Ab 1. Oktober gelten neue Pflichten zur Cybersicherheit. Wer betroffen ist, muss Risiken managen, Vorfälle melden und sich bis Jahresende registrieren. Wie das geht, erklärt WKÖ-Expertin Verena Becker.
Das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) setzt die europäische Cybersicherheits-Richtlinie NIS-2 in Österreich um. Ab 1. Oktober 2026 müssen betroffene Einrichtungen ihre Cybersicherheitsrisiken systematisch managen und Sicherheitsvorfälle melden. Bis Ende des Jahres müssen sich diese Unternehmen registrieren. Ziel ist ein einheitlich höheres Sicherheitsniveau für Netz- und Informationssysteme in zentralen Sektoren. Wir haben Verena Becker, NIS-2-Expertin in der Bundessparte Information und Consulting in der WKÖ, zum Interview getroffen:
Was das NISG 2026 für Unternehmen bedeutet
Frau Becker, was ist das größte Missverständnis in Bezug auf NISG 2026 und NIS-2?
Verena Becker: Der größte Irrtum ist die vorschnelle Annahme "wir sind nicht betroffen". Viele sehen sich nicht als kritische Infrastruktur sehen oder unterschätzen ihre Größe bzw. Rolle. Tatsächlich ist der Anwendungsbereich sehr weit und knüpft an Sektoren wie Gesundheit, digitale Infrastruktur oder verarbeitendes Gewerbe an.
Bei der Unternehmensgröße wird oft übersehen, dass verbundene und Partnerunternehmen berücksichtigt werden müssen. Dienstleister und Lieferanten werden vertraglich zu Mindeststandards verpflichtet. Eine strukturierte Prüfung der eigenen Betroffenheit ist unerlässlich, hier hilft unser Online-Ratgeber.
NISG 2026: Alle Infos und Expert:innen-Webinar
- Alle Infos zum Thema NIS 2 auf einen Blick findest du online unter wko.at/nis.
- Der WKO Online Ratgeber "NISG 2026 und NIS-2" bietet eine Ersteinschätzung, ob dein Unternehmen von den Regelungen erfasst ist und was konkret zu tun ist.
- Im Webniar "NISG 2026 im Fokus: Frage- und Antwort-Session mit Expert:innen" werden am 15. April 2026 von 10 bis 11 Uhr alle Fragen zum Thema NISG 2026 beantwortet.
Warum Cybersicherheit Chefsache wird
Was bedeutet das NISG 2026 für das Management?
Becker: Cybersicherheit wird zur strategischen Verantwortung für das Top-Management und zum festen Bestandteil ordnungsgemäßer Unternehmensführung. Die Geschäftsleitung muss die Risiken aktiv steuern, Ressourcen bereitstellen, Berichte einfordern und Maßnahmen überwachen. Verpflichtende Schulungen – für die Geschäftsleitung auf strategischer Ebene und für die Mitarbeitenden als Awareness-Schulung – sind Teil der gesetzlich geforderten Maßnahmen.
iDer größte Irrtum ist die vorschnelle Annahme "wir sind nicht betroffen". Viele sehen sich nicht als kritische Infrastruktur sehen oder unterschätzen ihre Größe bzw. Rolle.
Wie Unternehmen ihre Betroffenheit richtig prüfen
Was sind typische Fehler bei der Vorbereitung?
Becker: Ein häufiger Fehler ist, die Umsetzung als reines IT-Projekt zu behandeln. Tatsächlich geht es um ganzheitliches Risikomanagement, nicht um Einzelmaßnahmen. Besonders die Lieferkette wird oft unterschätzt oder gar nicht systematisch berücksichtigt – obwohl gerade dort wesentliche Risiken liegen.
Herzlichen Dank für das Gespräch!
Das Wichtigste in Kürze:
- Das NISG 2026 bringt ab 1. Oktober 2026 verpflichtende Mindeststandards für die Cybersicherheit in betroffenen Unternehmen.
- Viele Unternehmen unterschätzen, dass sie unter das Gesetz fallen, weil der Anwendungsbereich breiter ist als oft angenommen.
- Für die Beurteilung der Betroffenheit zählen nicht nur Branche und Größe, sondern auch verbundene und Partnerunternehmen.
- Cybersicherheit wird zur klaren Managementaufgabe: Die Geschäftsleitung muss Risiken steuern, Ressourcen bereitstellen und Maßnahmen überwachen.
- Wer die Umsetzung nur als IT-Projekt sieht, greift zu kurz, denn auch Lieferkette, Schulungen und Meldepflichten sind zentral.
- Alle offenen Fragen werden am 15. April 2026 im Webinar "NISG 2026 im Fokus: Frage- und Antwort-Session mit Expert:innen" beantwortet.