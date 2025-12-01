Michael Krausz, ist CEO von i.s.c. Group, einer Beratungsfirma, die sich auf alle Aspekte der Informationssicherheit spezialisiert hat. In diesem Gastbeitrag beschäftigt er sich mit dem kürzlich veröffentlichten Entwurf für das Netz- und Informationssystemsicherheitsgesetz (NISG 2026) und welche Auswirkungen dieses auf die heimische Cybersecurity hätte.

Eines muss man unserer Alpenrepublik lassen: Wenn gute Arbeit gemacht wird, dann wird sie richtig gut, nicht nur durchschnittlich gut, sondern so richtig gut. Es war schon bei NIS (NIS-1) so, dass Österreich hier EU-weit vorbildlich agierte. Sowohl Anwender/Praktiker als auch Consultants/Auditoren hatten völlig eindeutige und pragmatische Spielregeln, die man sich kaum besser, transparenter und klarer wünschen hätte können.

Gerade im Vergleich zum Nachbarn Deutschland hatten unser Innenministerium und die NIS-Teams hervorragende Arbeit geleistet. Dieser Trend dürfte sich mit NIS-2 fortsetzen. Während also der kürzlich veröffentlichte Entwurf für das NISG 2026 gerade einmal schlanke 37 Seiten umfasst, hat das deutsche Umsetzungsgesetz 140 Seiten, die dann auch noch durch Vorschriften des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergänzt werden. Noch dazu betreffen diese eher den Bund und seine Institutionen selbst, Unternehmen können wenig daraus mitnehmen.

Hauptsächlich KMUs von Ransomware-Attacken betroffen

Weiters ist es im neuen österreichischen Entwurf gelungen, die verfassungsrechtlichen Bedenken gegenüber dem im Gesetzwerdungsprozess missglückten NISG 2024 vernünftig zu adressieren. Es bleibt allerdings abzuwarten, ob die heutige Opposition zur notwendigen 2/3-Mehrheit beitragen wird und zu welchen Nebenbedingungen. Dabei ist wichtig zu betonen, dass wir bereits seit über einem Jahr mit der Umsetzung säumig sind, was neben einem peinlichen EU-Vertragsverletzungsverfahren auch aktuell einen Standortnachteil durch Unklarheiten und eine Compliance-Lücke bedeutet.

Nur zur Illustration: Für Österreich sind beispielsweise 91 Ransomware-Fälle bekannt, für Deutschland über 600, was bedeutet, dass Österreich relativ zur Landesgröße deutlich stärker betroffen ist als Deutschland (abgesehen vom Dunkelfeld). Die in Österreich bekannt gewordenen erfolgreichen Ransomware-Attacken richteten sich hauptsächlich gegen KMUs. Großbetriebe erweisen sich als deutlich besser aufgestellt und auch im Notfall handlungsfähig. Klar ist: An der generellen Steigerung der Resilienz unserer IT-Systeme (und der Userinnen und User) führt weiterhin kein Weg vorbei.

Es gibt im Entwurf zum NISG 2026 noch einige praktische Nachteile, die sich wahrscheinlich im Gesetzwerdungsprozess noch korrigieren lassen: Eine Schwäche ist, dass er grundsätzlich das Allgemeine Verwaltungsverfahrensgesetz (AVG) aushebelt, nach dem verwaltungsrechtlich jeweils Personen, nicht aber Unternehmen bestraft werden. Durch die Möglichkeit, ein Unternehmen statt der verantwortlichen Personen zu bestrafen, nimmt man den Führungskräften (besonders denen, die kein Naheverhältnis zur IT haben) allerdings etwas Motivation, wirklich stringent zu handeln.

Nichts wirkt im Allgemeinen motivierender als persönliche Haftung im Gegensatz zur Möglichkeit, Strafen auf das Unternehmen abwälzen zu können. Somit bleibt nur noch die beeinträchtigte persönliche Reputation als Drohkulisse.

Wesentlich mehr Unternehmen betroffen als nötig

Ebenso wurde leider bei der Definition der betroffenen Firmengrößen von der diesbezüglichen Empfehlung der EU-Kommission abgewichen, sodass es zu einem Gold-Plating kommen könnte und in Österreich wesentlich mehr Unternehmen betroffen sein würden als vernünftigerweise betroffen sein müssten. Das Gold-Plating besteht darin, dass die EU-Kommission davon spricht, dass Mitarbeiteranzahl „und“ Umsatz/Bilanzsumme zur Größenbewertung heranzuziehen sind – das österreichische Gesetz spricht aber von „oder“.

Ein kleiner Unterschied, der zahlreiche Unternehmen in den Geltungsbereich des Gesetzes bringt. Im §25 ist noch ein Widerspruch vorhanden, der leider bis dato nicht behoben wurde und noch für einige Verwirrung bei den Anwendern sorgen wird: Hier wird nämlich direkt auf die Empfehlung der EU-Kommission Bezug genommen, aber gleichzeitig die oben erwähnte Wortverwechslung eingebaut.

Summa summarum kommt man aber nicht umhin, das Bundesministerium für Inneres und die weiteren Beteiligten für die solide Arbeit zu loben. Mag sich bei den Anwendern die Freude auch in Grenzen halten, so freut sich die Consulting-Branche jedenfalls auf ein taugliches, pragmatisch gestaltetes, übersichtliches und transparent gestaltetes Gesetz inkl. ebenso gestalteter Anhänge. Insofern ist etwas Vorfreude auf 2026 gerechtfertigt.