„Cyberrisiken sind ein Managementthema“

Verena Becker, Bundessparte Information und Consulting der Wirtschaftskammer Österreich, und Robert Staubmann, Geschäftsführer der KSV1870 Nimbusec GmbH, sprechen im Interview über die Reichweite von NIS-2 und die Folgen für Unternehmen und ihre Lieferketten. 

Welche wirtschaftlichen Folgen haben Cyberangriffe heute? 

Portrait von Robert Staubmann
Robert Staubmann
Geschäftsführer KSV1870 Nimbusec GmbH

Robert Staubmann: Neben Lösegeldforderungen drohen Produktionsstillstände, Umsatzverluste und Reputationsschäden. Oft sind auch personenbezogene Daten betroffen. Angriffe lassen sich nicht völlig verhindern, daher sind getestete Krisenpläne entscheidend. 

Verena Becker: Die wirtschaftlichen Folgen gehen heute weit über IT-Ausfälle hinaus: Produktionsverzögerungen, einhergehend mit Vertragsstrafen, Lieferkettenstörungen sowie behördliche Verfahren und Geldbußen sind reale Risiken. Das NISG 2026, das die Cybersicherheits-Richtlinie NIS-2 umsetzt, verpflichtet Unternehmen, Cyberrisiken strukturiert zu steuern und ihre Sicherheitsmaßnahmen nachweisbar umzusetzen. Wirtschaftliche Schäden und regulatorische Konsequenzen sind daher untrennbar miteinander verbunden. 

Warum wird die Reichweite von NIS-2 aus Ihrer Sicht von vielen Unternehmen noch immer unterschätzt? 

Staubmann: Es ist meist ein Mix aus Verdrängung, fehlendem technischem Verständnis und der Fehleinschätzung, Cybersecurity sei vor allem ein Kostenfaktor. Die Haltung „Uns wird schon nichts passieren“ ist noch immer weit verbreitet. Sie wirken präventiv. 

Becker: Im Unternehmensalltag fehlen oft Zeit und Ressourcen für eine systematische Auseinandersetzung mit Cybersecurity, umso mehr mit damit in Verbindung stehenden Rechtsakten. Fehlendes Wissen führt zu einer falschen Einschätzung, ob und wie das Unternehmen betroffen ist. 

Welche Betriebe sind besonders betroffen, und wo beginnen die Verpflichtungen entlang der Lieferkette? 

Staubmann: Direkt betroffen sind mittlere Unternehmen aus 18 kritischen Sektoren, von Energie über digitale Infrastruktur bis zum verarbeitenden Gewerbe. In Österreich rechnen wir mit rund 4.000 direkt betroffenen Unternehmen. Deutlich größer ist der Kreis über die Lieferkette: Auftragnehmer müssen je nach Risiko konkrete Sicherheitsvorgaben erfüllen. Dafür wurden standardisierte Anforderungskataloge und ein CyberRisk Rating entwickelt, das als einheitlicher Nachweis dient. 

Welche Mindestmaßnahmen sollten Unternehmen jetzt setzen? 

Porträtfoto Verena Becker
Verena Becker, Cybersecurity-Expertin in der WK Österreich 

Becker: Im Zentrum steht ein strukturiertes, dokumentiertes Risikomanagement mit klarer Verantwortung auf Leitungsebene. Dazu gehören Risikoanalyse, Vorfall- und Meldeprozesse sowie technische Schutzmaßnahmen wie Multi-Faktor-Authentifizierung, Patch-Management und belastbare Backups. Entscheidend sind Wirksamkeit und Nachweisbarkeit der Maßnahmen. 

Staubmann: Auch Lieferanten ohne direkte NISG-Pflicht stehen unter vertraglichem Druck. Sie brauchen ein belastbares Mindestniveau an Sicherheit und eine saubere Dokumentation gegenüber Auftraggebern. 

Wo liegen derzeit die größten Unsicherheiten? 

Becker: Zunächst bei der Frage, ob eine Einrichtung als wesentlich oder wichtig einzustufen ist. Unklar ist oft auch, was „angemessene“ Maßnahmen konkret bedeuten. Im Bereich der Lieferkette zeigt sich zusätzliche Unsicherheit bei der Ausgestaltung der Anforderungen gegenüber Dienstleistern. Hier geht es jedoch nicht um überbordende oder pauschale Pflichten, sondern um risikoadäquate, gemeinschaftlich tragfähige Lösungen für mehr Cybersicherheit. 

Wie verändert NIS-2 die Verantwortung des Managements? 

Das NISG 2026 verschiebt Cybersicherheit deutlich aus der reinen IT-Verantwortung in die Organverantwortung. 

Becker: Das NISG 2026 verschiebt Cybersicherheit deutlich aus der reinen IT-Verantwortung in die Organverantwortung. Die Geschäftsleitung muss Risiken aktiv steuern, Ressourcen bereitstellen, Berichte einfordern und die Wirksamkeit der Maßnahmen überwachen. Zudem sind spezifische Schulungen für das Top-Management vorgesehen, Cybersicherheit ist damit verbindlicher Bestandteil ordnungsgemäßer Unternehmensführung. 

Welche typischen Fehler sehen Sie bei der Vorbereitung? 

Becker: Ein zentraler Fehler ist, NIS-2 als reines IT-Projekt zu behandeln – ohne Einbindung der Leitungsebene und ohne Verankerung in der Unternehmens-Governance. Zudem werden häufig nur punktuelle Einzelmaßnahmen gesetzt, statt ein konsistentes, risikobasiertes Gesamtsystem aufzubauen. In der Lieferkette fehlt entweder eine strukturierte Risikobewertung, oder es werden pauschale, nicht praktikable Anforderungen gestellt – beides ist nicht risikoadäquat. 

Wie können KMU vorgehen, ohne überfordert zu werden? 

Becker: Schrittweise und risikoorientiert. Ausgangspunkt ist eine realistische Bestandsaufnahme der kritischen Prozesse, Systeme und Abhängigkeiten. Darauf aufbauend, sollten Maßnahmen risikobasiert umgesetzt werden. Entscheidend ist ein nachvollziehbarer, kontinuierlicher Verbesserungsprozess. 

Welche Rolle spielen Transparenz und Nachweisführung künftig im Geschäftsverkehr? 

Staubmann: Regelmäßige Evaluierungen und dokumentierte Nachweise werden zum Standard. Wer Sicherheitsmaßnahmen proaktiv belegen kann, beschleunigt Onboarding‑Prozesse und stärkt Vertrauen. Transparenz wird damit zunehmend zum Wettbewerbsfaktor. 

Was raten Sie Unternehmen, die glauben, nicht betroffen zu sein? 

Staubmann: Nicht auf das Bauchgefühl verlassen, sondern juristisch prüfen lassen. Selbst ohne direkte Betroffenheit empfiehlt es sich, Mindeststandards umzusetzen. Cybervorfälle können jeden Betrieb treffen – unabhängig von gesetzlichen Vorgaben. 

 

Aus dem Magazin forum.ksv - Ausgabe 01/2026.  

 

 

Credit 1: KSV1870 / Anna Rauchenberger 
Credit 2: Nadine Studeny Photography