Schonherr
Schonherr
straight to the point. what are you looking for?
you are being redirected

You will be redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH: www.schoenherr.eu

25 November 2025
newsletter
austria

Österreich: NISG 2026 – Alles, was Sie wissen müssen

it & technology law technology & digitalisation

1 Kurzüberblick

Die Bundesregierung hat am 20. November 2025 die Regierungsvorlage für das Netz- und Informationssystemsicherheitsgesetz 2026 (idF kurz "NISG 2026") einschließlich der Materialien vorgelegt. Der Entwurf setzt die NIS-2-Richtlinie in Österreich um, errichtet das Bundesamt für Cybersicherheit als zentrale Cybersicherheitsbehörde und führt ein modernisiertes, zweistufiges Aufsichts- und Prüfregime ein. Im Vergleich zum NISG 2024-Entwurf werden Zuständigkeiten geschärft, Fristen praxisgerechter gestaltet und Berichtspflichten präzisiert. Besonders hervorzuheben sind der klare Zeitplan mit einem Inkrafttreten neun Monate nach Kundmachung, die verpflichtende Selbstdeklaration binnen zwölf Monaten ab Registrierungspflicht sowie die erweiterte Befugnis der Behörde, wesentliche Einrichtungen bereits zwei Monate nach Aufforderung zur Vorlage organisatorisch-operativer Nachweise zu verpflichten.

Vor dem Hintergrund des laufenden Vertragsverletzungsverfahrens gegen Österreich, des in Deutschland jüngst zur NIS-2-Umsetzung beschlossenen Cybersicherheitsgesetzes sowie eines Entschließungsantrags hat die Bundesregierung den Entwurf ohne außerparlamentarische Begutachtung als Regierungsvorlage eingebracht. Dies könnte zu politischen Kontroversen führen, zumal der Entwurf erneut eine Verfassungsbestimmung enthält und somit eine Zweidrittelmehrheit erforderlich bleibt. Inhaltlich vermeidet die Vorlage "Gold Plating" und orientiert sich weiterhin eng an den Vorgaben der Richtlinie; die nationale Übergangsfrist von neun Monaten bis zur Anwendung der Pflichten bleibt – im Vergleich zu Deutschland – bestehen.

2 Geltungsbereich, Adressaten und Grundsystematik

Das NISG 2026 erfasst in Umsetzung der NIS‑2‑Richtlinie ein breites Spektrum an Sektoren und Teilsektoren, die für grundlegende gesellschaftliche und wirtschaftliche Funktionen kritisch sind. Erfasst sind unter anderem Energie, Verkehr, Bankwesen und Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser und Abwasser, digitale Infrastruktur, IKT‑Dienstverwaltung im B2B‑Bereich, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Chemikalien, Lebensmittel, verarbeitendes Gewerbe und Forschung sowie Anbieter digitaler Dienste. Die materiellen Detailabgrenzungen ergeben sich aus den Anlagen 1 und 2 des Gesetzes. Das zentrale Adressatenkonzept differenziert zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Grundlage ist die unionsrechtliche Größenregel anhand der Empfehlung 2003/361/EG mit größenunabhängigen Einstufungen in spezifischen Fällen ("size‑cap‑rule"). Diese Systematik bestimmt insbesondere, ob eine Einrichtung ex ante (wesentlich) oder primär anlassbezogen ex post (wichtig) beaufsichtigt wird. Eine gesonderte Anlage mit Risikomanagementbereichen ist nicht mehr vorgesehen.

Der Anwendungsbereich bleibt bewusst weit: Anders als in Deutschland sind weder generelle Ausnahmen für vernachlässigbare Tätigkeiten noch Ausnahmen für rein konzerninterne Dienste vorgesehen. Das betrifft insbesondere IT‑Dienstleister und Managed Service Provider (MSP): Wird die IT konzernweit zentral erbracht und sind die Größenkriterien erfüllt, greift NIS‑2; eine Einschränkung oder Klarstellung der sehr weiten MSP‑Definition findet sich weder im Gesetzestext noch in den Erläuterungen. Dies erweitert den Anwendungsbereich und schließt auch Unternehmen mit digitalen Service-Elementen umfassender ein. Allerdings sieht der Entwurf eine Ausnahme von der Hinzurechnung von Mitarbeiter- und Umsatzzahlen von Partner- oder verbundenen Unternehmen vor – nämlich dann, wenn bei der Erbringung der Dienste eine hinreichende Unabhängigkeit besteht. Dadurch eröffnet sich in diesem Bereich ein gewisses Gestaltungspotenzial.

