NISG 2026 — Schulungspflicht für Mitarbeiter: Was österreichische Unternehmen bis Oktober umsetzen müssen

April 2026

Am 23. Dezember 2025 wurde das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) im Bundesgesetzblatt veröffentlicht. Damit ist die europäische NIS2-Richtlinie nun auch in Österreich geltendes Recht. Die zentralen Pflichten treten am 1. Oktober 2026 in Kraft — ohne Übergangsfrist.

Für rund 4.000 Unternehmen in Österreich bedeutet das: Security Awareness Schulungen sind nicht mehr freiwillig. Sie sind eine dokumentierbare Compliance-Pflicht, die direkt die Geschäftsführung betrifft.

Dieser Artikel erklärt, was das NISG 2026 konkret verlangt, wer betroffen ist und wie Unternehmen die Schulungspflicht pragmatisch umsetzen können.

Was das NISG 2026 von Unternehmen verlangt

Das NISG 2026 setzt die europäische NIS2-Richtlinie in österreichisches Recht um. Die Kernpflichten basieren auf den Artikeln 20 und 21 der Richtlinie und lassen sich in drei Bereiche zusammenfassen.

Erstens müssen Mitglieder der Geschäftsleitung persönlich an Cybersecurity-Schulungen teilnehmen. Das ist keine Delegation an die IT-Abteilung — die Geschäftsführung selbst muss nachweisen, dass sie über ausreichende Kenntnisse verfügt, um Cybersicherheitsrisiken zu bewerten und Managemententscheidungen zu treffen.

Zweitens müssen Unternehmen allen Mitarbeitenden regelmäßig Schulungen anbieten, damit diese Risiken erkennen und angemessen reagieren können. Das Gesetz spricht von „ausreichenden Kenntnissen und Fähigkeiten zur Erkennung und Bewertung von Risiken".

Drittens müssen diese Maßnahmen dokumentiert sein. Bei einem Audit oder Sicherheitsvorfall muss das Unternehmen nachweisen können, dass Schulungen stattgefunden haben, welche Themen behandelt wurden und wer teilgenommen hat.

Die Sanktionen sind erheblich: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Zusätzlich können Behörden Leitungspersonen die Ausübung ihrer Funktion untersagen.

Wer ist betroffen?

Das NISG 2026 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Die Einstufung richtet sich nach der Branche und der Unternehmensgröße.

Betroffen sind Unternehmen aus 18 definierten Sektoren — darunter Energie, Transport, Gesundheitswesen, digitale Infrastruktur, Lebensmittelproduktion, Abfallwirtschaft und verarbeitendes Gewerbe. Ein Unternehmen fällt unter das NISG, wenn es mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von über 10 Millionen Euro erzielt und eine Bilanzsumme von über 10 Millionen Euro aufweist.

Wichtig: Auch Unternehmen, die nicht direkt unter das Gesetz fallen, können betroffen sein — nämlich als Teil der Lieferkette eines betroffenen Unternehmens. Das NISG 2026 verlangt von betroffenen Einrichtungen, Cybersicherheitsrisiken in ihrer Lieferkette zu berücksichtigen. In der Praxis bedeutet das: Auftraggeber werden von ihren Zulieferern zunehmend Nachweise über Sicherheitsmaßnahmen einfordern.

Was „ausreichende Kenntnisse und Fähigkeiten" bedeutet

Das Gesetz definiert nicht im Detail, welche Themen eine Schulung abdecken muss. Es gibt jedoch klare Orientierungspunkte.

Die ENISA (Agentur der Europäischen Union für Cybersicherheit) empfiehlt folgende Kernthemen für Mitarbeiterschulungen: Erkennung von Phishing und Social Engineering, sichere Passwortpraktiken und Authentifizierung, sicherer Umgang mit mobilen Geräten und Fernzugriff, physische Sicherheit am Arbeitsplatz, Meldeprozesse bei Sicherheitsvorfällen sowie Umgang mit KI-Tools und Schatten-IT.

Entscheidend ist nicht die Länge der Schulung, sondern dass sie nachweisbar stattgefunden hat, relevante Themen behandelt und regelmäßig wiederholt wird. Ein einmaliges 30-Minuten-Video vor zwei Jahren wird keinen Auditor überzeugen.

Dokumentierte Schulungsnachweise — was Auditoren sehen wollen

Ein häufiger Fehler ist die Annahme, dass eine E-Mail mit dem Betreff „Bitte schaut euch dieses PDF an" als Schulungsnachweis gilt. Auditoren erwarten mehr.

Ein solider Schulungsnachweis enthält: den vollständigen Namen des Teilnehmers, das Datum der Schulung, die behandelten Themen, eine Form der Lernzielüberprüfung (Quiz, Assessment) und die Bestätigung des Anbieters oder der Plattform. Idealerweise gibt es zusätzlich einen aggregierten Unternehmensreport, der zeigt, wie viele Mitarbeitende geschult wurden, welche Themenbereiche abgedeckt sind und wo es noch Lücken gibt.

Digitale Trainingsplattformen generieren diese Nachweise automatisch. Wer auf Präsenzschulungen setzt, muss Teilnahmelisten führen und Inhalte dokumentieren — ein deutlich höherer Aufwand.

Umsetzung in der Praxis — drei Wege

Für die praktische Umsetzung gibt es drei bewährte Modelle, die sich auch kombinieren lassen.

Der erste Weg ist ein Cloud-Training mit E-Mail-Login. Mitarbeitende melden sich mit ihrer E-Mail-Adresse an und erhalten einen Zugangscode — kein Passwort, kein IT-Rollout nötig. Das funktioniert auch für Mitarbeitende ohne Firmen-Laptop oder Firmen-E-Mail, etwa in Produktion oder Logistik.

Der zweite Weg ist ein SCORM-Paket für das eigene LMS. Unternehmen, die bereits ein Learning Management System wie SAP SuccessFactors oder Moodle nutzen, können ein SCORM 1.2 Paket importieren. Die Inhalte laufen direkt im bestehenden System, das Tracking übernimmt das LMS.

Der dritte Weg ergänzt das Training um Phishing-Simulationen. Regelmäßige, unangekündigte Phishing-Mails testen, ob das Gelernte in der Praxis angewendet wird. Ein Benchmark-Report zeigt die Entwicklung über Zeit — das ist der stärkste Wirksamkeitsnachweis gegenüber Auditoren.

Fristen im Überblick

Die Registrierungspflicht für wesentliche und wichtige Einrichtungen läuft bis 31. Dezember 2026. Die zentralen Pflichten — darunter die Schulungspflicht — treten am 1. Oktober 2026 in Kraft. Es gibt keine Übergangsfrist.

Unternehmen, die jetzt mit der Umsetzung beginnen, haben noch genügend Zeit für einen strukturierten Rollout. Wer bis zum Sommer wartet, riskiert eine hektische Last-Minute-Implementierung — und im schlimmsten Fall lückenhafte Dokumentation bei der ersten Prüfung.

Dieser Artikel bietet eine allgemeine Orientierung zur Schulungspflicht im Rahmen des NISG 2026. Er ersetzt keine Rechtsberatung. Für eine individuelle Einschätzung der Betroffenheit Ihres Unternehmens empfehlen wir die Konsultation eines spezialisierten Beraters.