Am 23. Dezember 2025, gerade noch vor Weihnachten, wurde das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) kundgemacht. 

Übersicht der wichtigsten Deadlines

Hier ist eine Übersicht über die wichtigsten Deadlines – wobei die inhaltlichen Details erst per Verordnung verlautbart werden.

• 1. Oktober 2026: Inkrafttreten des NISG 2026, „altes“ NISG tritt außer Kraft
• 1. Jänner 2027: Frist zur Selbst-Registrierung der betroffenen wesentlichen und wichtigen Einrichtungen endet.
• 1. Oktober 2027: Frist zur Selbstdeklaration der getroffenen Maßnahmen (s. unten §33) endet.
• ab 1. Oktober 2028: NIS-Behörde kann zu Prüfung auffordern (s. unten §33). 

Der „Nachweis der operativen sowie organisatorischen Umsetzung“ wird „auch durch einschlägige gültige Zertifikate“ möglich sein, d. h. eine ISO/IEC 27001 Zertifizierung, die ein funktionierendes Informationssicherheits-Managementsystem (ISMS) nachweist, kann bei passendem Scope auch als Nachweis dienen. 

Die OCG bietet sowohl NISG-Prüfungen als auch ISO/IEC 27001 Zertifizierungen an und wird auch in Zukunft den wesentlichen und wichtigen Einrichtungen Zertifizierungen, Prüfungen und Gap-Analysen anbieten.

Laut §51 Abs. 7 des NISG 2026 wird die OCG automatisch mit Inkrafttreten des  Gesetzes für 12 Monate Unabhängige Stelle gemäß § 7 (bisher Qualifizierte Stelle). Das weitere Prozedere wird mit den entsprechenden Verordnungen festgelegt.

Auszug aus dem NISG 2026

Nachweis der Wirksamkeit von Risikomanagementmaßnahmen 

§ 33. (1) Wesentliche und wichtige Einrichtungen haben innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht gemäß § 29 Abs. 2 der Cybersicherheitsbehörde Informationen hinsichtlich umgesetzter Risikomanagementmaßnahmen gemäß § 32, insbesondere betreffend die genutzten Netz- und Informationssysteme und die Sicherheit der Lieferketten sowie die Ergebnisse der durchgeführten Risikoanalyse, nach den Vorgaben der Cybersicherheitsbehörde in strukturierter Form zu übermitteln (Selbstdeklaration). 

(2) Wesentliche und wichtige Einrichtungen haben innerhalb von zwei Jahren nach Aufforderung durch die Cybersicherheitsbehörde die technische, operative und organisatorische Umsetzung der Risikomanagementmaßnamen gemäß § 32 durch eine von einer unabhängigen Stelle nach den Vorgaben der Cybersicherheitsbehörde sowie auf Basis der von der jeweiligen Einrichtung durchgeführten Risikoanalyse oder einer aufgrund sonstiger Risikoabwägungen durchgeführten Prüfung, die nicht länger als zwei Jahre zurückliegt, nachzuweisen, wobei der Nachweis der operativen sowie organisatorischen Umsetzung auch durch einschlägige gültige Zertifikate möglich ist. Davon abweichend haben wesentliche Einrichtungen die operative sowie organisatorische Umsetzung der Risikomanagementmaßnahmen innerhalb von zwei Monaten nach Aufforderung durch die Cybersicherheitsbehörde nachzuweisen. Für Aufforderungen in Bezug auf wichtige Einrichtungen gilt § 38 Abs. 2 sinngemäß. Die erstmalige Aufforderung kann frühestens nach Ablauf von zwei Jahren ab Inkrafttreten dieses Bundesgesetzes erfolgen.