3 Institutionen und Governance: Bundesamt für Cybersicherheit, Koordinierungsstrukturen und CSIRTs

Mit § 3a NISG 2026 wird das Bundesamt für Cybersicherheit als monokratische Behörde mit bundesweiter Zuständigkeit errichtet. Es ist dem Bundesminister für Inneres unmittelbar nachgeordnet, aber organisatorisch außerhalb der Generaldirektion für die öffentliche Sicherheit angesiedelt. Der Direktor und sein Stellvertreter müssen einschlägige Hochschulqualifikationen und Berufserfahrung vorweisen und sich – wie das übrige Personal – regelmäßig einer Sicherheitsüberprüfung unterziehen. Ein Transparenzelement ist, dass Weisungen des Bundesministers an den Direktor schriftlich zu begründen und halbjährlich zu veröffentlichen sind. Zudem haben Direktor und Stellvertreter den zuständigen Ausschüssen des Nationalrats Auskunft zu erteilen, wodurch die parlamentarische Kontrolle verstärkt wird.

Die Behörde leitet die Cyber Sicherheit Steuerungsgruppe (idF kurz "CSS") als strategisches Koordinationsorgan, den Inneren Kreis der Operativen Koordinierungsstruktur (IKDOK) sowie die Operative Koordinierungsstruktur (OpKoord). Die CSS setzt sich aus fachkundigen Vertretern der im Nationalen Sicherheitsrat vertretenen Ressorts sowie der für Telekommunikation und Digitalisierung zuständigen Bundesminister zusammen; Vertreter der Präsidentschaftskanzlei können beratend teilnehmen. Im Unterschied zur jährlichen Taktung in früheren Materialien koordiniert die Behörde nun einen halbjährlichen Bericht zur Cybersicherheitslage. Damit wird die Informationsdichte erhöht und die Steuerungsfähigkeit verbessert.

Die Computer‑Notfallteams (idF kurz "CSIRTs") bleiben tragende Säulen der operativen Cybersicherheit. Das nationale CSIRT wird von der Behörde ermächtigt; sektorspezifische CSIRTs können zusätzlich eingerichtet werden. Das bei der Cybersicherheitsbehörde geführte "GovCERT" fungiert als sektorspezifisches CSIRT für die öffentliche Verwaltung und nimmt bis zur Ermächtigung eines nationalen CSIRT übergangsweise dessen Aufgaben wahr. Der gesetzliche Aufgabenkatalog der CSIRTs umfasst Frühwarnungen, Echtzeit‑Informationsaustausch, Unterstützung bei der Vorfallsbewältigung, forensische Analysen, proaktive Schwachstellenscans und die Mitwirkung im europäischen CSIRTs‑Netzwerk. Die koordinierte Offenlegung von Schwachstellen ist ausdrücklich geregelt; bei qualifizierten Vertrauensdiensten besteht eine 24‑Stunden‑Informationspflicht an die Aufsicht nach dem Signatur- und Vertrauensdienstegesetz.

Rechtsmittel und Zuständigkeiten: Beschwerden gegen Bescheide des Bundesamts sind an das Bundesverwaltungsgericht zu richten. Unverändert bleibt, dass die Verwaltungsstrafkompetenz bei den Bezirksverwaltungsbehörden liegt; ein Gefüge, das uE nicht durchgehend gelungen ist.

4 Pflichten der Einrichtungen: Governance, Risikomanagement und Meldewesen

Das NISG 2026 verdichtet Governance‑Vorgaben in § 31. Leitungsorgane haben Cybersicherheit wirksam zu steuern und für angemessene Schulungen zu sorgen; auch für Mitarbeiter sind entsprechende Weiterbildungsangebote vorzusehen. Dadurch wird die Verantwortung der Unternehmensspitze erneut ausdrücklich normiert. Ergänzend führt die Cybersicherheitsbehörde ein Register der Einrichtungen; die zentrale Anlaufstelle übermittelt Auszüge daraus an ENISA ("European Union Agency for Cybersecurity") und stärkt damit die unionsweite Koordinierung.

Klarstellung zum Adressatenkreis der Governance‑Pflichten: Aufsichtsorgane wie Aufsichtsräte fallen nicht mehr unter den Leitungsorgan-Begriff. Die Governance-Pflichten richten sich primär an Vorstand und Geschäftsführung; ein CISO ist nur insoweit erfasst, als ihm tatsächlich leitende Kompetenzen übertragen wurden.

