Available in German only.
Die Zeit der faulen Ausreden ist vorbei. Die Umsetzung der NIS2-Richtlinie in Österreich hat zwar auf sich warten lassen, doch nun soll sie kommen. Mit dem Gesetz müssen Unternehmen aus kritischen Sektoren und ihre Lieferanten belegen können, dass sie cyberresilient sind.
Anfang 2024 war das Thema Cybersicherheit in aller Munde. Die angespannte Erwartung rund um die Umsetzung der NIS2-Richtlinie sorgte in Österreich für viel Bewegung bei den Unternehmen. Doch nach der Ablehnung des ersten Gesetzesentwurfs im Sommer 2024 wurde es ruhig. Fast schien es, als wäre das Thema von der Bildfläche verschwunden. Doch nun nehmen die Spekulationen rund um die Umsetzung der EU-Richtlinie wieder Fahrt auf. Die europäische Cybersicherheitsbehörde ENISA veröffentlichte im Juni 2025 einen neuen technischen Leitfaden zur Unterstützung bei der Umsetzung der NIS2-Richtlinie für verschiedene Arten von Einrichtungen in den Bereichen digitale Infrastruktur, IKT-Dienstleistungsmanagement und digitale Anbieter. Ein klares Zeichen: Das nationale Gesetz soll kommen.
Doch was bedeutet das in der Praxis? Die Richtlinie und wohl auch das österreichische Gesetz sehen vor, dass Unternehmen der kritischen Infrastruktur ihre NIS-Konformität nachweislich belegen können müssen. Doch nicht nur die direkt betroffenen Unternehmen rücken in den Fokus, sondern auch deren Lieferkette. Und dadurch steigt die Zahl der indirekt betroffenen Unternehmen enorm an. Genau hier kommt das CyberRisk Rating by KSV1870 ins Spiel.
So einfach geht’s
Das CyberRisk Rating bietet Unternehmen eine einfache, kostengünstige Möglichkeit, ihre IT-Sicherheit mit einem anerkannten Nachweis zu belegen. Es basiert auf dem Schema des Kompetenzzentrum Sicheres Österreich, das von führenden Cyber-Risk-Managern aus allen Sektoren der kritischen Infrastruktur sowie Vertretern namhafter österreichischer Unternehmen entwickelt wurde. Somit ist das Rating für jede Branche und jeden Wirtschaftssektor geeignet. Der Erwerb des Nachweises ist vergleichsweise einfach, sofern Unternehmen ihre Cybersicherheit im Griff haben. In einem strukturierten Online-Assessment beantworten Unternehmen 25 praxisnahe Fragen zur eigenen Sicherheitslage, verständlich aufbereitet, branchengerecht und mit klaren Kriterien. Aus den Antworten ergibt sich ein Rating auf einer leicht verständlichen Skala, das sowohl national als auch international anerkannt ist. Sollten Anforderungen nicht erfüllt werden, so erfährt das Unternehmen, wo es ansetzen muss.
Sollen oder müssen?
Müssen Lieferanten wirklich geprüft werden? Die Antwort ist ganz klar: Ja. Lieferanten sind überwiegend kleine und mittelständische Unternehmen. Anders als große Konzerne verfügen viele KMU in der Regel nicht über eigene IT-Sicherheitsabteilungen oder spezialisiertes Personal. Stattdessen müssen sie ihre Ressourcen sorgsam priorisieren. Cybersecurity bleibt da leider häufig auf der Strecke. Denn Investitionen in moderne Schutzmaßnahmen, regelmäßige Schulungen oder komplexe Monitoring-Systeme sind kostspielig und werden oft zugunsten anderer Aufgaben zurückgestellt. Doch gerade diese Unternehmen sind wichtig in den Lieferketten und das macht sie auch zu einer potenziellen Schwachstelle. Denn wenn bei ihnen Sicherheitslücken entstehen, kann dies direkte Auswirkungen auf viele Geschäftspartner haben. Deshalb ist es für Unternehmen essenziell und bald auch gesetzlich gefordert, von ihren Lieferanten einen validierten Nachweis einzufordern.
Übermut tut selten gut
Schlechte Nachrichten aus der Praxis: 87,1 % der Unternehmen überschätzen ihre eigene Cybersicherheit. Das ist eine alarmierende Zahl, die aus unserem CyberRisk Report stammt und ein deutliches Warnsignal für alle Beteiligten. Viele Unternehmen haben eine verzerrte Wahrnehmung ihrer tatsächlichen Schutzmaßnahmen. Sie glauben, gut aufgestellt zu sein, während in Wirklichkeit grundlegende Sicherheitslücken bestehen, die Angreifern Tür und Tor öffnen. Diese Fehleinschätzung führt dazu, dass Risiken nicht rechtzeitig erkannt und angegangen werden. Blindes Vertrauen in die eigenen Lieferanten kann somit zu einem Einfallstor für Cyberangriffe werden, die im schlimmsten Fall Geschäftsbeziehungen gefährden.
Unmissverständlich cybersicher
Laut dem CyberRisk Report müssen 70 % der Angaben in unserem Online-Assessment für das CyberRisk Rating im Nachgang überprüft oder sogar korrigiert werden, da die initialen Antworten nicht schlüssig oder detailliert genug waren. Das bedeutet, dass Aussagen zur Cybersicherheit hinterfragt werden müssen, weil unterschiedliche Interpretationen von Fachbegriffen oft zu Missverständnissen führen. Ohne eine standardisierte, anerkannte Bewertung – wie das CyberRisk Rating by KSV1870 – bleibt der wahre Sicherheitsstatus eines Lieferanten also häufig verborgen. Ein professionelles Assessment durch einen Dritten stellt sicher, dass Unternehmen ein verlässliches Bild ihrer Lieferanten erhalten und so fundierte Entscheidungen treffen können.
Lieferkette in Gefahr
Last but not least: Ein Drittel aller Lieferanten erreichen nicht das vom Kunden gewünschte Sicherheitsniveau. In der Praxis zeigt sich, dass die Anforderungen der kritischen Infrastruktur an IT-Sicherheit und Cyberresilienz bei vielen Partnern nicht vollständig erfüllt werden. Gerade in komplexen Lieferketten mit zahlreichen Dienstleistern entsteht so ein „Sicherheitsleck“ an unerwarteter Stelle. Das ist besonders brisant, denn in sensiblen Branchen wie Energie, Telekommunikation oder Gesundheitswesen kann ein Ausfall oder eine Kompromittierung eines einzelnen Zulieferers gravierende Folgen für die gesamte Wertschöpfungskette haben. Deshalb ist es entscheidend, die Cybersecurity-Standards nicht nur zu kommunizieren, sondern auch systematisch zu kontrollieren und zu zertifizieren.
Mehr Informationen zum CyberRisk Rating
