Symbolbild Cybersicherheit
Praktisch keine Gemeinde fällt automatisch unter das neue Gesetz. Anders sieht es aus, sobald eine Gemeinde eigene Stadtwerke, eine Wasserversorgung, eine digitale Infrastruktur oder andere kritische Dienste betreibt.
© ASHIKURRAHMAN - stock.adobe.com

IT

Das Netz- und Informationssystemsicherheitsgesetz und die Gemeinden

9. Juli 2026
Ab Oktober 2026 gilt in Österreich das Netz- und Informationssystemsicherheitsgesetz (NISG 2026) – die nationale Antwort auf die EU-Richtlinie NIS-2. Direkt betroffen sind nur wenige Gemeinden. Doch wer als Bürgermeisterin oder Bürgermeister glaubt, das Thema gehe ihn nichts an, irrt gefährlich: Cyberexperte Alessandro Friedreich erklärt im Interview, warum die größte Schwachstelle nicht die Technik ist, sondern der Mensch am Schreibtisch.

Was bedeutet NIS-2 für Gemeinden eigentlich? Ein Hackerangriff auf die Wasserversorgung klingt nach Hollywood. Er ist aber längst Alltag europäischer Verwaltungen. NIS-2 ist die Antwort der EU darauf, und auch wenn das Kürzel bürokratisch klingt, steckt eine simple Logik dahinter: Wer kritische Infrastruktur betreibt, muss sie absichern. Sonst haftet er dafür.

Die Richtlinie (EU) 2022/2555 verpflichtet mittlere und große Einrichtungen in 18 definierten Sektoren – von Energie über Wasser bis zur öffentlichen Verwaltung – zu Mindeststandards in der Cybersicherheit: Risikomanagement, Meldepflichten bei Vorfällen, Schulung der Führungsebene. In Österreich setzt das NISG 2026 diese Vorgaben um. Der Nationalrat hat das Gesetz im Dezember 2025 mit Zweidrittelmehrheit beschlossen, es tritt am 1. Oktober 2026 in Kraft.

Wer betroffen ist

Das Gesetz gilt grundsätzlich für mittlere und große Unternehmen ab 50 Mitarbeitenden oder mehr als zehn Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme in den definierten NIS-Sektoren. Öffentliche Verwaltung zählt nur auf Bundes- und Landesebene zu diesen Sektoren. Das bedeutet: Praktisch keine Gemeinde fällt automatisch hinein. Anders sieht es aus, sobald eine Gemeinde eigene Stadtwerke, eine Wasserversorgung, eine digitale Infrastruktur oder andere kritische Dienste betreibt, dort kann die Schwelle schnell erreicht sein.

Neu ist außerdem das Prinzip der Selbsteinstufung: Die Einstufung erfolgt künftig nicht mehr über einen behördlichen Bescheid, sondern durch Selbsteinstufung und Registrierung. Wer betroffen ist, muss das selbst erkennen und melden. Sich auf Unwissenheit zurückzuziehen, funktioniert nicht mehr.

Und wer nicht direkt betroffen ist? 

Auch Gemeinden sind nicht grundsätzlich aus dem Schneider. Wenn sie NIS-Sektorentätigkeiten (einer der 18 vordefinierten Sektoren der EU-Richtlinie) auch nur in vergleichsweise geringem Umfang erbringen, können sie als gesamte Gemeindeverwaltung unter das NISG 2026 fallen. Außerdem können Gemeinden als Mitglieder von Verbänden mit Sektorentätigkeit in die NIS-Thematik hineinrutschen.

Was kostet das – und was bringt es? 

Die Kostenseite ist real: Risikomanagement-Prozesse, technische, organisatorische und operative Schutzmaßnahmen, Dokumentation, im Zweifel externe Beratung. 

Für kleine Gemeindeverwaltungen mit angespannten Budgets ist das kein Nebenprojekt. Die Gegenrechnung fällt trotzdem eindeutig aus: Österreich verzeichnete im April 2026 im Schnitt 2.122 Cyberangriffe pro Organisation und Woche, ein Plus von 17 Prozent gegenüber dem Vorjahr und der höchste Wert im gesamten DACH-Raum. 

Besonders betroffen: Öffentliche Einrichtungen und Behörden lagen zuletzt mit rund 2.600 Angriffen pro Organisation und Woche weltweit an zweiter Stelle aller Branchen, gleich hinter dem Bildungswesen. Ein Ausfall der Gemeindeverwaltung, ein verschlüsseltes Melderegister, eine lahmgelegte Wasserversorgung kostet ungleich mehr als jede Vorsorge, an Geld, an Vertrauen, an Handlungsfähigkeit.