Das Herzstück bilden die Risikomanagementmaßnahmen nach § 32. Diese sind verhältnismäßig, risikobasiert und gefahrenübergreifend zu gestalten. Ein besonderer Schwerpunkt liegt auf der Lieferkettensicherheit, einschließlich Anforderungen an unmittelbare Dienstleister und deren Entwicklungsprozesse. Die Cybersicherheitsbehörde kann technische und methodische Anforderungen durch Verordnung präzisieren und unionsrechtliche Durchführungsakte – insbesondere die Durchführungsverordnung (EU) 2024/2690 zu technischen und methodischen Anforderungen – sektorübergreifend für anwendbar erklären, soweit dies sachgerecht ist.

Die Themenfelder der Risikomanagementmaßnahmen sind nun direkt im Gesetz verankert – in einer gegenüber der früheren Anlage 3 gestrafften, aber inhaltlich ebenso anspruchsvollen Form. Welche konkreten Maßnahmen im Detail zu erfüllen sind, wird maßgeblich von den angekündigten nationalen Verordnungen abhängen.

Das Meldewesen (§ 34) zu erheblichen Cybersicherheitsvorfällen folgt den bekannten Stufen aus dem NISG 2024‑Entwurf: eine Frühwarnung ist unverzüglich, spätestens binnen 24 Stunden zu übermitteln; die Vollmeldung erfolgt unverzüglich, spätestens binnen 72 Stunden. Auf Ersuchen sind Zwischenberichte zu liefern, gefolgt von einem Abschlussbericht oder – bei andauerndem Vorfall – einem Fortschrittsbericht innerhalb eines Monats. Bei grenzüberschreitender Relevanz informiert die Behörde über die zentrale Anlaufstelle andere Mitgliedstaaten sowie ENISA; für Vorfälle großen Ausmaßes ist zudem die Einbindung des EU‑CyCLONe vorgesehen. Beeinflusst ein erheblicher Cybersicherheitsvorfall die Erbringung der Dienste einer betroffenen Einrichtung, hat diese die Empfänger ihrer Dienste unverzüglich darüber zu informieren.

Flankierend regelt § 30 die Datenbank der Domänennamen‑Registrierungsdaten bei TLD‑Registern und Domain‑Dienstleistern, inklusive Fristen und Transparenzpflichten für Zugriffsanträge. Diese Vorgaben dienen der Nachvollziehbarkeit internetbezogener Vorfälle und sind integraler Bestandteil des NIS‑2‑Umsetzungspakets.

5 Aufsicht, Durchsetzung und Sanktionen: Ex‑ante versus Ex‑post, Maßnahmen und Geldbußen

Die Aufsicht unterscheidet systematisch zwischen wesentlichen und wichtigen Einrichtungen. Gegenüber wesentlichen Einrichtungen sind Aufsichtsmaßnahmen ex ante zulässig, während wichtige Einrichtungen primär anlassbezogen ex post adressiert werden. Der Maßnahmenkatalog ist breit gefasst und reicht von Auskunfts‑ und Vorlagepflichten über Ad‑hoc‑Prüfungen und proaktive Sicherheitsscans bis hin zu Anordnungen zur Umsetzung bestimmter Maßnahmen sowie der Bestellung eines Überwachungsbeauftragten, der für einen befristeten Zeitraum die ordnungsgemäße Umsetzung in einer wesentlichen Einrichtung sicherstellt. Bei gravierender Nichtbefolgung kann die Behörde die zuständigen Stellen ersuchen, Zertifizierungen oder Genehmigungen auszusetzen; in Extremfällen kann einem Leitungsorgan die Wahrnehmung seiner Leitungsaufgaben in der betroffenen Einrichtung vorübergehend untersagt werden. Dieser abgestufte Ansatz orientiert sich an der NIS‑2‑Richtlinie und verbindet Wirksamkeit mit Verhältnismäßigkeit.

Das Verwaltungsstrafregime richtet sich unmittelbar gegen Einrichtungen und ist unionskonform dimensioniert. Für wesentliche Einrichtungen betragen die Höchstgelder 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sind es 7 Millionen Euro oder 1,4 % des weltweiten Vorjahresumsatzes. Daneben bestehen Tatbestände mit fixen Obergrenzen, etwa bei Verstößen gegen Selbstdeklarations- und Prüfpflichten oder die domainbezogenen Datenbankvorgaben. Eine Doppelbestrafung neben DSGVO‑Geldbußen ist ausgeschlossen, wenn derselbe Lebenssachverhalt zugrunde liegt.

