Das Bewusstsein für die wirtschaftlichen Folgen möglicher Cyberangriffe ist in vielen Unternehmen noch nicht ausreichend vorhanden.
Wien, 11.05.2026 – 17 Prozent der österreichischen Unternehmen sind vom NISG 2026, das nach Ende der Übergangsfrist ab 1. Oktober 2026 in Österreich Realität wird, betroffen. Rund ein Drittel (31 %) der Betroffenen wird die Vorgaben jedoch nicht rechtzeitig erfüllen. Damit riskieren die Betriebe Umsatzeinbußen und unter Umständen ihre wirtschaftliche Stabilität, obwohl 75 Prozent der betroffenen Unternehmen über einen konkreten Maßnahmenplan zur Implementierung notwendiger Sicherheitsvorkehrungen verfügen. Das geht aus der aktuellen Austrian-Business-Check-Umfrage hervor. Damit das nicht passiert, unterstützt der KSV1870 bei der Umsetzung erforderlicher gesetzlicher Vorgaben mit dem CyberRisk Rating.
Die Zahl der Cyberangriffe hat in den vergangenen Jahren in Österreich deutlich zugenommen. Allein im Vorjahr wurden über 63.000 Fälle von Internetkriminalität registriert. Davon entfielen laut kriminalpolizeilicher Anzeigenstatistik 2025 rund 22.000 Fälle auf Cybercrime. Infolge dieser Entwicklung sehen sich zunehmend mehr Unternehmen mit wirtschaftlichen Schäden konfrontiert. Doch an dieser Stelle spielt nicht nur der finanzielle Aspekt eine Rolle, sondern auch die Handlungsfähigkeit der Betriebe. „Mit der EU-weiten Harmonisierung soll Europas digitale Resilienz gestärkt werden. Nachdem in Österreich der erste Versuch, die EU-Richtlinie in Form eines eigenen Gesetzes umzusetzen, 2024 gescheitert ist, erfolgt jetzt ein wesentlicher Schritt für mehr Cybersicherheit“, erklärt Ricardo-José Vybiral, CEO der KSV1870 Holding AG. Ziel des neuen Gesetzes ist es, für ein höheres Sicherheitsniveau von Netz- und Informationssystemen zu sorgen sowie die Resilienz und die Reaktion auf Sicherheitsvorfälle deutlich zu verbessern.
Umsetzung bleibt häufig die größte Hürde
Ab dem 1. Oktober 2026 müssen sowohl Betriebe kritischer Sektoren als auch deren Lieferanten einen Nachweis über entsprechende Cybersicherheitsmaßnahmen im Unternehmen vorlegen. Liegt dieser Nachweis nicht vor, wird es künftig deutlich schwieriger, Umsätze zu erzielen, da der gesetzliche Rahmen für Geschäftsbeziehungen zwischen diesen beiden Partnern ab diesem Zeitpunkt nicht mehr vollständig erfüllt ist. Von dieser Regulatorik sind in Österreich laut Umfrage 17 Prozent der Unternehmen betroffen. Doch obwohl das Zeitfenster zur Implementierung entsprechender Vorkehrungen bis Anfang Oktober immer knapper wird, scheint das Bewusstsein für die wirtschaftlichen Folgen eines Cyberangriffs noch nicht überall angekommen zu sein. Zwar liegt in drei von vier Betrieben ein konkreter Maßnahmenkatalog zur Senkung von Cyberrisiken vor, gleichzeitig scheitert rund ein Drittel (31 %) an der fristgerechten Umsetzung. „Zwischen theoretischer Erkenntnis und praktischer Umsetzung klafft nach wie vor eine Lücke. Angesichts der zahlreichen aktuellen Risiken ist es unverständlich, dass viele Betriebe an der Umsetzung scheitern und damit ihre wirtschaftliche Stabilität aufs Spiel setzen“, erklärt Vybiral und ergänzt: „Gerade dort, wo es die Unternehmen selbst in der Hand haben, Risiken zu senken, sollten sie anpacken und nicht zögern.“
CyberRisk Rating by KSV1870 erkennt Schwachstellen und reduziert Cyberrisiko
„In Anbetracht der steigenden Cybergefahr braucht es praktikable Lösungen zur Risikominimierung. Hier unterstützt der KSV1870 seit einigen Jahren mit dem CyberRisk Rating“, erklärt Robert Staubmann, Geschäftsführer der KSV1870 Nimbusec GmbH. Das Rating bewertet Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Dahinter steht ein standardisiertes, mehrstufiges Verfahren, das auf dem Cyber-Risk-Schema des KSÖ (Kompetenzzentrum Sicheres Österreich) basiert. Es wird jährlich dem entsprechenden Stand der Technik aktualisiert und ermöglicht eine schnelle, kosteneffiziente und gesetzeskonforme Bewertung von Lieferantenrisiken. Anhand von 25 Fragen wird das Sicherheitsniveau des jeweiligen Lieferanten eruiert und eine entsprechende Risikoeinschätzung auf einer siebenteiligen Skala vorgenommen. Die Skala reicht von minimalem bis maximalem Risiko. Je nach Bedarf gibt es folgende Ratings: A, B und A+. Beim A-Rating werden sämtliche 25 Anforderungen des KSÖ bewertet, die Plusversion enthält darüber hinaus ein Audit. Ein B-Rating bedeutet, dass ein Basis-Cyber-Schutzniveau (14 erfüllte Anforderungen) vorhanden ist.
Eurovision Song Contest: ORF setzt auf CyberRisk Rating
Die KSV1870 Nimbusec GmbH ist im Vorfeld des größten Musikevents des Jahres Teil einer sicherheitstechnischen Überprüfung von jenen Event-Lieferanten, die seitens des ORF genannt wurden. Im Zuge dessen wurden diese Lieferanten in den vergangenen Wochen einer umfassenden Cyberrisiko-Prüfung unterzogen. Dazu hat die Tochtergesellschaft der KSV1870 Holding AG unter anderem das sogenannte CyberRisk Rating erstellt.
CyberRisk Manager hilft, Überblick zu behalten
Darüber hinaus hat die KSV1870 Nimbusec GmbH dem ORF den sogenannten CyberRisk Manager zur Verfügung gestellt. Diese Lösung wurde entwickelt, damit Unternehmen mit einer großen Anzahl an Lieferanten den Überblick behalten und gegebenenfalls rasch Maßnahmen setzen können, sollte sich das Cyberrisiko eines Geschäftspartners verändern. Der Manager unterstützt dabei, Sicherheitsnachweise von Unternehmen zu verwalten und Risiken zu bewerten. Innerhalb der Lösung kann das Unternehmen Lieferanten kontaktieren und CyberRisk Ratings beauftragen. „Mit dem CyberRisk Manager behält der ORF den Überblick über das Cyber-Sicherheitsniveau einer Vielzahl von Lieferanten und kann sich voll und ganz auf die Durchführung dieses einzigartigen Musikevents konzentrieren“, so Staubmann.