Die Kernaussage für Gemeinden

Nicht jede Gemeinde muss NIS-2 erfüllen. Aber jede Gemeinde sollte sich so verhalten, als müsste sie es. Cybersicherheit bzw. Resilienz ist keine Frage der Rechtspflicht, sondern der Handlungsfähigkeit einer Verwaltung, die zunehmend digital arbeitet, vom Wasserwerk bis zum Bürgerservice.

Über die Notwendigkeit von Cybersicherheit redet man in Sonntagsreden gern grundsätzlich. Konkret wird es erst bei jemandem, der Sicherheitsmanagementsysteme tatsächlich plant, prüft und verantwortet. Alessandro Friedreich ist genau das: diplomierter Nachrichtentechniker der TU Wien, seit Jahren mit der Planung und Realisierung einsatzkritischer Kommunikationssysteme befasst, von der Funknetzplanung bis zur IT-Sicherheitsarchitektur, und vom TÜV Austria zertifizierter ISMS-Manager nach ISO 27001. Er kennt die Materie also nicht aus der Beratungsfolie, sondern aus der Systemplanung selbst. Mit KOMMUNAL spricht er darüber, was NIS-2 für Gemeinden in der Praxis bedeutet, jenseits der Paragrafen.

Niederschwellig erklärt:

Wenn Sie einem Bürgermeister ohne IT-Hintergrund in einem Satz erklären müssten, was NIS-2 von seiner Gemeinde will – wie würde der lauten?

Alessandro Friedreich: NIS-2 will, dass eine Gemeinde auch dann funktioniert, wenn etwas schiefgeht, dass Wasserversorgung, Meldeamt und Verwaltung laufen, egal ob ein Serverausfall, ein Cyberangriff oder ein technischer Defekt die Ursache ist. Und am Ende steht dahinter etwas sehr Politisches: Vertrauen. Eine Bevölkerung, die sich auf ihre Gemeinde verlassen kann, verzeiht auch Fehler. Eine Gemeinde, die im Ernstfall stillsteht, verliert dieses Vertrauen sofort.

Viele Gemeindeverantwortliche denken bei „Cybersicherheit" an Firewalls und Passwörter. Was übersehen sie dabei systematisch?

Die IT-Absicherung ist wichtig, keine Frage. Aber NIS-2 hört da nicht auf. Es geht auch darum, dass Mitarbeiter wissen, wie sie auf einen verdächtigen E-Mail-Anhang reagieren. Es geht darum, was passiert, wenn der IT-Dienstleister der Gemeinde selbst gehackt wird. Es geht um einen Notfallplan, wenn tatsächlich einmal alles ausfällt. Um die Frage, wer macht dann was, in welcher Reihenfolge. Und es geht sogar um ganz banale Dinge wie den Zugang zum Serverraum. 
Eine Gefahr kommt nämlich nicht nur aus dem Internet. Sie kann genauso gut ein Unwetter sein, ein technischer Defekt oder einfach ein Mitarbeiter, der aus Unachtsamkeit eine Tür offenlässt.

Sie sind zertifizierter ISMS-Manager nach ISO 27001 – was bedeutet ein Informationssicherheits-Managementsystem für eine Gemeinde ganz praktisch?

Vereinfacht gesagt: Ein System aus Regeln und Gewohnheiten, das dafür sorgt, dass wichtige Informationen, nicht nur Daten am Computer, auch Akten, Wissen, Zugänge, geschützt sind und im Ernstfall verfügbar bleiben. Ich vergleiche das gern mit einem Boxkampf: Robustheit heißt, dass man nicht schon beim ersten Schlag umfällt. Resilienz heißt, dass man wieder aufsteht, wenn man doch einmal zu Boden geht. Genau das soll ein ISMS für eine Gemeinde leisten – dass sie einen Schlag wegsteckt und schnell wieder handlungsfähig ist.

Wo beginnt NIS-2 in der Realität einer Gemeinde – beim Server im Keller, beim E-Mail-Postfach des Amtsleiters, oder ganz woanders?

 Alessandro Friedreich
 Alessandro Friedreich: „Rund 60 Prozent aller Schäden gehen auf menschliches Fehlverhalten zurück, nicht auf technisches Versagen.“ Foto: Helga Mayer 

Beim Menschen. Die meisten erfolgreichen Cyberangriffe zielen nicht auf die Technik, sondern auf die Mitarbeiter, auf eine unbedachte Sekunde beim Klick auf einen Anhang, auf ein zu schnell weitergegebenes Passwort. Rund 60 Prozent aller Schäden gehen auf menschliches Fehlverhalten zurück, nicht auf technisches Versagen. Deshalb bringt die beste Firewall wenig, wenn Sicherheit nicht im Kopf der Mitarbeiter ankommt, wenn sie nicht Teil des Alltags im Amt wird, so selbstverständlich wie das Absperren der Tür am Abend.