Für Behörden und sonstige Stellen der öffentlichen Verwaltung – einschließlich in privatrechtlicher Form eingerichteter Stellen – ist verfassungsrechtlich ein alternatives Sanktionsregime vorgesehen: Statt Geldbußen wird die Nichteinhaltung bescheidmäßig festgestellt und bei weiterhin fehlender Abhilfe veröffentlicht. Diese "naming‑and‑shaming"‑Lösung trägt den budgetrechtlichen und organisationsrechtlichen Besonderheiten öffentlicher Stellen Rechnung, wahrt aber die unionsrechtlich geforderte Abschreckungswirkung.

Die behördlichen Aufsichts‑ und Durchsetzungsinstrumente sowie der Strafrahmen entsprechen im Kern den bereits aus dem NISG‑2024‑Entwurf bekannten Mechanismen; substanzielle Verschärfungen erfolgen primär über die engere Verzahnung mit dem neuen Prüfsystem.

6 Prüf- und Nachweissystem: Selbstdeklaration, Prüfberichte und Fristen

Das NISG 2026 führt ein modulares Prüfsystem ein, das Transparenz über den Umsetzungsstand schafft und eine risikobasierte Priorisierung der Aufsicht ermöglicht.

Wesentliche und wichtige Einrichtungen müssen innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht eine Selbstdeklaration bei der Cybersicherheitsbehörde einreichen. Diese strukturierte Erklärung umfasst insbesondere die genutzten Netz- und Informationssysteme, die Lieferkettensicherheit sowie die Ergebnisse der Risikoanalyse. Inhalt und Format der Selbstdeklaration werden von der Behörde vorgegeben; eine elektronische Einreichung ist vorgesehen. Neu ist, dass die Selbstdeklaration nicht erst nach behördlicher Aufforderung, sondern verpflichtend und fristgebunden binnen zwölf Monaten zu erbringen ist.

Aufbauend darauf ordnet die Behörde anlassbezogen Nachweise an. Der Nachweis der technischen, operativen und organisatorischen Umsetzung der Risikomanagementmaßnahmen ist innerhalb von zwei Jahren nach Aufforderung durch einen Prüfbericht einer unabhängigen Stelle zu erbringen. Bei wesentlichen Einrichtungen kann der Nachweis der operativen und organisatorischen Umsetzung bereits innerhalb von zwei Monaten nach Aufforderung verlangt werden.

Der Prüfbericht ist vom Leitungsorgan der Einrichtung sowie den unabhängigen Prüfern zu unterzeichnen. Er soll die Wirksamkeit der Maßnahmen bewerten, Mängel benennen und einen Maßnahmenplan enthalten. Die Behörde ist an das Prüfergebnis nicht gebunden, sondern bewertet es im Rahmen ihrer Entscheidungsbefugnis eigenständig.

Für den operativen und organisatorischen Teil kann – je nach Umfang der abgedeckten Bereiche – ein anerkanntes Zertifikat (zB ISO/IEC 27001) als Nachweis herangezogen werden. Die Anrechenbarkeit richtet sich nach den von der Behörde festzulegenden Kriterien.

Unabhängige Prüfer werden von der Cybersicherheitsbehörde bescheidmäßig zugelassen. Für den Übergang gelten qualifizierte Stellen nach der bisherigen Rechtslage für einen begrenzten Zeitraum als unabhängige Prüfer, um einen nahtlosen Vollzug sicherzustellen. Geplante Prüfungen sind der Behörde mindestens einen Monat im Voraus mitzuteilen. Die Kosten der Prüfungen trägt grundsätzlich die geprüfte Einrichtung; Ausnahmen sind in begründeten Fällen möglich.

Mit dieser modularen Architektur wird die geforderte Regelmäßigkeit von Sicherheitsprüfungen mit Flexibilität und Planbarkeit verbunden, sodass die Aufsicht ressourcenschonend ausgerichtet werden kann.

7 Zeitplan, Übergangsrecht und Verordnungen: realistische Anlaufkurve

Das NISG 2026 tritt neun Monate nach Kundmachung zum ersten Tag des Folgemonats in Kraft. Bereits ab dem auf die Kundmachung folgenden Tag können Verordnungen erlassen werden; ihr Inkrafttreten erfolgt jedoch frühestens mit Inkrafttreten des Gesetzes.

