NIS2 unter Dach und Fach: Neun Monate, die jetzt zählen
Die Zeit der faulen Ausreden ist endgültig vorbei. Die Umsetzung der NIS2-Richtlinie in Österreich hat zwar auf sich warten lassen, doch nun ist sie gekommen, um zu bleiben. Mit dem Gesetz müssen Unternehmen aus kritischen Sektoren und ihre Lieferanten belegen können, dass sie cyberresilient sind. Spätestens im Herbst 2026 heißt es, NIS2-ready zu sein, andernfalls könnten Umsätze wegbrechen. Robert Staubmann, Geschäftsführer der KSV1870 Nimbusec GmbH, zum Status quo.
Anfang 2024 war das Thema Cybersicherheit in aller Munde. Die angespannte Erwartung rund um die Umsetzung der NIS2-Richtlinie sorgte in Österreich für viel Bewegung bei den Unternehmen. Doch nach der Ablehnung des ersten Gesetzesentwurfs im Sommer 2024 wurde es ruhig. Seit wenigen Tagen gehören sämtliche Spekulationen rund um die Umsetzung der EU-Richtlinie jedoch endgültig der Vergangenheit an, nachdem diese vor wenigen Tagen das österreichische Parlament passiert hat. Angesichts von hierzulande rund 60.000 Fällen von Internetkriminalität pro Jahr ist es höchste Zeit geworden, eine Art „Securityrahmen“ einzuführen.
Priorität #1 für 2026
Doch was bedeutet das in der Praxis? Die Richtlinie und auch das österreichische Gesetz sehen vor, dass Unternehmen der kritischen Sektoren ihre NIS-Konformität nachweislich belegen können müssen. Doch nicht nur die rund 4.000 direkt betroffenen Unternehmen rücken in den Fokus, sondern auch deren Lieferketten. Und damit steigt die Zahl der indirekt betroffenen Unternehmen enorm an.
Mehrere Zehntausend Betriebe, vor allem KMU, sind angehalten, das Thema NIS2 ab sofort ganz oben auf ihrer Prioritätenliste für 2026 zu verankern. Warum? Weil in rund neun Monaten betroffene Unternehmen ihre NIS2-Konformität nachweisen müssen, andernfalls wird es zukünftig bedeutend schwieriger – wenn nicht sogar fast unmöglich – Geschäfte mit Betrieben der kritischen Sektoren zu realisieren. Genau hier kommt das CyberRisk Rating by KSV1870 ins Spiel.
So einfach geht’s
Das CyberRisk Rating bietet Unternehmen eine einfache, kostengünstige Möglichkeit, ihre IT-Sicherheit mit einem anerkannten Nachweis zu belegen. Es basiert auf dem Schema des Kompetenzzentrum Sicheres Österreich, das von führenden Cyber-Risk-Managern aus allen Sektoren der kritischen Infrastruktur sowie Vertretern namhafter österreichischer Unternehmen entwickelt wurde.
Somit ist das Rating für jede Branche und jeden Wirtschaftssektor geeignet. Der Erwerb des Nachweises ist vergleichsweise einfach, sofern Unternehmen ihre Cybersicherheit im Griff haben. In einem strukturierten Online-Assessment beantworten Unternehmen 25 praxisnahe Fragen zur eigenen Sicherheitslage, verständlich aufbereitet, branchengerecht und mit klaren Kriterien. Aus den Antworten ergibt sich ein Rating auf einer leicht verständlichen Skala, das sowohl national als auch international anerkannt ist. Sollten Anforderungen nicht erfüllt werden, so erfährt das Unternehmen, wo es ansetzen muss.
Sollen oder müssen?
Müssen Lieferanten wirklich geprüft werden? Die Antwort ist ganz klar: Ja. Lieferanten sind überwiegend kleine und mittelständische Unternehmen. Anders als große Konzerne verfügen viele KMU in der Regel nicht über eigene IT-Sicherheitsabteilungen oder spezialisiertes Personal. Stattdessen müssen sie ihre Ressourcen sorgsam priorisieren. Cybersecurity bleibt da leider häufig auf der Strecke.
Denn Investitionen in moderne Schutzmaßnahmen, regelmäßige Schulungen oder komplexe Monitoring-Systeme sind kostspielig und werden oft zugunsten anderer Aufgaben zurückgestellt. Doch gerade diese Unternehmen sind wichtig in den Lieferketten und das macht sie auch zu einer potenziellen Schwachstelle. Denn wenn bei ihnen Sicherheitslücken entstehen, kann dies direkte Auswirkungen auf viele Geschäftspartner haben. Deshalb ist es für Unternehmen essenziell und nun auch gesetzlich gefordert, von ihren Lieferanten einen validierten Nachweis einzufordern.
Übermut tut selten gut
Schlechte Nachrichten aus der Praxis: Über 85 Prozent der Unternehmen überschätzen ihre eigene Cybersicherheit. Das ist eine alarmierende Zahl, die aus unserem jährlichen CyberRisk Report stammt und ein deutliches Warnsignal für alle Beteiligten. Viele Unternehmen haben eine verzerrte Wahrnehmung ihrer tatsächlichen Schutzmaßnahmen. Sie glauben, gut aufgestellt zu sein, während in Wirklichkeit grundlegende Sicherheitslücken bestehen, die Angreifern Tür und Tor öffnen. Diese Fehleinschätzung führt dazu, dass Risiken nicht rechtzeitig erkannt und angegangen werden.
Unmissverständlich cybersicher
Laut dem CyberRisk Report müssen 70 % der Angaben in unserem Online-Assessment für das CyberRisk Rating im Nachgang überprüft oder sogar korrigiert werden, da die initialen Antworten nicht schlüssig oder detailliert genug waren. Das bedeutet, dass Aussagen zur Cybersicherheit hinterfragt werden müssen, weil unterschiedliche Interpretationen von Fachbegriffen oft zu Missverständnissen führen. Ohne eine standardisierte, anerkannte Bewertung – wie das CyberRisk Rating by KSV1870 – bleibt der wahre Sicherheitsstatus eines Lieferanten also häufig verborgen. Ein professionelles Assessment durch einen Dritten stellt sicher, dass Unternehmen ein verlässliches Bild ihrer Lieferanten erhalten und so fundierte Entscheidungen treffen können.
Lieferkette in Gefahr
Last but not least: Ein Drittel aller Lieferanten erreichen nicht das vom Kunden gewünschte Sicherheitsniveau. In der Praxis zeigt sich, dass die Anforderungen der kritischen Infrastruktur an IT-Sicherheit und Cyberresilienz bei vielen Partnern nicht vollständig erfüllt werden. Gerade in komplexen Lieferketten mit zahlreichen Dienstleistern entsteht so ein „Sicherheitsleck“ an unerwarteter Stelle.
Das ist besonders brisant, denn in sensiblen Branchen wie Energie, Telekommunikation oder Gesundheitswesen kann ein Ausfall oder eine Kompromittierung eines einzelnen Zulieferers gravierende Folgen für die gesamte Wertschöpfungskette haben. Deshalb ist es entscheidend, die Cybersecurity-Standards nicht nur zu kommunizieren, sondern auch systematisch zu kontrollieren und zu zertifizieren.
