Neu im InnenausschussNIS-2-Richtlinie: Bundesregierung unternimmt mit NISG 2026 neuen Anlauf

Wien (PK) - Die NIS-2-Richtlinie (Network and Information Security Directive) der EU soll die Cyber- und Informationssicherheit von systemrelevanten Unternehmen und Institutionen unionsweit regeln und enthält Bestimmungen, wie sich diese auf potenzielle Cyberattacken vorzubereiten bzw. mit erfolgten Cybercrime-Vorfällen umzugehen haben. Sie ist Anfang 2023 in Kraft getreten und hätte bis zum 17.Oktober 2024 ins nationale Recht der Mitliedstaaten umgesetzt werden müssen. Nachdem diese Umsetzung in Österreich in Form des Netz- und Informationssystemsicherheitsgesetzes 2024 (NISG 2024) nicht die erforderliche Zweidrittelmehrheit im Nationalrat erhielt (siehe PK 785/2024), leitete die Europäische Kommission im November 2024 ein Vertragsverletzungsverfahren gegen Österreich und 22 weitere säumige EU-Staaten ein.

Nun unternimmt die Bundesregierung einen neuen Anlauf: Am 20. November 2025 legte der Ministerrat das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) vor, samt flankierenden Änderungen im Telekommunikations- und im Gesundheitstelematikgesetz (308 d.B.). Dieses orientiert sich weiterstgehenden an der Version von 2024, sieht jedoch Adaptierungen etwa bei den Berichtspflichten, den Übergangsfristen und der institutionellen Ausgestaltung der Cybersicherheitsbehörde vor. Da das NISG 2026 Verfassungsbestimmungen enthält, bedarf sein Beschluss erneut einer Zweidrittelmehrheit im Parlament.

Bundesamt für Cybersicherheit im Innenministerium

Zentraler Bestandteil des NISG 2026 ist die Errichtung einer eigenständigen, dem Innenminister unmittelbar nachgeordneten Cybersicherheitsbehörde, die organisatorisch jedoch außerhalb der Generaldirektion für die öffentliche Sicherheit angesiedelt werden soll. Das Bundesamt für Cybersicherheit soll als nationale NIS-Behörde alle Maßnahmen zur Aufrechterhaltung eines hohen Cybersicherheitsniveaus wahrnehmen. Es soll als zentrale Anlaufstelle agieren, die Meldung sowie Behandlung von Sicherheitsvorfällen übernehmen und sowohl auf nationaler als auch internationaler Ebene für den Informationsaustausch zuständig sein. Zu ihren Aufgaben soll auch die Koordination der Erstellung der durch NIS-2 vorgeschriebenen Österreichischen Strategie für Cybersicherheit (ÖSCS) zählen.

Als Koordinierungszentrum für Cybersicherheit habe das Bundesamt zudem als Schnittstelle zwischen dem öffentlichen und dem privaten Sektor zu fungieren und verschiedene Aufgaben im Bereich der Bewusstseinsbildung und Prävention wahrzunehmen, um einen wesentlichen Beitrag zur gesamtstaatlichen Resilienz zu leisten. Unabhängige Stellen und Prüfer sollen zusätzlich die Einhaltung der Sicherheitsvorschriften überwachen und Bewertungen durchführen, um die Wirksamkeit der Maßnahmen zu gewährleisten. Im Vergleich zum NISG 2024 sieht das NISG 2026 eine weitgehendere institutionelle Ausgestaltung des Bundesamtes vor sowie eine Ausweitung der Berichtspflichten und der parlamentarischen Kontrolle. So sollen etwa Weisungen des Innenministers an den Direktor bzw. die Direktorin der Behörde halbjährlich veröffentlicht werden müssen.

Koordinierungsstruktur und Computer-Notfallteams

Als zentrales, strategisch-planendes Organ ist außerdem die Einrichtung einer Cyber Sicherheit Steuerungsgruppe (CSS) vorgesehen, die unter anderem bei der Entwicklung des ÖSCS mitwirken und dessen Umsetzung überwachen soll. Als operatives Bindeglied zwischen den zuständigen Ressorts und Einrichtungen soll das Bundesamt zudem den Inneren Kreis der Operativen Koordinierungsstruktur (IKDOK) sowie die Operative Koordinierungsstruktur (OpKoord) leiten. Diese beiden Gremien dienen der laufenden Analyse der Cybersicherheitslage, der Koordinierung ressortübergreifender Maßnahmen und der Unterstützung im Fall signifikanter Cybersicherheitsvorfälle. Der IKDOK soll dabei ein vertrauliches, eng geführtes Koordinationsformat bilden, in dem Vertreter:innen der jeweils betroffenen Ressorts sicherheitsrelevante Informationen bündeln und strategisch abstimmen. Die OpKoord hingegen stellt das breitere operative Arbeitsforum dar, in dem die nachgeordneten Stellen der Ressorts zusammenwirken, technische und organisatorische Erkenntnisse austauschen, operative Maßnahmen abstimmen und insbesondere die Bewältigung von Vorfällen mit grenzüberschreitender oder sektorübergreifender Relevanz vorbereiten.

