Am 12. Dezember 2025 hat der österreichische Nationalrat das NISG 2026 beschlossen – die nationale Umsetzung der europäischen NIS2-Richtlinie. Ab 1. Oktober 2026 gelten für geschätzt über 5.000 Unternehmen in Österreich neue Pflichten bei Cybersicherheitsvorfällen. Eine der einschneidendsten Änderungen: die mehrstufige Meldepflicht mit Fristen ab 24 Stunden. Was das für Unternehmen bedeutet, wie der Meldeprozess abläuft und welche Rolle ein IT-Sachverständiger dabei spielen kann, erklärt dieser Beitrag.
Wer ist betroffen?
Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen gegenüber der bisherigen NIS1-Regelung erheblich. Waren unter NIS1 in Österreich rund 100 bis 200 Unternehmen erfasst, sind es unter dem NISG 2026 über 5.000 direkt betroffene Einrichtungen – und schätzungsweise 50.000 weitere Unternehmen, die als Lieferanten und Dienstleister indirekt betroffen sind.
Das Gesetz unterscheidet zwischen wesentlichen und wichtigen Einrichtungen in 18 Sektoren. Dazu gehören Energie, Transport, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur, Abwasserwirtschaft, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, Chemie, verarbeitendes Gewerbe, digitale Dienste und Forschung. Die Größenschwelle liegt grundsätzlich bei 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz, wobei es Ausnahmen gibt: Anbieter öffentlicher Kommunikationsnetze, DNS-Diensteanbieter und bestimmte weitere Einrichtungen fallen unabhängig von ihrer Größe unter das Gesetz.
Entscheidend für die Praxis: Auch Unternehmen unterhalb der Größenschwelle können betroffen sein, wenn sie als Lieferant oder Dienstleister für eine wesentliche oder wichtige Einrichtung arbeiten. Die Lieferkettensicherheit ist ein zentrales Element der NIS2-Richtlinie, und betroffene Einrichtungen werden die Anforderungen vertraglich an ihre Zulieferer weitergeben.
Die mehrstufige Meldepflicht: Was wann gemeldet werden muss
Das Herzstück der neuen Regelung für den Anlassfall ist die mehrstufige Meldepflicht bei erheblichen Cybersicherheitsvorfällen. Sie ist bewusst als eskalierendes System angelegt, das in der akuten Phase nur eine Erstmeldung verlangt und die detaillierte Analyse in spätere Phasen verschiebt.
Stufe 1: Frühwarnung innerhalb von 24 Stunden. Nach der Erkennung eines erheblichen Cybersicherheitsvorfalls hat das Unternehmen 24 Stunden Zeit, eine Frühwarnung an das nationale CSIRT (in Österreich: CERT.at) zu übermitteln. Diese Frühwarnung muss angeben, ob der Vorfall vermutlich auf einer rechtswidrigen oder böswilligen Handlung beruht und ob er grenzüberschreitende Auswirkungen haben könnte. Die Frühwarnung ist bewusst niedrigschwellig gehalten: Es geht um eine erste Einordnung, nicht um eine abschließende Analyse.
Stufe 2: Erstbewertung innerhalb von 72 Stunden. Binnen 72 Stunden nach der Erkennung muss eine erste Einschätzung des Vorfalls an die zuständige Behörde übermittelt werden. Diese Erstbewertung enthält eine Aktualisierung der Frühwarnung, eine erste Bewertung des Vorfalls einschließlich Schweregrad und Auswirkungen sowie gegebenenfalls vorhandene Kompromittierungsindikatoren (Indicators of Compromise, IoC).
Stufe 3: Zwischen- oder Abschlussbericht innerhalb eines Monats. Spätestens einen Monat nach der Erstmeldung ist ein ausführlicher Bericht vorzulegen. Dieser enthält eine detaillierte Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkungen, die Art der Bedrohung oder die Ursache, die angewandten und laufenden Abhilfemaßnahmen sowie gegebenenfalls die grenzüberschreitenden Auswirkungen. Ist der Vorfall nach einem Monat noch nicht abgeschlossen, wird zunächst ein Zwischenbericht eingereicht und der Abschlussbericht nach Abschluss der Vorfallbearbeitung nachgereicht.
