NIS-Gesetz 2026 tritt in Kraft

Jedes dritte Unternehmen droht, den Stichtag zu verschlafen

Das Bewusstsein für die wirtschaftlichen Folgen von Cyberangriffen ist in der heimischen Unternehmenslandschaft noch nicht ausreichend verankert. Laut der aktuellen Austrian-Business-Check-Umfrage (Teil 1 und 2 können Sie hier und hier nachlesen) vom KSV1870 sind 17 Prozent der österreichischen Unternehmen vom NIS-Gesetz (NISG) 2026 betroffen, welches nach Ende der Übergangsfrist ab dem 1. Oktober 2026 schlagend wird. Besonders brisant: Rund 31 Prozent der betroffenen Betriebe werden die gesetzlichen Vorgaben voraussichtlich nicht rechtzeitig erfüllen.

Damit setzen diese Unternehmen laut dem Kreditschutzverband ihre wirtschaftliche Stabilität aufs Spiel, obwohl 75 Prozent bereits über konkrete Maßnahmenpläne verfügen. Die Notwendigkeit zur Handlung unterstreiche die Kriminalstatistik: Im Vorjahr wurden über 63.000 Fälle von Internetkriminalität registriert, wovon rund 22.000 in den Bereich Cybercrime fielen.

Fokus auf digitale Resilienz

"Mit der EU-weiten Harmonisierung soll Europas digitale Resilienz gestärkt werden", erklärt Ricardo-José Vybiral, CEO der KSV1870 Holding AG. Nachdem ein erster Gesetzesentwurf 2024 gescheitert war, stelle das neue Gesetz nun einen wesentlichen Schritt für mehr Cybersicherheit dar. Ziel sei es, das Sicherheitsniveau von Netz- und Informationssystemen zu erhöhen und die Reaktion auf Vorfälle zu verbessern.

Hürden bei der praktischen Umsetzung

Ab Oktober 2026 müssen Betriebe kritischer Sektoren sowie deren Lieferant:innen Nachweise über Sicherheitsvorkehrungen erbringen. Fehlen diese, wird die Erzielung von Umsätzen erschwert, da der rechtliche Rahmen für Geschäftsbeziehungen nicht mehr vollständig erfüllt ist. Vybiral sieht hier eine gefährliche Diskrepanz: "Zwischen theoretischer Erkenntnis und praktischer Umsetzung klafft nach wie vor eine Lücke." Angesichts der aktuellen Risikolage sei es unverständlich, dass viele Betriebe zögern. Er mahnt, dass Unternehmen dort anpacken sollten, wo sie die Risikosenkung selbst in der Hand haben.

Unterstützung durch technologische Lösungen

Um Schwachstellen frühzeitig zu erkennen, bietet der KSV1870 das sogenannte CyberRisk Rating an (LEADERSNET berichtete). Dieses standardisierte Verfahren bewertet die Risiken von Dienstleister:innen und Dritten auf einer siebenteiligen Skala. Robert Staubmann, Geschäftsführer KSV1870 Nimbusec, betont: "In Anbetracht der steigenden Cybergefahr braucht es praktikable Lösungen zur Risikominimierung." Das Rating basiert auf dem Schema des Kompetenzzentrums Sicheres Österreich (KSÖ) und wird jährlich aktualisiert. Je nach Anforderung stehen die Stufen B (Basis-Schutzniveau), A (25 erfüllte Anforderungen) oder A+ (inklusive Audit) zur Verfügung.

Praxisbeispiel: Eurovision Song Contest

Wie essenziell solche Prüfungen sind, zeige die Zusammenarbeit mit dem ORF im Vorfeld des Eurovision Song Contest (LEADERSNET berichtete). Die KSV1870 Nimbusec GmbH unterzog die Event-Lieferant:innen einer umfassenden Cyberrisiko-Prüfung. Zudem kam der "CyberRisk Manager" zum Einsatz, eine Lösung zur Verwaltung von Sicherheitsnachweisen bei einer hohen Anzahl an Partner:innen. Laut Staubmann behalte der ORF so den Überblick über das Sicherheitsniveau und könne sich auf die Durchführung des Events konzentrieren.

www.ksv.at