NISG 2026: Geschäftsführer haften persönlich für Mitarbeiter-Checks

Ab Oktober 2026 drohen österreichischen Vorständen persönliche Konsequenzen, wenn sie Mitarbeiter in kritischen Positionen nicht ausreichend überprüfen. Das verschärfte Netz- und Informationssystemsicherheitsgesetz (NISG 2026) macht Personalsicherheit zur Chefsache – mit Haftungsrisiken bis zum Berufsverbot.

Der Mensch als größtes Haftungsrisiko

Während die Debatte um die EU-weite NIS2-Richtlinie oft Technik wie Verschlüsselung in den Vordergrund stellt, rückt nun der Faktor Mensch in den Fokus. Das Gesetz, das am 1. Oktober 2026 vollständig in Kraft tritt, lastet die Verantwortung für die Überprüfung von Mitarbeitern direkt der Geschäftsführung an. „Technische Barrieren wie Firewalls nutzen wenig, wenn berechtigte Zugänge an unzuverlässige Personen vergeben werden“, warnt etwa das Compliance-Unternehmen Validato AG.

Für „wesentliche“ und „wichtige“ Unternehmen – von Energieversorgern über Banken bis zur Gesundheitsbranche – bedeutet das: Sie müssen strukturierte Konzepte für Personalsicherheit einführen. Dazu gehören lückenlos dokumentierte Hintergrundchecks und fortlaufende Zuverlässigkeitsüberprüfungen für jeden Mitarbeiter mit Zugang zu kritischer Infrastruktur oder sensiblen Daten. Ein Versäumnis kann die Geschäftsführung persönlich teuer zu stehen kommen.

Passend zum Thema Personalsicherheit: Viele Unternehmen müssen Arbeitsverträge und Nachweisdokumente anpassen – veraltete Klauseln können empfindliche Bußgelder nach sich ziehen. Das kostenlose E‑Book „Der Arbeitsvertrag – Klauseln, Pflichten und Musterbeispiele“ liefert 19 fertige Musterformulierungen und erklärt, welche Formulierungen Sie jetzt ändern müssen, um rechtssicher zu bleiben. Praktisch für Personaler und Geschäftsführung, die Haftungsrisiken minimieren wollen. 19 Muster-Formulierungen für Ihren Arbeitsvertrag herunterladen

Strengstes Haftungsregime im österreichischen Recht

Das NISG 2026, veröffentlicht im Bundesgesetzblatt am 23. Dezember 2025, stellt den bisher größten Wandel im Cybersicherheitsrecht des Landes dar. Es setzt die EU-Richtlinie NIS2 um und erfasst nun 18 Sektoren – inklusive Abfallwirtschaft, Lebensmittelproduktion und verarbeitendem Gewerbe.

Rechtsexperten wie von CHG Czernich oder Schoenherr betonen die historische Strenge der Haftungsregeln. Die Geschäftsführung kann für Verstöße persönlich haftbar gemacht werden. Die Ausrede, technische Details nicht zu verstehen, gilt vor Gericht nicht mehr. Die möglichen Strafen sind drastisch: Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Im Extremfall droht sogar ein zeitweiliges Berufsverbot für Vorstände.

Lieferkette und KMU im Fadenkreuz

Die Herausforderung geht weit über die eigenen Bürowände hinaus. Betroffene Unternehmen müssen Sicherheitsstandards – inklusive der Mitarbeiterüberprüfung – auch bei ihren Zulieferern und Dienstleistern durchsetzen. Dieser „Trickle-Down“-Effekt wird Zehntausende kleinere österreichische Betriebe treffen, die als Lieferanten für kritische Infrastrukturen arbeiten.

Obwohl diese KMU nicht direkt unter das Gesetz fallen, werden sie vertraglich gezwungen sein, Sicherheitsüberprüfungen ihrer Mitarbeiter nachzuweisen, um Geschäftsbeziehungen zu halten. Die Wirtschaftskammer (WKO) warnt vor dem immensen operativen Aufwand. Viele Firmen müssen derzeit Arbeitsverträge und Datenschutzrichtlinien anpassen, um die geforderten tiefgreifenden Background-Checks überhaupt rechtlich durchführen zu können.

Countdown bis Oktober: Was jetzt zu tun ist

Mit weniger als acht Monaten bis zum Stichtag rät die Branche zu sofortigem Handeln. Der Markt für „Vendor Background Check“-Dienstleistungen und automatisierte Compliance-Plattformen erlebt bereits einen Boom. Die ersten behördlichen Audits ab Ende 2026 werden voraussichtlich Governance-Strukturen und die Dokumentation von Risikoentscheidungen prüfen.

Unternehmen sollten umgehend eine Gap-Analyse ihrer HR-Sicherheitsprozesse starten. Können sie eine due diligence bei der Personalauswahl nachweisen? Die Balance zwischen strengen Sicherheitschecks und österreichischem Arbeits- sowie Datenschutzrecht bleibt eine Gratwanderung für jede Rechtsabteilung.

Die Botschaft des Gesetzgebers ist klar: In der Cybersicherheit gilt nicht mehr Vertrauen, sondern verifizierte Sicherheit. Für Österreichs Vorstände wird der Personalfaktor zum entscheidenden Compliance-Hebel – und zum größten persönlichen Haftungsrisiko.

PS: Vorstände und Personaler sollten jetzt handeln – dieses kostenlose E‑Book zeigt 19 fertige Formulierungen, die Sie sofort übernehmen können, plus praxisnahe Hinweise zum Nachweisgesetz, damit Sie Bußgelder und Haftungsrisiken vermeiden. Ideal, um Compliance-Lücken zügig zu schließen und HR-Prozesse rechtssicher zu dokumentieren. Jetzt kostenlosen Arbeitsvertrag-Guide mit 19 Mustern herunterladen