Was ein erheblicher Cybersicherheitsvorfall ist
Nicht jede IT-Störung löst die Meldepflicht aus. Die NIS2-Richtlinie definiert einen erheblichen Sicherheitsvorfall als einen Vorfall, der schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann, oder der andere Personen oder Einrichtungen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
In der Praxis bedeutet das: Ein Ransomware-Angriff, der Produktionssysteme verschlüsselt, ist ein erheblicher Vorfall. Ein Datendiebstahl, bei dem Kundendaten exfiltriert werden, ist ein erheblicher Vorfall. Ein DDoS-Angriff, der die Erreichbarkeit eines wesentlichen Dienstes über Stunden verhindert, ist ein erheblicher Vorfall. Ein fehlgeschlagener Phishing-Versuch, der rechtzeitig erkannt und abgewehrt wurde, ist in der Regel kein erheblicher Vorfall, kann aber freiwillig gemeldet werden.
Die Abgrenzung ist im Einzelfall nicht trivial. Gerade in der Frühphase eines Vorfalls ist das Ausmaß oft noch unklar. Die 24-Stunden-Frist für die Frühwarnung beginnt mit der Erkennung des Vorfalls, nicht mit der vollständigen Analyse. Im Zweifel ist eine frühzeitige Meldung immer besser als eine verspätete: Eine Frühwarnung, die sich im Nachhinein als unnötig erweist, hat keine negativen Konsequenzen. Eine verspätete Meldung kann dagegen sanktioniert werden.
Die parallelen Meldepflichten: NIS2 und DSGVO
Wenn ein Cybersicherheitsvorfall auch personenbezogene Daten betrifft, laufen zwei Meldepflichten parallel. Die NIS2-Meldung an das CSIRT und die DSGVO-Meldung an die Datenschutzbehörde sind voneinander unabhängig und ersetzen sich nicht gegenseitig.
Die DSGVO-Meldung nach Art. 33 DSGVO hat eine Frist von 72 Stunden und geht an die österreichische Datenschutzbehörde. Sie betrifft die Verletzung des Schutzes personenbezogener Daten. Die NIS2-Meldung hat eine erste Frist von 24 Stunden (Frühwarnung) und geht an das CSIRT (CERT.at). Sie betrifft die Betriebsstörung und die Cybersicherheit.
In der Praxis erfordert das eine koordinierte Vorfallbearbeitung, die beide Meldepflichten berücksichtigt. Die Inhalte der Meldungen überschneiden sich teilweise, sind aber nicht identisch. Die DSGVO-Meldung fokussiert auf die betroffenen personenbezogenen Daten und die Risiken für die Betroffenen. Die NIS2-Meldung fokussiert auf den technischen Vorfall, seine Ursache und seine Auswirkungen auf die Dienste.
Was ein IT-Sachverständiger in diesem Prozess leistet
Die Meldepflicht stellt Unternehmen vor eine doppelte Herausforderung: Sie müssen den Vorfall bewältigen und gleichzeitig strukturiert dokumentieren und melden. In der akuten Krise sind die internen Ressourcen mit der Eindämmung und Wiederherstellung vollständig ausgelastet. Die Meldung wird dann entweder zu knapp, zu spät oder inhaltlich unzureichend.
Ein IT-Sachverständiger kann in mehreren Phasen des Prozesses unterstützen.
In der akuten Phase liefert er die technische Ersteinschätzung, die für die Frühwarnung und die Erstbewertung benötigt wird: Welche Systeme sind betroffen? Handelt es sich um einen gezielten Angriff oder einen opportunistischen Vorfall? Gibt es Hinweise auf Datenexfiltration? Sind grenzüberschreitende Auswirkungen möglich? Diese Einschätzungen erfordern forensische Kompetenz, die in vielen KMU intern nicht vorhanden ist.
In der Analysephase erstellt er die detaillierte Vorfallanalyse, die für den Zwischen- und Abschlussbericht erforderlich ist: Rekonstruktion des Angriffsverlaufs, Identifikation des Angriffsvektors, Bestimmung des Schadensumfangs, Bewertung der ergriffenen Abhilfemaßnahmen. Diese Analyse muss in einer Form dokumentiert werden, die sowohl für die Behörde nachvollziehbar als auch für eine etwaige gerichtliche Auseinandersetzung verwertbar ist.