Registrierung: Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten im Register erfassen lassen. Ab diesem Zeitpunkt beginnt auch die Frist für die Selbstdeklaration.

Die erstmalige Aufforderung zu Nachweisen der Umsetzung darf frühestens zwei Jahre nach Inkrafttreten erfolgen. Im Gegensatz dazu beginnt die Frist für die Selbstdeklaration unabhängig davon mit Eintritt der Registrierungspflicht.

Diese Staffelung verschafft den Einrichtungen eine realistische Anlaufkurve: Zuerst erfolgt die Bestandsaufnahme und Priorisierung, danach die gezielte Erbringung von Nachweisen, wo die Risikolage oder Aufsichtserkenntnisse dies erfordern. Gleichzeitig stellt der Gesetzgeber sicher, dass die unionsrechtlich gebotene Zielerreichung gewährleistet bleibt und die Kontrolldichte für besonders kritische Einrichtungen erhöht wird.

8 Vergleich mit NISG 2024: was ist neu, was wurde nachgeschärft

Das NISG 2026 übernimmt zentrale Elemente des NISG 2024‑Entwurfs, baut diese aber in fünf Bereichen deutlich aus:

  • Erstens wird mit dem Bundesamt für Cybersicherheit eine klar konturierte monokratische Behörde geschaffen, einschließlich veröffentlichten Weisungen des Ministers und Auskunftspflichten gegenüber dem Nationalrat.
  • Zweitens werden Bericht und Lagebilder verdichtet: Aus dem jährlich vorgesehenen Cybersicherheitsbericht wird ein halbjährlicher Bericht, der zudem systematisch die eingegangenen Meldungen und behördlichen Aufsichts‑ und Durchsetzungsmaßnahmen aggregiert.
  • Drittens verlagert das NISG 2026 die inhaltliche Struktur der Risikomanagementmaßnahmen aus einer Anlage in das Gesetz selbst und schafft eine flexible Verordnungsermächtigung, die ausdrücklich die Anwendung unionsrechtlicher Durchführungsakte über Sektorgrenzen hinweg ermöglicht.
  • Viertens werden Fristen praxisnäher kalibriert. Das NISG 2026 etabliert eine feste Frist von zwölf Monaten für die Selbstdeklaration ab Registrierung und verdichtet für wesentliche Einrichtungen den Nachweis der organisatorisch‑operativen Umsetzung auf zwei Monate nach Aufforderung, während technische Nachweise binnen zwei Jahren zu erbringen sind. Zugleich wird der frühestmögliche Start behördlicher Aufforderungen zwei Jahre nach Inkrafttreten festgelegt; dies schafft Planbarkeit ohne den Aufsichtsstandard zu schwächen.
  • Fünftens konkretisiert der Entwurf das Sanktionsgefüge: Die Bußgeldrahmen entsprechen zwar den NIS‑2‑Vorgaben, jedoch wird die Kaskade aus Aufsicht, Durchsetzungsmaßnahmen und Geldbußen deutlicher verknüpft. Für die öffentliche Verwaltung wird verfassungsrechtlich eindeutig ein alternatives Sanktionsregime über Feststellungsbescheid und Veröffentlichung verankert.
  • Schließlich klärt § 1 die verfassungsrechtliche Kompetenzlage und ordnet die Vollziehung in weiten Teilen der unmittelbaren Bundesverwaltung zu.

9 Praxisfolgen für Unternehmen und öffentliche Stellen: Was jetzt zu tun ist

Für potenziell betroffene Einrichtungen empfiehlt sich ein vorausschauendes Vorgehen entlang dreier Linien:

  • Zunächst sollte anhand der Unternehmensgröße und Tätigkeitsart gemäß Anlagen 1 und 2 geprüft und dokumentiert werden, ob die Einrichtung als "wesentlich" oder "wichtig" einzustufen ist. Die Registrierung im künftigen Register ist rechtzeitig vorzubereiten; Kontaktdaten und Zuständigkeiten sind klar zu hinterlegen, um die operative Kommunikation mit CSIRTs und der Behörde sicherzustellen.
  • Sodann ist ein Soll‑Ist‑Abgleich der Risikomanagementmaßnahmen vorzunehmen. Die Schwerpunktbereiche sind der Lieferketten‑ und Drittparteienzugriff, Identity & Access Management mit Multi‑Faktor‑Authentifizierung, Notfall‑ und Wiederanlaufpläne sowie das Schwachstellenmanagement inklusive koordinierter Offenlegung. Ein besonderer Fokus sollte auf die Qualität der Risikoanalyse und die Dokumentation der Wirksamkeitskontrollen gelegt werden, weil diese Elemente in Selbstdeklaration und Prüfreport zentral sind.
  • Schließlich ist die Meldeorganisation zu schärfen. Prozesse, Tools und Verantwortlichkeiten müssen gewährleisten, dass Frühwarnungen binnen 24 Stunden und Vollmeldungen binnen 72 Stunden abgesetzt werden können, einschließlich der Fähigkeit, belastbare Abschluss‑ und Fortschrittsberichte zu erstellen. Für die öffentliche Verwaltung empfiehlt sich parallel die Prüfung interner Vorkehrungen im Lichte der Vorbildfunktion, weil die Regierungsvorlage explizit vorsieht, dass bestimmte oberste Organe in ihrem Wirkungsbereich angemessene Strukturen für ein hohes Cybersicherheitsniveau schaffen.

