Abmelden
MEMBERSAREA VON PFLEGE. KRAFT. BURGENLAND

NISG 2026

Sehr geehrte Damen und Herren, liebes Mitglied,

das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) wurde am 13.12.2025 im Bundesgesetzblatt inklusive Anlage 1 und Anlage 2 veröffentlicht.

Die Inkrafttretensbestimmungen sehen dabei vonr, dass es neun Monate nach der Kundmachung im Bundesgesetzblatt, mit dem nächstfolgenden Monatsersten, in Kraft treten soll.

Das NISG 2026 tritt somit mit dem 1. Oktober 2026 in Kraft und ab diesem Zeitpunkt gelten sodann auch die darin enthaltenen Vorgaben für die betroffenen Unternehmen.

Betroffenheit

Diese wird in den Erläuterungen geregelt, welche im Rahmen des Begutachungslaufes veröffentlicht wurden.

  • Begriff “Gesundheitsdienstleister” (im Sinne des Art. lit. g der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung ABl. Nr. L 88 vom 4.4.2011, S. 45 (in Folge “Patientenmobilitätsrichtlinie”)) wird als maßgebliche Art der Einrichtung definiert
  • Gesundheitsdienstleister gemäß Anlage 1 sind demnach beispielsweise Ärzte und alle weiteren freiberuflich tätigen Angehörigen von Gesundheitsberufen, wie etwa Physiotherapeuten oder Heilmasseure; auch Krankenanstalten im Sinne des Krankenanstalten- und Kuranstaltengesetzes (KaKuG).Weiters wird auf Anlage 1 der Gesundheitstelematik-VO 2013 (GTelV 2013; S. 5-6) verwiesen.
  • Langzeitpflege: Im Hinblick auf den ErwGr 14 der Patientenmobilitätsrichtlinie, wonach Dienstleistungen der Langzeitpflege nicht unter Gesundheitsdienstleister im Sinne des Art. 3 lit. g Patientenmobilitätsrichtlinie zu subsumieren sind, wird abgeleitet, dass Dienstleistungen der Langzeitpflege und damit einhergehend Einrichtungen der Pflege und Pflegeanstalten nicht von deren Anwendungsbereich umfasst sind
  • Für die Abgrenzung zwischen Pflege in einem Pflegeheim und Pflege in einer Krankenanstalt ist darauf abzustellen, ob die Betroffenen eine ständige Pflege, oder aber bloß fallweise einer ärztlichen Betreuung bedürfen. Überwiegt der Pflegeaspekt, liegt ein Pflegeheim vor, überwiegt der Bedarf an ärztlicher Betreuung, eine Krankenanstalt. Je nach Ausgestaltung der erbrachten Dienstleistungen in einer stationären Einrichtung können diese Einrichtungen in den Anwendungsbereich fallen.

Fristen

1.10.2026

  • Inkrafttreten NISG 2026, NISG 2018 tritt zeitgleich außer Kraft
  • Bestimmungen zu den Risikomanagementmaßnahmen inklusive Sicherheit der Lieferkette und Meldepflichten gelten (verantwortlich dafür sind die Leitungsorgane: Geschäftsführer:in bei GmbH, Vorstand bei AG)
  • Aufsicht- und Durchsetzungsmaßnahmen der Behörde sind möglich

Bis 31.12.2026

  • Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkrafttreten des NISG 2026 registrieren (§ 29 Abs 2 u. 3 NISG 2026)
  • In welcher Form die Registrierung zu erfolgen hat, wird noch mittels Verordnung festgelegt  

Ab 1.1.2027

  • Registrierung muss erfolgt sein

Bis 31.12.2027

  • Binnen 12 Monaten nach Eintritt der Registrierungspflicht ist eine Information hinsichtlich der umgesetzten Risikomanagementmaßnahmen an die Cybersicherheitsbehörde zu übermitteln (= Selbstdeklaration) (§ 33 Abs 1 NISG 2026)

1.1.2028

  • Selbstdeklaration muss erfolgt sein

1.10.2028

  • Die Cybersicherheitsbehörde kann wesentliche und wichtige Einrichtungen auffordern, die Umsetzung der Risikomanagementmaßnahmen durch eine Prüfung durch eine unabhängige Stelle nachzuweisen. Frühester Zeitpunkt der Aufforderung ist der 1.10.2028

30.11.2028

  • Frühester Zeitpunkt, zu dem wesentliche Einrichtungen, nach Aufforderung, den Nachweis der operativen und organisatorischen Umsetzung von Risikomanagementmaßnahmen, durch eine unabhängige Stelle, nachzuweisen haben

30.09.2030

  • Frühester Zeitpunkt, zu dem wesentliche oder wichtige Einrichtungen den Prüfbericht durch unabhängige Stelle nachzuweisen haben;
    jeweils nur nach Aufforderung; wichtige Einrichtungen nur bei begründeten Hinweisen

Webinar

Die Bundessparte Information und Consulting in der WKO veranstaltet ein Webinar für sämtliche Fragen rund um das neue NISG 2026. Bestehende Fragen können dazu bereits vorab an ic@wko.at übermittelt werden. 

Datum: 30.1.2026

Uhrzeit: 10:00-11:15 Uhr

Anmeldung erforderlich, Teilnahme ist kostenlos

Link zu weiteren Informationen und zur Anmeldung: Cybersicherheit – NISG 2026 und NIS-2 kompakt – WKO

Der Link zum Live-Webinar wird kurz vor dem Webinar ausgeschickt. Im Nachgang wird eine Aufzeichnung auf wko.at/nis online gestellt.

Umfassende Infos zu NIS2 und NISG

Ausführlichere und weiterführende Informationen können dazu auch unter folgendem Link nachgelesen werden: Cybersicherheits-Richtlinie­­ NIS 2 und NISG 2026 – WKO

NISG 2026 ab 1.10.2026 – Beitrag

Freundliche Grüße

Franz Drescher 
Obmann Fachgruppe der Gesundheitsbetriebe

Katrin Sagmeister, MA
Geschäftsführerin Fachgruppe der Gesundheitsbetriebe

ZURÜCK