In der Nachbereitung unterstützt er bei der Bewertung, ob die vorhandenen Risikomanagementmaßnahmen dem Vorfall angemessen waren und welche zusätzlichen Maßnahmen erforderlich sind. Diese Bewertung ist nicht nur für die interne Verbesserung relevant, sondern auch als Nachweis gegenüber der Cybersicherheitsbehörde, die ab Oktober 2028 die Umsetzung der Maßnahmen prüfen wird.
Die Sanktionen: Was bei Nichtbeachtung droht
Das NISG 2026 sieht für wesentliche Einrichtungen Geldstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes.
Neben den Geldstrafen kann die Cybersicherheitsbehörde weitere Maßnahmen anordnen: verbindliche Anweisungen zur Umsetzung von Sicherheitsmaßnahmen, bei wesentlichen Einrichtungen im Extremfall die vorübergehende Aussetzung der Tätigkeit und sogar ein vorübergehendes Tätigkeitsverbot für Personen mit Geschäftsleitungsaufgaben.
Besonders relevant für die Geschäftsführung: Die Leitungsorgane haften persönlich für die Einhaltung der Cybersicherheitsmaßnahmen. Die Geschäftsführung muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Diese persönliche Haftung kann nicht delegiert werden.
Der Zeitplan: Was jetzt zu tun ist
Das NISG 2026 wurde am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Die wichtigsten Fristen sind klar definiert.
Am 1. Oktober 2026 tritt das Gesetz in Kraft. Ab diesem Zeitpunkt müssen die Risikomanagementmaßnahmen umgesetzt sein und die Meldepflichten werden wirksam. Bis 31. Dezember 2026 müssen sich wesentliche und wichtige Einrichtungen bei der Cybersicherheitsbehörde registrieren. Bis 30. September 2027 muss eine Selbstdeklaration mit der Beschreibung der Risikomanagementmaßnahmen und den Ergebnissen der Risikoanalysen an die Cybersicherheitsbehörde übermittelt werden. Ab 1. Oktober 2028 kann die Cybersicherheitsbehörde die tatsächliche Umsetzung der Maßnahmen prüfen und nachweisen lassen.
Für Unternehmen, die noch nicht begonnen haben, sich mit den Anforderungen auseinanderzusetzen, wird die Zeit knapp. Die Umsetzung eines angemessenen Risikomanagements, die Einrichtung von Meldeprozessen und die Schulung der Verantwortlichen erfordern Vorlaufzeit.
Vorbereitung auf den Ernstfall: Der Melde- und Dokumentationsprozess
Die Meldepflicht lässt sich nicht erst im Schadensfall organisieren. Unternehmen sollten jetzt drei Dinge vorbereiten.
Erstens einen Incident-Response-Plan, der die NIS2-Meldefristen berücksichtigt. Dieser Plan definiert, wer im Unternehmen für die Erkennung, Bewertung und Meldung von Vorfällen zuständig ist, wie der interne Eskalationsprozess abläuft und wer die Meldung an das CSIRT und gegebenenfalls an die Datenschutzbehörde verantwortet. Der Plan sollte auch die Kontaktdaten eines externen IT-Sachverständigen enthalten, der im Ernstfall kurzfristig verfügbar ist.
Zweitens die technischen Voraussetzungen für die Vorfallserkennung. Die Meldepflicht setzt voraus, dass das Unternehmen einen erheblichen Vorfall überhaupt erkennt. Ohne funktionierendes Monitoring, zentralisierte Log-Erfassung und definierte Erkennungsmechanismen kann die 24-Stunden-Frist nicht eingehalten werden, weil der Vorfall möglicherweise erst Tage oder Wochen nach seinem Beginn bemerkt wird.
Drittens die Dokumentationsstrukturen. Die mehrstufige Meldepflicht erfordert eine fortlaufende Dokumentation des Vorfalls von der Erkennung bis zum Abschluss. Diese Dokumentation muss detailliert genug sein, um die Behörde zu informieren, und gleichzeitig forensisch belastbar, falls der Vorfall zu rechtlichen Auseinandersetzungen führt.
Als allgemein beeideter und gerichtlich zertifizierter IT-Sachverständiger unterstütze ich Unternehmen sowohl bei der Vorbereitung auf die NIS2-Meldepflichten als auch bei der forensischen Dokumentation im akuten Vorfallsfall. Kontaktieren Sie mich für ein unverbindliches Erstgespräch.