Cybersicherheit ist in Österreich ein gesamtstaatliches Thema. Das Bundesministeriums für Inneres bereitet sich auf die nationale Umsetzung der NIS-2-Richtlinie vor.
Die NIS-2-Richtlinie ist eine EU-Richtlinie zur Erhöhung der Cybersicherheit in der Europäischen Union. Sie verpflichtet bestimmte Unternehmen und öffentliche Einrichtungen dazu, angemessene technische, organisatorische und operative Maßnahmen zur Sicherheit ihrer Netz- und Informationssysteme zu treffen.
In Österreich wird die NIS-2-Richtlinie durch das Netz- und Informationssystemsicherheitsgesetz 2026, kurz NISG 2026, umgesetzt. Das Gesetz betrifft insbesondere wesentliche und wichtige Einrichtungen in zahlreichen Sektoren, etwa Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Finanzmarkt, Lebensmittel, Abfallwirtschaft, Forschung und bestimmte Bereiche der Industrie.
Im Mittelpunkt stehen sogenannte Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Betroffene Einrichtungen müssen ihre Cyberrisiken erkennen, bewerten, begrenzen und laufend überwachen.
Was sind Risikomanagementmaßnahmen nach NIS-2?
Risikomanagementmaßnahmen sind Vorkehrungen, mit denen Einrichtungen ihre Netz- und Informationssysteme vor Sicherheitsvorfällen schützen sollen. Dazu gehören nicht nur technische IT-Sicherheitsmaßnahmen, sondern auch organisatorische Prozesse, Zuständigkeiten, Schulungen, Notfallpläne und Kontrollen.
Die NIS-2-Richtlinie verlangt einen gefahrenübergreifenden Ansatz. Das bedeutet, dass Unternehmen nicht nur einzelne Cyberangriffe betrachten dürfen, sondern verschiedene Risiken für Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Systeme berücksichtigen müssen.
Die Maßnahmen müssen angemessen und verhältnismäßig sein. Dabei sind insbesondere die Größe der Einrichtung, ihr Risiko, die Bedeutung ihrer Dienste und die möglichen Auswirkungen eines Sicherheitsvorfalls zu berücksichtigen.
Welche Einrichtungen sind betroffen?
Die Risikomanagementpflichten treffen nicht jedes Unternehmen. Betroffen sind vor allem sogenannte wesentliche Einrichtungen und wichtige Einrichtungen. Welche Kategorie einschlägig ist, hängt insbesondere vom Sektor, der Größe und der Bedeutung der erbrachten Dienste ab.
Das NISG 2026 erweitert den Kreis der betroffenen Einrichtungen deutlich gegenüber dem bisherigen NISG 2018. Künftig können auch viele mittlere und größere Unternehmen betroffen sein, die bisher nicht unter die österreichischen NIS-Regeln gefallen sind.
Ob ein Unternehmen betroffen ist, muss anhand der gesetzlichen Sektoren, Größenkriterien und Ausnahmen geprüft werden.
Die wichtigsten Risikomanagementmaßnahmen
Die NIS-2-Richtlinie nennt mehrere Mindestbereiche, die durch Risikomanagementmaßnahmen abgedeckt werden müssen. Dazu zählen insbesondere:
- Risikoanalyse und Sicherheitskonzepte: Einrichtungen müssen ihre Risiken für Netz- und Informationssysteme systematisch analysieren und Sicherheitskonzepte festlegen.
- Bewältigung von Sicherheitsvorfällen: Es müssen Prozesse bestehen, um Cybervorfälle zu erkennen, zu bewerten, einzudämmen und zu bearbeiten.
- Aufrechterhaltung des Betriebs: Dazu gehören Backup-Management, Wiederherstellung nach Notfällen, Krisenmanagement und Business Continuity.
- Sicherheit der Lieferkette: Risiken durch Lieferanten, IT-Dienstleister, Cloud-Anbieter und sonstige externe Partner müssen berücksichtigt werden.
- Sicherheit bei Erwerb, Entwicklung und Wartung: Netz- und Informationssysteme müssen auch bei Beschaffung, Entwicklung, Änderung und Wartung sicher gestaltet werden.
- Schwachstellenmanagement: Sicherheitslücken müssen erkannt, bewertet, behoben und gegebenenfalls gemeldet werden.
- Wirksamkeitsprüfung: Die getroffenen Maßnahmen müssen regelmäßig überprüft und bewertet werden.
- Cyberhygiene und Schulungen: Mitarbeitende und Leitungsorgane müssen für Cybersicherheitsrisiken sensibilisiert werden.
- Kryptografie und Verschlüsselung: Einrichtungen müssen geeignete Konzepte für Verschlüsselung und kryptografische Schutzmaßnahmen vorsehen.
