eine detaillierte Übersicht sowie einen Online-Ratgeber zur eigenen Betroffenheit finden Sie auf der Website der WKO:
Was ist nun zu tun?
Ab dem 01.10.2026 sind die Bestimmungen zu den Risikomanagementmaßnahmen, welche in § 32 NISG 2026 zu finden sind, umzusetzen sowie die in § 34 festgesetzten Berichtspflichten einzuhalten. Verantwortlich dafür sind die Leitungsorgane. Auch Aufsichts- und Durchsetzungsmaßnahmen der Behörde inklusive Strafbestimmungen sind ab diesem Zeitpunkt möglich.
Bis spätestens zum 31.12.2026 haben sich zudem alle betroffenen Unternehmen im Register gem § 29 NISG 2026 zu registrieren.
Und bis 01.10.2027 hat die Selbstdeklaration in Form einer Information bezüglich der umgesetzten Risikomanagementmaßnahmen an die Cybersicherheitsbehörde zu erfolgen.
Achtung: Auch wenn eine Einrichtung NICHT unter das NISG 2026 fällt, so wird dringend geraten, dennoch Risikomanagementmaßnahmen bezüglich Cybersicherheitsvorfälle umzusetzen!