Im operativen Bereich sieht der Entwurf darüber hinaus die Einrichtung und Ermächtigung eines oder mehrerer nationaler Computer-Notfallteams (CSIRTs - Cybersecurity Incident Response Teams) vor, die unter Aufsicht des Bundesamts für Cybersicherheit tätig werden sollen. Sie sollen Cyberbedrohungen erkennen, analysieren und darauf reagieren, Empfehlungen für Präventions- und Abhilfemaßnahmen erarbeiten und als zentrale Unterstützungsinstanz für betroffene Einrichtungen fungieren. Das bereits bestehende GovCERT (Government Computer Emergency Response Team), das als sektorspezifisches CSIRT für die öffentliche Verwaltung tätig ist, soll bis zur Ermächtigung eines neuen nationalen CSIRTs übergangsweise dessen Aufgaben wahrnehmen. Darüber hinaus sollen sektorspezifische CSIRTs eingerichtet werden können.

Pflichten der betroffenen Einrichtungen

Neben der institutionellen Architektur definiert das NISG 2026 umfassende Pflichten für jene Einrichtungen, die eine kritische Rolle für die Aufrechterhaltung staatlicher Funktionen spielen und unter den Geltungsbereich des Gesetzes fallen. Dabei wird im Entwurf zwischen wesentlichen und wichtigen Einrichtungen unterschieden, je nach Größe und sektoraler Zugehörigkeit. Insgesamt erfasst das Gesetz 18 Sektoren, darunter Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser und Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, Abfallbewirtschaftung, Lebensmittelproduktion, verarbeitendes Gewerbe, Forschung sowie Anbieter digitaler Dienste.

Einrichtungen müssen künftig ein systematisches Risikomanagement implementieren, das technische, organisatorische und operative Sicherheitsmaßnahmen umfasst. Dazu zählen Vorgaben zur Netzwerksicherheit, Identitäts- und Zugriffsverwaltung, Protokollierung, Kryptografie, Notfallvorsorge, regelmäßige Schwachstellenanalysen, Lieferkettensicherheit und die Sicherheit eingesetzter IKT-Produkte und -Dienste. Leitungsorgane sollen ausdrücklich für die Umsetzung und Wirksamkeit der Maßnahmen verantwortlich sein. Sie müssten die strukturelle Verankerung der Cybersicherheit sicherstellen und für regelmäßige Schulungen der Mitarbeiterinnen und Mitarbeiter Sorge tragen.

Dazu kommt ein mehrstufiges Meldesystem für erheblich Cybersicherheitsvorfälle. Einrichtungen müssen dem zuständigen CSIRT bzw. dem Bundesamt für Cybersicherheit laut Regierungsvorlage einen solchen Vorfall unverzüglich, spätestens aber 24 Stunden nach Kenntnisnahme eine Frühwarnung erstatten. Binnen 72 Stunden soll eine ausführliche Meldung folgen, die zusätzliche Bewertungen umfasst. Bei Bedarf sollen Zwischenberichte verlangt werden können. Spätestens einen Monat nach Meldung des Vorfalls soll ein Abschlussbericht vorzulegen sein, bzw. ein Fortschrittsbericht, wenn der Vorfall weiterhin andauert.

Das Verwaltungsstrafregime orientiert sich an den unionsrechtlichen Vorgaben der NIS-2-Richtlinie. Für Verstöße sind bei wesentlichen Einrichtungen Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vorgesehen, für wichtige Einrichtungen bis zu 7 Mio. Euro bzw. 1,4 %.

Aufsicht und Registrierung

Die Aufsicht über die Einhaltung der Vorgaben unterscheidet ebenfalls zwischen wesentlichen und wichtigen Einrichtungen. Bei wesentlichen Einrichtungen ist eine proaktive, ex-ante Aufsicht vorgesehen, während wichtige Einrichtungen primär anlassbezogen überwacht werden. Die Behörde kann Auskünfte verlangen, Vor-Ort-Prüfungen durchführen, technische Sicherheitsprüfungen anordnen, Maßnahmen zur Risikominderung vorschreiben.

Neben den Meldepflichten ist auch die Einrichtung eines Registers aller wesentlichen und wichtigen Einrichtungen vorgesehen. Betroffene Unternehmen und Institutionen sollen sich innerhalb von drei Monaten nach Inkrafttreten des NISG 2026 beim Bundesamt für Cybersicherheit registrieren müssen. Diese Registrierung soll künftig die Grundlage für die Aufsichtstätigkeit der Behörde und für den unionsweiten Informationsaustausch bilden, da relevante Angaben auch an ENISA (Agentur der EU für Cybersicherheit) übermittelt werden sollen. Ergänzend dazu verpflichtet das Gesetz Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, zur Führung einer standardisierten Datenbank von Registrierungsdaten. Diese soll im Anlassfall der raschen Identifizierbarkeit von Domaininhabern dienen und die Nachvollziehbarkeit internetbezogener Vorfälle verbessern.

Innerhalb von zwölf Monaten ab Eintritt der Registrierungspflicht sollen betroffene Einrichtungen eine strukturierte Selbstdeklaration abgeben, in der der Stand der Umsetzung der Risikomanagementmaßnahmen dargestellt wird. Der technische Nachweis soll durch den Prüfbericht einer unabhängigen Stelle erfolgen, der binnen zwei Jahren nach einer entsprechenden Aufforderung beizubringen sei.

Neun Monate nach seiner Kundmachung soll das NISG 2026 in Kraft und das derzeit gültige NISG außer Kraft treten. Bereits ab dem auf die Kundmachung folgenden Tag sollen Verordnungen auf Grundlage des NISG 2026 erlassen werden können, die jedoch erst mit Inkrafttreten des Gesetzes wirksam würden. (Schluss) wit