Darüber hinaus sollten Unternehmen Wechselwirkungen mit dem Cyber Resilience Act (CRA) und dem Data Act (DA) mitdenken, insbesondere bezüglich Produktsicherheitsanforderungen, Schwachstellenmanagement und Datenzugriffs‑ bzw. Datenteilungspflichten, um Redundanzen zu vermeiden und Synergieeffekte in Governance und Technik zu nutzen. Auch Synergien mit den durch die Datenschutzgrundverordnung (DSGVO) eingeführten Vorgaben sollten genützt werden.

10 Zeitliche Einordnung und nächste Schritte im Gesetzgebungsverfahren

Die Regierungsvorlage erfordert für zentrale Bestimmungen eine Zweidrittelmehrheit sowie die Zustimmung des Bundesrats. Nach derzeitigem Stand ist mit einem Inkrafttreten neun Monate nach Kundmachung zu rechnen. Verordnungen – insbesondere zur Ausgestaltung der Risikomanagementanforderungen und zur Zulassung unabhängiger Prüfer – sind frühzeitig zu erwarten und werden in der Regel ein Begutachtungsverfahren durchlaufen. Einrichtungen sollten die Verordnungsentwicklung aktiv verfolgen, um technische und organisatorische Anpassungen frühzeitig planen zu können.

Sofern der Beschluss noch im laufenden Jahr erfolgt, würden die materiellen Pflichten voraussichtlich im Herbst 2026 erstmals greifen. Die erste externe Nachweisanforderung durch die Behörde ist – systematisch – erst zwei Jahre nach Inkrafttreten möglich.

11 Fazit

Das NISG 2026 bildet den zentralen Baustein für ein kohärentes österreichisches NIS-2-Regime. Es etabliert klare Zuständigkeiten über das Bundesamt für Cybersicherheit, verdichtet Berichts- und Governancepflichten und führt ein prüfungsfähiges, risikobasiertes Aufsichtssystem ein.

Gegenüber dem NISG-2024-Entwurf sind insbesondere die erhöhte Governance-Transparenz, die Verdichtung der Fristen sowie die normative Verankerung der Risikomanagementbereiche hervorzuheben. Das gestufte System aus Selbstdeklaration, gezielten Nachweisen und abgestuften Durchsetzungsmaßnahmen bietet der Aufsicht die erforderliche Flexibilität, ohne die Rechtssicherheit der normunterworfenen Einrichtungen zu beeinträchtigen.

Wesentliche Einrichtungen sollten die kurze Frist für organisatorisch-operative Nachweise nach behördlicher Aufforderung im Blick behalten und Governance, Schulungen sowie Kernkontrollen frühzeitig überprüfen. Trainings der Belegschaft und der Führungsebene sind frühzeitig zu planen und durchzuführen.

Wichtige Einrichtungen profitieren von der primär ex post ausgerichteten Aufsicht, bleiben jedoch durch Selbstdeklaration, Meldepflichten und mögliche Anlassprüfungen in der Verantwortung.

Für öffentliche Stellen schafft das alternative Sanktionsregime klare und wirksame Konsequenzen im Fall der Nichteinhaltung.

Der nunmehr festgelegte Zeitplan, die Übergangsregelungen und die angekündigten Verordnungen eröffnen eine realistische Anlaufkurve, die für eine systematische und konsequente Umsetzung genutzt werden sollten.

Autoren: Felix Schneider, Christopher Drolz

Felix
Schneider

Attorney at Law

austria vienna

+43 664 80060 3213
f.schneider@schoenherr.eu
download contact
more
co-authors