Zum Inhalt springen
Drei Personen mit gelben Schutzwesten inspizieren Kartonagen, eine Person trägt gelben Helm am Kopf, eine andere bedient ein Tablet
© WavebreakMediaMicro | stock.adobe.com

Die Sicherheit der Lieferkette im NISG 2026

Supply-Chain im Fokus von Sicherheitsprävention

Lesedauer: 3 Minuten

10.02.2026

Lieferketten werden zunehmend globaler und komplexer. Die enge Vernetzung mit Lieferanten und Dienstleistern birgt jedoch Sicherheitsrisiken. Wenn Schnittstellen nicht entsprechend gesichert und überwacht werden, können Cyberkriminelle  Sicherheitslücken gezielt ausnutzen und sich Zugang verschaffen oder Schadsoftware einschleusen. Die Sicherheit der Lieferkette ist damit ein wesentlicher Teil eines Informationssicherheitsmanagementsystems.

Was verlangt das  NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) in Bezug auf die Lieferkette?

Das NISG 2026 setzt die Cybersicherheits-Richtlinie NIS2 in Österreich um. Es verpflichtet betroffene Unternehmen zu umfassenden Risikomanagementmaßnahmen (weitere Informationen), darunter auch die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.

Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen und entsprechende Sicherheitsmaßnahmen zu treffen.

Hinweis
Während das NISG 2026 auf die Sicherstellung der Cybersicherheit in wesentlichen und wichtigen Sektoren abzielt, konzentriert sich der Cyber Resilience Act (CRA) auf die Sicherheitsaspekte von Produkten mit digitalen Elementen. Der Cyber Resilience Act zielt unter anderem darauf ab, die Einhaltung der Anforderungen an die Lieferkette zu erleichtern, indem sichergestellt wird, dass Produkte mit digitalen Elementen auf sichere Weise entwickelt werden und der Zugang zu Sicherheitsupdates gewährleistet ist. NIS-2 und CRA ergänzen sich, indem sie verschiedene Ebenen der Cybersicherheit abdecken.

An wen richten sich die Verpflichtungen?

Das NISG 2026 richtet sich direkt an wesentliche und wichtige Einrichtungen. Das sind vorwiegend mittlere und große Unternehmen bestimmter Sektoren (z.B. Energie, Gesundheit, Chemie, Lebensmittel), aber auch die Digitale Infrastruktur.

Testen Sie mit unserem Online-Ratgeber, ob Ihr Unternehmen direkt betroffen ist.

Eine viel größere Anzahl von Unternehmen ist als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt betroffen, wenn deren Kunden im Anwendungsbereich des NISG 2026 sind.

Was müssen Dienstleister und Lieferanten beachten?

Wenn Sie Dienstleister oder Lieferant einer wesentlichen oder wichtigen Einrichtung sind, sind Sie indirekt betroffen. Ihr Kunde wird sich an Sie wenden und vertraglich festlegen, dass Sie – abhängig vom jeweiligen Risiko – bestimmte Sicherheitsvorgaben erfüllen und Nachweise dafür verlangen.

Sie sollten sich daher rechtzeitig darauf vorbereiten.
Jedenfalls sollten Sie bestimmte Mindestvorgaben an Informationssicherheit – auch im eigenen Interesse – befolgen.

>> Informationen und Mustervorlagen

Darüber hinaus kann Ihr Kunde abhängig von seiner jeweiligen Risikoanalyse weitere Maßnahmen verlangen.

Wie kann der Nachweis der Sicherheit der Lieferkette erfolgen?

Das frei verfügbare Schema  des KSÖ zum Cyber Risk Rating, dient dazu Cyberrisiken von Dienstleistern, Lieferanten und Dritten zu bewerten.

Der Nachweis der oben genannten Anforderungen kann auf verschiedene Weise erfolgen (z.B. Zertifizierungen, Ratings, Audits, individuelle Nachweise der Compliance und Sicherheitsanforderungen).

Die NIS-Behörde empfiehlt Betreibern wesentlicher Dienste auf Grundlage des derzeit geltenden NIS-Gesetzes bzw. der NIS-Verordnung folgende Informationssicherheitsstandards sowie Best Practises:

Ab wann gelten die NIS2-Regelungen?

Das NISG 2026 tritt am 1. Oktober 2026 in Kraft. Ab diesem Zeitpunkt gelten die Regelungen für wesentliche und wichtige Einrichtungen, damit auch die Vorgaben für die Sicherheit der Lieferkette. Betroffene Einrichtungen verlangen daher in Vorbereitung bereits jetzt entsprechende Nachweise oder nehmen entsprechende Vorgaben in ihre Verträge und Einkaufsbedingungen auf. In vielen anderen Mitgliedstaaten, zB in Deutschland, wurde die NIS-2-Richtlinie bereits umgesetzt, sodass Kunden aus diesen Mitgliedstaaten schon jetzt die Vorgaben zur Sicherheit der Lieferkette erfüllen müssen.

Weitere interessante Artikel