IT-Sicherheit ist eine wesentliche Voraussetzung für resiliente Infrastrukturen und für ein starkes, zukunftsfähiges Europa. Insbesondere vor dem Hintergrund der Zunahme von Cyber- und Hackerangriffen hat der Schutz von kritischen Systemen besondere gesellschaftspolitische und wirtschaftliche Relevanz. Hier setzt das neue Netz- und Informationssystemsicherheitsgesetz 2026 (in der Folge „NISG 2026“) an und markiert einen Wendepunkt für die europäische Cybersicherheit mit erheblichen Auswirkungen auf die Beschaffungsprozesse öffentlicher Auftraggeber:innen. Mit der vollständigen Umsetzung der NIS-2-Richtlinie bis zum 1. Oktober 2026 wird IT-Sicherheit von einem bloßen Qualitätsmerkmal zu einer zwingenden Voraussetzung im Vergabeverfahren.

Wer ist betroffen?

Das NISG 2026 verpflichtet öffentliche Einrichtungen in kritischen Sektoren wie Gesundheit, Verkehr, Energie und öffentliche Verwaltung dazu, konkrete IT-Sicherheitsmaßnahmen zu treffen sowie Vorfälle zu melden. Betroffene Auftraggeber:innen müssen außerdem sicherstellen, dass ihre Lieferkette abgesichert ist und sie Dienstleister:innen sowie Lieferant:innen zur Einhaltung der NISG-Compliance verpflichten.

Das Bundesamt für Cybersicherheit ist Meldestelle und österreichweit für die Aufsicht, Prüfung und Koordination zuständig.

Was wird beeinflusst?

Das NISG 2026 wirkt sich horizontal auf den gesamten Beschaffungsprozess aus und ist bei den Eignungskriterien, beim Leistungsbild und beim Vertrag zwingend zu berücksichtigen.

NIS-2-Compliance wird somit zum Teil der technischen Leistungsfähigkeit und beispielsweise durch die Vorgabe von IT-Sicherheitszertifizierungen abgeprüft (zB ISO/IEC 27001). Cybersicherheit muss zudem ein essenzieller Bestandteil der Leistungsinhalte sein und keine bloße Nebenpflicht. Kernaspekte sind dabei die Festlegung von Security-by-Design/Default-Anforderungen und Meldepflichten sowie die Definition von Patch-Zyklen und Incident-Response-Prozessen. Im Rahmen des Vertrags ist die Verknüpfung der Service Level Agreements (SLA) mit der NISG-Compliance besonders wichtig – beispielsweise durch die Einbeziehung der gesetzlichen Meldepflichten. Darüber hinaus sind Vertragsklauseln zu Audit-Rechten, Pönalen und Durchgriffsrechten bei Subunternehmen vorzusehen.

NIS-2 im Vergaberecht: Vorbereitung ist der Schlüssel zum Erfolg

Das NISG 2026 macht IT-Sicherheit zum kritischen Erfolgsfaktor für öffentliche Auftraggeber:innen und Bieter:innen gleichermaßen. Es gilt jetzt die Zeit bis zum 1. Oktober 2026 zu nutzen und Ausschreibungsprozesse anzupassen sowie allfällige Compliance-Lücken zu schließen.

Unsere Expert:innen unterstützen gerne dabei, die neuen Anforderungen des NISG 2026 präzise und effizient umzusetzen.