- Zugriffskontrolle und Asset Management: Zugriffsrechte, Benutzerkonten, Geräte, Systeme und kritische Assets müssen nachvollziehbar verwaltet werden.
- Multi-Faktor-Authentifizierung und sichere Kommunikation: Je nach Risiko sind starke Authentifizierung und sichere Kommunikationsmittel erforderlich.
Risikoanalyse und Sicherheitskonzept
Eine betroffene Einrichtung muss zunächst wissen, welche Systeme, Prozesse und Daten für ihre Tätigkeit wesentlich sind. Darauf aufbauend müssen Risiken ermittelt und bewertet werden.
Eine Risikoanalyse sollte insbesondere folgende Fragen beantworten:
- Welche Netz- und Informationssysteme sind kritisch?
- Welche Dienste hängen von diesen Systemen ab?
- Welche Bedrohungen bestehen?
- Welche Schwachstellen sind bekannt?
- Welche Auswirkungen hätte ein Ausfall?
- Welche Schutzmaßnahmen bestehen bereits?
- Welche zusätzlichen Maßnahmen sind erforderlich?
Das Sicherheitskonzept legt anschließend fest, wie mit den erkannten Risiken umzugehen ist. Es sollte Verantwortlichkeiten, technische Maßnahmen, organisatorische Prozesse und Kontrollmechanismen enthalten.
Bewältigung von Sicherheitsvorfällen
Ein zentraler Bestandteil der NIS-2-Risikomanagementmaßnahmen ist der Umgang mit Sicherheitsvorfällen. Einrichtungen müssen vorbereitet sein, wenn ein Cyberangriff, ein Systemausfall oder ein sonstiger sicherheitsrelevanter Vorfall eintritt.
Dazu gehören insbesondere:
- klare Zuständigkeiten,
- interne Meldewege,
- technische Erkennung von Vorfällen,
- Bewertung der Auswirkungen,
- Sofortmaßnahmen zur Eindämmung,
- Dokumentation,
- Wiederherstellung des Normalbetriebs,
- Nachbereitung und Verbesserung der Schutzmaßnahmen.
Bei erheblichen Cybersicherheitsvorfällen können zusätzlich gesetzliche Meldepflichten gegenüber der zuständigen Behörde bestehen.
Business Continuity und Krisenmanagement
NIS-2 verlangt nicht nur Prävention, sondern auch Vorbereitung auf den Ernstfall. Einrichtungen müssen sicherstellen, dass sie auch bei Störungen handlungsfähig bleiben oder ihre Dienste rasch wiederherstellen können.
Wichtige Maßnahmen sind etwa:
- Backup-Konzepte,
- Notfallpläne,
- Wiederanlaufpläne,
- Disaster-Recovery-Prozesse,
- Krisenkommunikation,
- regelmäßige Tests und Übungen.
Besonders wichtig ist, dass Backups nicht nur vorhanden sind, sondern im Ernstfall auch tatsächlich wiederhergestellt werden können.
Sicherheit der Lieferkette
Ein wesentliches Element von NIS-2 ist die Lieferkettensicherheit. Viele Einrichtungen sind von externen IT-Dienstleistern, Softwareanbietern, Cloud-Diensten, Wartungsunternehmen oder sonstigen Lieferanten abhängig.
Diese Abhängigkeiten können erhebliche Cyberrisiken verursachen. Deshalb müssen betroffene Einrichtungen auch Risiken berücksichtigen, die aus der Zusammenarbeit mit unmittelbaren Lieferanten und Dienstleistern entstehen.
Praktisch bedeutet das etwa:
- Prüfung kritischer Dienstleister,
- Sicherheitsanforderungen in Verträgen,
- Regelungen zu Meldepflichten bei Vorfällen,
- Kontroll- und Auditmöglichkeiten,
- Notfallregelungen bei Ausfall eines Dienstleisters,
- Bewertung von Abhängigkeiten und Konzentrationsrisiken.
Sicherheit bei Beschaffung, Entwicklung und Wartung
Cybersicherheit muss bereits bei der Auswahl, Entwicklung und Wartung von IT-Systemen berücksichtigt werden. Sicherheitsmaßnahmen dürfen nicht erst nachträglich aufgesetzt werden.
Relevant sind insbesondere:
- sichere Beschaffung von IT-Produkten und Diensten,
- sichere Softwareentwicklung,
- Patch- und Update-Management,
- Änderungsmanagement,
- Sicherheitsprüfungen,
- Konfigurationsmanagement,
- Umgang mit bekannten Schwachstellen.
Gerade veraltete Systeme, ungepatchte Software und unklare Zuständigkeiten bei Wartung und Updates zählen in der Praxis zu den größten Sicherheitsrisiken.
