„Cybersicherheit ist kein Beiwerk mehr“

Cyberangriffe nehmen stark zu. Was soll das neue NISG 2026 konkret verbessern?
Das NISG 2026 soll Cybersicherheit stärker vom IT-Thema zur echten Management- und Organisationsaufgabe machen. Es gilt ab 1. Oktober 2026. Konkret erweitert es den Kreis der betroffenen Unternehmen deutlich, verschärft Vorgaben zu Risikomanagement und Meldepflichten und setzt stärker auf nachvollziehbare Governance statt auf bloße Technikmaßnahmen. Ziel der NIS-2-Richtlinie und damit auch des nationalen Umsetzungsgesetzes NISG 2026 ist mehr Cybersicherheit für wirtschaftlich und gesellschaftlich relevante Sektoren und eine Verbesserung der Reaktion auf erhebliche Cybersicherheitsvorfälle in den Unternehmen wie auf staatlicher und europäischer Ebene.

Warum war die Überarbeitung der NIS-2-Richtlinie aus Ihrer Sicht notwendig?
Die erste NIS-Richtlinie wurde in den einzelnen EU-Mitgliedstaaten sehr unterschiedlich umgesetzt und erfasste auf Unternehmensebene nur einen relativ kleinen Kreis kritischer Betreiber. NIS-2 reagiert darauf, indem der Anwendungsbereich deutlich ausgeweitet, Mindeststandards präzisiert und Themen wie Risikomanagement, Lieferkettensicherheit, Governance und Meldeprozesse sehr konkret in den Mittelpunkt gerückt werden.

Soll heißen...
Cybersicherheit ist kein Thema mehr, das man nebenbei von der IT miterledigen lassen kann. Einrichtungen müssen Strukturen, Prozesse und Verantwortlichkeiten aufbauen und laufend verbessern, um mit der Entwicklung mithalten zu können – etwa im Risikomanagement, beim Umgang mit Sicherheitsvorfällen oder bei der Absicherung von Lieferketten. Das bedeutet in der Praxis zusätzlichen organisatorischen Aufwand und Investitionen, etwa in Personal, Prozesse und technische Maßnahmen. Das stellt viele Unternehmen gerade in wirtschaftlich schwierigen Zeiten verständlicherweise vor große Herausforderungen. Cybersicherheitsvorfälle sind eine reale Gefahr für Unternehmen jeder Größe und Branche. Aber es braucht pragmatische Ansätze, die in den Betrieben auch wirtschaftlich umsetzbar sind. 

Welche Unternehmen fallen künftig unter das NISG 2026?
Wir gehen von rund 4.000 direkt betroffenen Einrichtungen in Österreich aus. Das sind typischerweise Unternehmen ab einer mittleren Größe in Sektoren wie Energie, Gesundheit, digitale Infrastruktur, aber beispielsweise auch verarbeitendes Gewerbe, chemische und Lebensmittelindustrie. Aber Achtung: Auch kleine Unternehmen können betroffen sein, etwa in der digitalen Infrastruktur, aber vor allem aus vertraglichen Pflichten, wenn ihr Kunde unter das NISG 2026 fällt. 

Welche Verantwortung trägt künftig die Geschäftsführung im Zusammenhang mit dem NISG 2026?
Cybersicherheit wird ausdrücklich zur Aufgabe der Leitungsebene. Die Geschäftsleitung muss die Maßnahmen genehmigen, deren Umsetzung überwachen und sich nachweislich schulen lassen. Praktisch bedeutet das: Betroffenheit der Einrichtung prüfen, Zuständigkeiten festlegen, ein belastbares Cyber-
Risikomanagement aufsetzen und regelmäßiges Reporting verlangen. Natürlich wird die Geschäftsleitung die konkrete Umsetzung einzelner Maßnahmen delegieren, die Gesamtverantwortung verbleibt aber immer bei der Leitung.  

Welche konkreten Sicherheitsmaßnahmen müssen Unternehmen nun per Gesetz umsetzen? 
Im Mittelpunkt steht ein strukturiertes und dokumentiertes Risikomanagement mit klarer Verantwortung auf Leitungsebene. Dazu gehören insbesondere Risikoanalysen, klare Vorfalls- und Meldeprozesse sowie grundlegende technische Schutzmaßnahmen wie Multi-Faktor-Authentifizierung, systematisches Patch-Management und belastbare Backup- und Wiederherstellungskonzepte. Entscheidend ist letztlich nicht nur, dass Maßnahmen vorhanden sind, sondern dass sie wirksam sind und ihre Umsetzung auch nachvollziehbar nachgewiesen werden kann. 

Stichwort Wirksamkeit. Was unterschätzen Unternehmen derzeit am meisten?
Die größten Probleme sehen wir bei der Sicherheit der Lieferkette; generell unterschätzt wird oft das Notfallmanagement. Viele Unternehmen haben zwar Konzepte auf dem Papier, aber nur wenige testen regelmäßig, ob ihre Abläufe im Ernstfall tatsächlich funktionieren. Dienstleister und Lieferanten stehen unter vertraglichem Druck. Sie brauchen ein belastbares Mindestniveau an Sicherheit und eine saubere Dokumentation gegenüber ihren Auftraggebern.

Mit welchen Kosten oder organisatorischen Aufwänden müssen Unternehmen rechnen?
Die Anforderungen sind hoch und Betroffenheitsprüfung, Gap-Analyse, Governance, technische Tools, Prozesse, Dokumentation, Schulungen etc. fordern entsprechende Ressourcen. In der Praxis hängen die Kosten stark davon ab, wie reif die bestehende Sicherheitsorganisation schon ist. Dabei geht es aber auch oft um Maßnahmen, die seit Jahren durchgeführt hätten werden sollen und nun mit der gesetzlichen Pflicht schlagend werden.

Welche Entwicklungen erwarten Sie in den nächsten drei bis fünf Jahren im Cyber-Regulierungsbereich?
Ich erwarte erstens deutlich mehr Verzahnung zwischen verschiedenen Regimen, also etwa NIS-2, DORA - dem Digital Operational Resilience Act, einem EU-Gesetz, das sicherstellen soll, dass der Finanzsektor bei schweren IT-Störungen wie etwa Cyberangriffen oder Systemausfällen, widerstandsfähig bleibt -, dem Cyber Resilience Act für Produktsicherheit und sektorspezifischen Anforderungen.
Zweitens wird die Aufsicht stärker auf Nachweisbarkeit schauen: Nicht nur „haben wir etwas?“, sondern „funktioniert es, ist es dokumentiert und wird es risikobasiert gesteuert?“.
Und drittens wird die Lieferkette regulatorisch weiter an Bedeutung gewinnen, auch global, weil viele reale Risiken heute gerade dort entstehen. 

Wie unterstützt die Wirtschaftskammer die heimischen Unternehmerinnen und Unternehmen hinsichtlich der Umsetzung?
Wir stellen bereits seit Inkrafttreten der NIS-2-Richtlinie auf www.wko.at/nis umfassende Informations- und Unterstützungsangebote bereit, die auch sehr gut angenommen werden. Unter anderem gibt es strukturierte Informationen und Betroffenheits-Checks, Webinare und Veranstaltungen sowie die neu geschaffene Zertifizierung „NIS Expert“, über die bereits geprüfte Expert:innen zur Verfügung stehen um die Betriebe zu unterstützen. Zusätzlich stehen über die KMU.DIGITAL-Förderung, die gemeinsam von WKÖ und BMAW getragen wird, auch wieder Mittel bereit.
 
Vielen Dank für das Gespräch.