Diese Website verwendet Cookies zu Analysezwecken und um die Benutzerfreundlichkeit zu erhöhen.
Sie können der Verwendung von Cookies zustimmen oder diese individuell konfigurieren.
Mehr zu unseren Datenschutzrichtlininen finden Sie auf der Seite Datenschutz.
Cookies in dieser Kategorie sind für die einwandfreie Funktion der Website erforderlich und können deshalb nicht deaktiviert werden.
Cookies in dieser Kategorie dienen der Analyse des Nutzerverhaltens und helfen uns die Benutzerfreundlichkeit der Website zu verbessern.
Service zur Analyse des Nutzungsverhaltens.
Die Bundesregierung hat die Regierungsvorlage für das Netz- und Informationssystemsicherheitsgesetz 2026 (kurz „NISG 2026“) vorgestellt. Dieses Gesetz orientiert sich weiterhin eng an der Richtlinie (EU) 2022/2555 („NIS2“) und enthält im Vergleich zum Entwurf des NISG 2024 insbesondere Änderungen im Zusammenhang mit Zuständigkeiten, Fristen und Nachweispflichten: Die folgenden Punkte bieten eine prägnante Übersicht über die wesentlichen Änderungen, die das NISG 2026 im Vergleich zum NISG 2024 mit sich bringt.
Das NISG 2026 führt erstmals eine genaue Frist für die Selbstdeklaration ein. Innerhalb von zwölf Monaten nach der Registrierung bei der Cybersicherheitsbehörde (§ 29 Abs 2 NISG 2026) müssen betroffene Einrichtungen die Wirksamkeit ihrer umgesetzten Risikomanagementmaßnahmen nachweisen. Im Entwurf des NISG 2024 war ein solcher Nachweis lediglich auf Aufforderung der Behörde und damit nicht automatisch erforderlich.
Das NISG 2026 führt Nachweispflichten ein, die auf Aufforderung der Cybersicherheitsbehörde vorgelegt werden müssen. Wesentliche und wichtige Einrichtungen sind verpflichtet, die technische, operative und organisatorische Umsetzung ihrer Risikomanagementmaßnahmen innerhalb von zwei Jahren nachzuweisen (allgemeine Nachweispflicht). Für wesentliche Einrichtungen gilt zusätzlich, dass der Nachweis der organisatorisch-operativen Umsetzung bereits innerhalb von zwei Monaten nach Aufforderung erbracht werden muss. Die erstmalige Aufforderung kann frühestens nach Ablauf von zwei Jahren ab Inkrafttreten des NISG 2026 erfolgen.
Einrichtungen zur Überwachung der Geschäftsführung, wie beispielsweise Aufsichtsräte, fallen künftig nicht mehr unter den Begriff des Leitungsorgans im Sinne des NISG 2026. Das hat zur Folge, dass die Verantwortung für die Sicherstellung und Überwachung der Einhaltung von Risikomanagementmaßnahmen, also die Governance-Pflichten, vorrangig bei Vorständen und Geschäftsführern liegen werden.
Das NISG 2026 etabliert das Bundesamt für Cybersicherheit als zentrale Cybersicherheitsbehörde Österreichs. Es ist direkt dem Bundesministerium für Inneres unterstellt und wird von einem Direktor geleitet. Die Behörde hat ihren Hauptsitz in Wien, kann jedoch Außenstellen einrichten und organisiert ihre internen Strukturen eigenständig durch eine Geschäftseinteilung.
Das NISG 2026 integriert die inhaltliche Struktur der Risikomanagementmaßnahmen direkt in den Gesetzestext, anstatt sie wie zuvor in einer Anlage auszuführen. Die Maßnahmen sind nun prägnanter formuliert als in der ursprünglichen Anlage des NISG 2024. Dies bedeutet jedoch nicht automatisch, dass weniger Maßnahmen erforderlich sind. So erhält die Cybersicherheitsbehörde durch das NISG 2026 umfassende Befugnisse, um durch Verordnungen zusätzlich klare und verbindliche Anforderungen für Cybersicherheitsmaßnahmen zu definieren.
Das NISG 2026 wird neun Monate nach seiner Kundmachung in Kraft treten. Bei einem planmäßigen Verlauf des Gesetzgebungsprozesses wird das Inkrafttreten für Herbst 2026 erwartet. Innerhalb von drei Monaten nach Inkrafttreten müssen betroffene Unternehmen ihre Registrierung im Register der Cybersicherheitsbehörde vornehmen. Mit dieser Registrierung beginnt gleichzeitig die Frist für die Selbstdeklaration.
Das IP/IT-Team von BINDER GRÖSSWANG steht Ihnen als kompetenter Partner zur Seite, um Sie umfassend bei allen rechtlichen Fragen zum NISG 2026 zu beraten und zu unterstützen.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.