Cyberhygiene und Schulungen
Grundlegende Cyberhygiene bedeutet, dass einfache, aber wirksame Sicherheitsmaßnahmen konsequent umgesetzt werden. Dazu gehören etwa sichere Passwörter, Multi-Faktor-Authentifizierung, regelmäßige Updates, Phishing-Sensibilisierung und klare Regeln für den Umgang mit Daten und Systemen.
Die NIS-2-Richtlinie legt außerdem Wert auf Schulungen. Nicht nur IT-Abteilungen, sondern auch Leitungsorgane und Mitarbeitende müssen ausreichend über Risiken und Sicherheitspraktiken informiert sein.
Cybersicherheit ist daher keine rein technische Aufgabe. Sie betrifft Organisation, Führung, Personal, Einkauf, Recht, Datenschutz und operative Prozesse.
Verantwortung der Leitung
NIS-2 macht Cybersicherheit ausdrücklich zu einem Thema der Unternehmensleitung. Leitungsorgane müssen Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und sich mit Cybersicherheitsfragen auseinandersetzen.
Das bedeutet: Die Verantwortung kann nicht vollständig an die IT-Abteilung ausgelagert werden. Geschäftsführung und Vorstand müssen sicherstellen, dass angemessene Strukturen, Ressourcen und Kontrollmechanismen vorhanden sind.
Nachweis und Überprüfung
Risikomanagementmaßnahmen müssen nicht nur umgesetzt, sondern auch nachweisbar sein. Das NISG 2026 enthält eigene Regelungen zum Nachweis der Wirksamkeit von Risikomanagementmaßnahmen.
In der Praxis bedeutet das, dass betroffene Einrichtungen Dokumentation, Verantwortlichkeiten, Prüfberichte, Richtlinien, Risikoanalysen und Nachweise über Schulungen oder technische Maßnahmen bereithalten sollten.
Die WKO nennt als Fristen unter anderem das Inkrafttreten der Pflichten mit 1. Oktober 2026, eine Registrierung bis 1. Jänner 2027 sowie spätere Fristen für Selbstdeklaration und mögliche Prüfungen durch die Cybersicherheitsbehörde.
Meldepflichten bei Sicherheitsvorfällen
Neben den Risikomanagementmaßnahmen sieht NIS-2 Meldepflichten bei erheblichen Cybersicherheitsvorfällen vor. Betroffene Einrichtungen müssen daher Prozesse einrichten, um Vorfälle rasch zu erkennen, intern zu bewerten und rechtzeitig zu melden.
Wichtig ist, dass Meldepflichten nicht erst im Ernstfall improvisiert werden. Unternehmen sollten vorab klären, wer intern entscheidet, wer meldet, welche Informationen benötigt werden und wie die Kommunikation mit Behörden, Kunden, Dienstleistern und Betroffenen erfolgt.
Bedeutung für Unternehmen
Für betroffene Unternehmen bedeutet NIS-2, dass Cybersicherheit stärker rechtlich verpflichtend wird. Es reicht nicht, einzelne technische Tools einzusetzen. Erforderlich ist ein nachvollziehbares, dokumentiertes und laufend aktualisiertes Sicherheits- und Risikomanagement.
Unternehmen sollten insbesondere prüfen:
- Fällt das Unternehmen unter das NISG 2026?
- Ist es als wesentliche oder wichtige Einrichtung einzustufen?
- Welche kritischen Systeme und Dienste bestehen?
- Welche Risiken wurden bereits bewertet?
- Gibt es ein aktuelles Sicherheitskonzept?
- Gibt es Notfallpläne und getestete Backups?
- Sind Lieferanten und Dienstleister vertraglich eingebunden?
- Gibt es Prozesse für Sicherheitsvorfälle und Meldungen?
- Wer trägt intern die Verantwortung?
- Sind Nachweise und Dokumentation vorhanden?
Zusammenfassung
Die gesetzlich verankerten Risikomanagementmaßnahmen der NIS-2-Richtlinie sollen die Cybersicherheit wesentlicher und wichtiger Einrichtungen verbessern. Sie verpflichten betroffene Einrichtungen zu technischen, organisatorischen und operativen Schutzmaßnahmen.
In Österreich wird NIS-2 durch das NISG 2026 umgesetzt. Die zentralen Pflichten betreffen Risikoanalyse, Sicherheitskonzepte, Vorfallsbewältigung, Business Continuity, Lieferkettensicherheit, sichere Beschaffung und Entwicklung, Schulungen, Zugriffskontrolle, Kryptografie und Nachweise über die Wirksamkeit der Maßnahmen.
Für Unternehmen ist entscheidend, NIS-2 nicht nur als IT-Thema zu verstehen. Die Vorgaben betreffen die gesamte Organisation und insbesondere auch die Verantwortung der Leitung.