Betroffenheit: Wer muss, wer sollte?

Gemeinden fallen nicht direkt unter das NISG 2026. Wo genau verläuft die Grenze, und wo wird sie für Gemeinden mit eigenen Stadtwerken oder Wasserversorgung schnell überschritten?

Eine Gemeinde fällt nur dann direkt unter das Gesetz, wenn sie selbst eine der betroffenen Aufgaben übernimmt, etwa Trinkwasser, Abwasser, Abfall oder Energie, und dabei eine bestimmte Größe erreicht. Wichtig ist: Es zählt die ganze Gemeindeverwaltung, nicht nur die einzelne Abteilung. Und es gibt eine Hintertür, die viele übersehen: Wer als Gemeinde in einem Wasser-, Abwasser- oder Abfallverband den Ton angibt (etwa durch die Mehrheit der Stimmen oder die Besetzung der Vorstandsposten), kann darüber automatisch mit hineingezogen werden, auch wenn die Gemeinde selbst gar nicht groß genug wäre.

Bedeutet das, dass nicht betroffene Gemeinden die Hände in den Schoß legen können?

Nein, ganz sicher nicht. Dass eine gesetzliche Pflicht fehlt, nimmt vielleicht den Druck heraus, aber genau das verleitet dazu, das Thema auf die lange Bank zu schieben oder nur ein bisschen Kosmetik zu betreiben. Am Ende geht es nicht um Paragrafen, sondern darum, ob die Bürger ihrer Verwaltung vertrauen können. Die Aufgabe ist, mit Augenmaß und ohne Geld zu verbrennen wirksame Maßnahmen zu setzen. Wer das Thema komplett ignoriert, nicht nur bei Cyberangriffen, sondern generell, handelt nicht zukunftsfähig.

Sie kennen das Bundesvergabegesetz aus der Praxis sehr genau. Werden Vergabeverfahren von Gemeinden künftig NIS-2-Kriterien enthalten müssen, auch wenn die Gemeinde selbst nicht direkt reguliert ist?

Viele Angriffe kommen nicht direkt, sondern über Dienstleister und Lieferanten, das sind klassische Einfallstore. Deshalb wird eine Gemeinde künftig kaum darum herumkommen, das bei der Auftragsvergabe mitzudenken: Sie wird von ihren IT-Firmen verlangen müssen, dass diese ihre Systeme aktuell und sicher halten, dass Sicherheitsvorfälle gemeldet werden, und dass sich das Personal dieser Firmen überprüfen lässt. Das gilt übrigens unabhängig davon, ob eine Gemeinde selbst unter das Gesetz fällt oder nicht, ein Dienstleister mit Sicherheitslücken ist immer ein Risiko für seine Auftraggeber.

Kosten und Nutzen

Was kostet eine realistische NIS-2-Vorbereitung für eine mittlere Gemeinde – grob, in Bandbreiten? Woraus setzen sich diese Kosten zusammen?

Am Anfang steht immer eine Bestandsaufnahme: Was macht die Gemeinde eigentlich, wo liegen die Risiken, was gibt es an Sicherheitsmaßnahmen schon, was fehlt noch. Darauf baut ein Plan auf, was zuerst gemacht wird und was später. Wie aufwändig das wird, hängt stark von der einzelnen Gemeinde ab, von der Ausgangslage, von vorhandener Dokumentation, davon, wie viel die Gemeinde selbst erledigen kann. 

Als Faustregel: In der Praxis reicht meist ein bis maximal zwei Prozent des jährlichen Gemeindebudgets. Mit 70.000 bis 90.000 Euro lässt sich in einer durchschnittlichen Gemeinde schon sehr viel erreichen.

Gibt es einen Unterschied zwischen dem, was NIS-2 minimal verlangt, und dem, was eine Gemeinde tatsächlich braucht, um sich wirksam zu schützen?

Ja, und das ist auch gut so. Das Gesetz schreibt vor, in welchen Bereichen eine Gemeinde aktiv werden muss, etwa Zugriffsschutz, Schulungen, Notfallpläne. Aber wie genau das umgesetzt wird, entscheidet die Gemeinde selbst, abgestimmt auf ihre eigene Risikolage. Eine kleine Landgemeinde braucht andere Prioritäten als eine Stadt mit eigenen Stadtwerken. Wichtig ist nur: Diese Entscheidung muss nachvollziehbar begründet sein, nicht aus dem Bauch heraus getroffen.

