Am 20. November 2025 hat die Bunderegierung dem Nationalrat den Entwurf für das Netz- und Informationssystemsicherheitsgesetzes 2026 („NISG 2026“) samt den dazugehörigen Materialien vorgelegt und damit einen weiteren Schritt zur Umsetzung der NIS-2-Richtlinie (RL 2022/2555) gesetzt. Ziel der Richtlinie ist es, ein unionsweit einheitliches, risikobasiertes Sicherheitsniveau für Netz- und Informationssysteme („NIS“) in kritischen Sektoren zu erreichen.

Erweiterter Anwendungsbereich

Der Entwurf übernimmt die Systematik der NIS-2-Richtlinie vollständig und unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Einstufung richtet sich nach den Größenschwellen der Empfehlung 2003/361/EG sowie nach der sogenannten „size-cap-rule“, wonach besonders kritische Sektoren größenunabhängig erfasst werden. Mit Übernahme dieser Systematik erweitert sich der Kreis der betroffenen Unternehmen erheblich. Erfasst sind Unternehmen zahlreicher kritischer Sektoren, darunter Energie, Transport, Gesundheit, Wasser- und Abwasserwirtschaft, Finanzmarktinfrastrukturen, Banken, die öffentliche Verwaltung sowie digitale Infrastrukturen, Cloud-Dienste, Rechenzentren und sonstige IKT-Dienstleister. Trotz Kritik verzichtet der Entwurf auf eine Ausnahme für rein konzerninterne IT-Dienstleistungen. Zudem stellt der Entwurf stärker auf das Unternehmen als Ganzes ab. Dies führt zu einem deutlich erweiterten Anwendungsbereich und erhöht die Compliance-Verantwortung der Unternehmensleitung, da Sicherheitsanforderungen künftig unternehmensweit umzusetzen und nachzuweisen sind.

Institutionelle Neuordnung: Bundesamt für Cybersicherheit

Die behördliche Zuständigkeit wird in einem eigenständigen Bundesamt für Cybersicherheit mit bundesweiter Kompetenz gebündelt. Die Behörde ist dem Bundesministerium für Inneres nachgeordnet, aber organisatorisch verselbstständigt und übernimmt die Aufgaben der Koordination, Aufsicht, Meldestelle und Prüfung. Rechtsmittel gegen Bescheide des Bundesamts für Cybersicherheit sind an das Bundesverwaltungsgericht zu richten; Verwaltungsstrafen bleiben jedoch in der Kompetenz der Bezirksverwaltungsbehörden.

Governance, Risikomanagement und Meldewesen

Der Entwurf des NISG 2026 konkretisiert die Leitungs- und Organisationspflichten der Unternehmensführung. Demnach ist die Geschäftsleitung verpflichtet, Sicherheitsmaßnahmen nicht nur formell zu genehmigen, sondern deren Umsetzung aktiv zu überwachen und regelmäßig zu evaluieren. Zudem müssen die Leitungsorgane über ausreichende Kenntnis im Bereich der Informationssicherheit verfügen und entsprechende Schulungen absolvieren. Auch betroffene Mitarbeiter sind regelmäßig zu schulen.

Der Entwurf verlangt eine klar geregelte interne Verantwortlichkeitsstruktur sowie umfassende Dokumentations- und Nachweispflichten, um behördliche Kontrollen zu ermöglichen. Verstöße gegen die aus dem NISG 2026 resultierenden Pflichten können erhebliche Verwaltungsstrafen und zivilrechtliche Haftungsfolgen nach sich ziehen.

Die Meldepflichten folgen einem zweistufigen System: Frühwarnungen bei erheblichen Sicherheitsvorfällen sind unverzüglich, spätestens binnen 24 Stunden zu erstatten; Vollmeldung binnen 72 Stunden mit einer strukturierten Bewertung der Auswirkungen und eingeleiteten Gegenmaßnahmen. Bei grenzüberschreitenden Vorfällen bestehen zusätzliche unionsrechtliche Meldepflichten.

Registrierung, Selbstdeklaration und prüfungsbezogene Pflichten

Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Inkrafttreten im Register bei der Cybersicherheitsbehörde eintragen. Binnen zwölf Monaten ist eine Selbstdeklaration vorzulegen, die den Stand des Sicherheits- und Risikomanagements, die eingesetzten Netz- und Informationssysteme, die Sicherheit der Lieferketten und die Ergebnisse der Risikoanalyse darlegt. Diese Pflicht gilt unabhängig davon, ob die Behörde eine Prüfung anordnet. Das Bundesamt für Cybersicherheit kann auch externe Prüfungen verlangen.

Aufsichtsmaßnahmen und Sanktionen

Die Behörde kann Verbesserungs- und Anpassungsmaßnahmen anordnen und Sicherheitsauflagen verhängen. Das Verwaltungsstrafregime entspricht den Obergrenzen der NIS-2-Richtlinie: bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, bis zu EUR 7 Mio. oder 1,4 % für wichtige Einrichtungen.

Fazit

Unternehmen sollten jetzt prüfen, ob sie in den Anwendungsbereich des NISG 2026 fallen und unter Berücksichtigung von Unternehmensgröße und Tätigkeitsart als „wesentlich“ oder „wichtig“ einzustufen sind. Darauf basierend sind die Registrierung im künftigen Register sowie die Umsetzung der erforderlichen Risikomanagementmaßnahmen sowie der Leitungs- und Organisationspflichten umzusetzen.