NISG 2026 – Neue Cybersicherheitspflichten-Warum Unternehmen jetzt handeln sollten

Neue Verantwortung für Geschäftsleitungen

Das NISG 2026 ordnet die Verantwortung für Cybersicherheitsmaßnahmen klar der Unternehmensleitung zu. Auch wenn die operative Umsetzung der erforderlichen Maßnahmen delegiert wird, verbleibt die Gesamtverantwortung bei den Leitungsorganen und ist nicht übertragbar. Bei Verstößen drohen hohe Verwaltungsstrafen. Angesichts des engen Zeitfensters bis zum Inkrafttreten gewinnt eine rechtzeitige Vorbereitung damit erheblich an Bedeutung.

Pflichten betreffen auch  die Lieferkette

Selbst Unternehmen, die nicht direkt unter das Gesetz fallen, können mittelbar betroffen sein. Große Marktteilnehmer – insbesondere aus kritischen Sektoren – werden von ihren Lieferanten und Dienstleistern künftig Cybersicherheitsnachweise verlangen, um ihre eigenen Pflichten erfüllen zu können. Dadurch wirkt das NISG 2026 weit über den Kernbereich hinaus: Anforderungen werden entlang der gesamten Wertschöpfungskette weitergegeben und können zu neuen vertraglichen oder organisatorischen Verpflichtungen führen. Unternehmen sollten daher prüfen, ob sie künftig mit entsprechenden Anfragen konfrontiert sein könnten, etwa im Rahmen von Ausschreibungen.

Was das NISG 2026 verlangt

Unternehmen, die als wesentliche oder wichtige Einrichtungen in den Anwendungsbereich fallen, müssen sich registrieren, angemessene Risikomanagementmaßnahmen umsetzen und erhebliche Sicherheitsvorfälle unverzüglich melden. Zu den Maßnahmen zählen unter anderem strukturierte Risikoanalysen, klare Zugriffskonzepte, Notfall- und Wiederherstellungspläne sowie laufende Schulungen.

Für Unternehmen ist es entscheidend, frühzeitig zu klären, ob sie den gesetzlichen Schwellenwerten und sektoralen Zuordnungen unterliegen. Die Beurteilung ist in der Praxis jedoch nicht immer eindeutig, insbesondere bei Konzernstrukturen oder verbundenen Unternehmen. Ein Anwendbarkeits‑Check bietet eine erste Orientierung, ersetzt aber keine vertiefte Analyse.

„Die wichtigste Aufgabe besteht derzeit darin, die eigene Betroffenheit richtig einzuschätzen“, erklärt Klara Fuchs, Rechtsanwältin bei Haslinger / Nagele. „Viele Unternehmen stellen fest, dass eine frühzeitige Analyse nicht nur Klarheit bringt, sondern auch Planungssicherheit schafft. Wer jetzt beginnt, kann die Umsetzung der notwendigen Maßnahmen gut strukturieren und Schritt für Schritt vorantreiben.“

Klara Fuchs

Von der Einschätzung zur Umsetzung: Wie es weitergeht

Nach der Klärung der Anwendbarkeit sollten Unternehmen zeitnah klare interne Zuständigkeiten festlegen. Anschließend empfiehlt sich eine strukturierte Überprüfung bestehender Prozesse, Systeme und Dokumentationen, um mögliche Lücken frühzeitig zu erkennen. Darauf aufbauend können Maßnahmenpläne erstellt werden, die sowohl kurzfristig umsetzbare Schritte als auch mittel- und langfristige Projekte berücksichtigen. Diese Planung ist besonders wichtig, weil viele Anforderungen – etwa im Bereich Risikoanalyse, Notfallmanagement oder Lieferkettensicherheit – organisatorische Abstimmungen und technische Anpassungen erfordern.

Auch Unternehmen, die nicht unmittelbar dem NISG 2026 unterliegen, sollten ihre Cybersicherheitsstrukturen stärken. In der Praxis verlangen etwa Auftraggeber, öffentliche Stellen und internationale Geschäftspartner zunehmend hohe IT-Sicherheitsstandards und entsprechende Nachweise. Damit wird Cybersicherheit – unabhängig von den gesetzlichen Anforderungen– zu einem zentralen Qualitäts- und Wettbewerbsfaktor.