Wo würden Sie einer Gemeinde mit begrenztem Budget raten anzufangen – mit welcher Maßnahme bekommt man den größten Sicherheitsgewinn „pro eingesetztem Euro“?

Eine allgemeingültige Antwort gibt es leider nicht: Jede Gemeinde hat andere Schwachstellen. Aber die Reihenfolge ist immer dieselbe: zuerst herausfinden, wo das größte Risiko liegt, dann dort zuerst investieren. Ohne diesen Schritt investiert man ins Blaue hinein und trifft möglicherweise Entscheidung an der falschen Stelle.

Was kostet eine Gemeinde ein erfolgreicher Cyberangriff im Vergleich – haben Sie dazu Praxisbeispiele oder Größenordnungen?

Ein Cyberangriff kostet eine Gemeinde in der Regel etwa doppelt so viel wie ein komplettes Sicherheitsprojekt, oft auch deutlich mehr. Und das ist nur der Teil, der sich in Euro messen lässt. Dazu kommt der Vertrauensverlust bei den Bürgern, möglicher Ärger mit Verträgen oder dem Datenschutzgesetz, im schlimmsten Fall sogar Personenschäden. Und man unterschätzt oft, wie sehr so ein Vorfall die Mitarbeiter im Amt psychisch belastet – vor allem, wenn im Nachhinein die Frage im Raum steht, wer schuld war.

Der Blick nach vorn

Wenn Sie zehn Jahre vorausdenken: Wird Cybersicherheit für Gemeinden eher Verwaltungsaufgabe oder eher Chefsache bleiben?

Verantwortlich ist ganz klar die politische Spitze: Der Bürgermeister muss dahinterstehen und den Auftrag erteilen, der Gemeinderat muss die nötigen Mittel absegnen. Auf dieser Basis setzt die Amtsleitung das Ganze dann in der Verwaltung um, gibt klare Regeln vor, fordert sie ein und überprüft, ob sie eingehalten werden. Ohne dieses Zusammenspiel scheitert jedes Sicherheitskonzept von vornherein. 

Aber es reicht nicht, dass es „von oben" verordnet wird. Am Ende muss jede Mitarbeiterin und jeder Mitarbeiter im Amt diese Regeln ganz automatisch mittragen, nicht als lästige Zusatzaufgabe, sondern weil es einfach dazugehört, so selbstverständlich wie das Zusperren am Abend.

Was ist der häufigste Fehler, den Gemeinden beim Thema Cybersicherheit heute noch machen?

Der häufigste Fehler: Cybersicherheit wird als reines IT-Thema abgetan. Der zweite: Man hält sich für zu klein oder zu unwichtig, um überhaupt ein Ziel zu sein – ein gefährlicher Irrtum. Und drittens wird der Zeitaufwand massiv unterschätzt. Schon allein herauszufinden, welche Bereiche betroffen sind, und die eigene IT-Struktur sauber darzustellen, dauert seine Zeit und braucht mehrere Anläufe. 

Eine ordentliche Risikoanalyse kommt dazu, und die Umsetzung passiert nicht über Nacht. Realistisch braucht ein Umsetzungsprojekt mit professioneller Begleitung etwa ein Jahr.

NIS-Zeitleiste

Weiterlesen: Anlaufstelle NIS des Bundeskanzleramts – www.nis.gv.at

Sie haben eine konkrete Frage zu NIS-2 in Ihrer Gemeinde? Alessandro Friedreich beantwortet Leser:innenanfragen unter a.friedreich@tenente.at.

Woher kommt NIS-2? Wie sieht der Zeitplan aus?

Die erste NIS-Richtlinie stammt aus 2016 und war die erste EU-weite Regelung zur Netz- und Informationssicherheit, damals beschränkt auf wenige hundert Betreiber kritischer Infrastruktur. Weil Cyberangriffe seither massiv zunahmen und die alte Richtlinie zu viele Lücken ließ, verabschiedete die EU die Nachfolgerichtlinie NIS-2, die am 16. Jänner 2023 in Kraft trat. Sie erweitert den betroffenen Kreis auf 18 Sektoren – von Energie über Gesundheit bis zur öffentlichen Verwaltung – und verschärft Melde- und Sicherheitspflichten deutlich. In Österreich wurde sie mit dem NISG 2026 umgesetzt, das am 1. Oktober 2026 in Kraft tritt.