Wien (OTS) – 17 Prozent der österreichischen Unternehmen sind vom
NISG 2026, das
nach Ende der Übergangsfrist ab 1. Oktober 2026 in Österreich
Realität wird, betroffen. Rund ein Drittel (31 %) der Betroffenen
wird die Vorgaben jedoch nicht rechtzeitig erfüllen. Damit riskieren
die Betriebe Umsatzeinbußen und unter Umständen ihre wirtschaftliche
Stabilität, obwohl 75 Prozent der betroffenen Unternehmen über einen
konkreten Maßnahmenplan zur Implementierung notwendiger
Sicherheitsvorkehrungen verfügen. Das geht aus der aktuellen Austrian
-Business-Check-Umfrage hervor. Damit das nicht passiert, unterstützt
der KSV1870 bei der Umsetzung erforderlicher gesetzlicher Vorgaben
mit dem CyberRisk Rating.
Die Zahl der Cyberangriffe hat in den vergangenen Jahren in
Österreich deutlich zugenommen. Allein im Vorjahr wurden über 63.000
Fälle von Internetkriminalität registriert. Davon entfielen laut
kriminalpolizeilicher Anzeigenstatistik 2025 rund 22.000 Fälle auf
Cybercrime. Infolge dieser Entwicklung sehen sich zunehmend mehr
Unternehmen mit wirtschaftlichen Schäden konfrontiert. Doch an dieser
Stelle spielt nicht nur der finanzielle Aspekt eine Rolle, sondern
auch die Handlungsfähigkeit der Betriebe. „Mit der EU-weiten
Harmonisierung soll Europas digitale Resilienz gestärkt werden.
Nachdem in Österreich der erste Versuch, die EU-Richtlinie in Form
eines eigenen Gesetzes umzusetzen, 2024 gescheitert ist, erfolgt
jetzt ein wesentlicher Schritt für mehr Cybersicherheit“, erklärt
Ricardo-José Vybiral, CEO der KSV1870 Holding AG. Ziel des neuen
Gesetzes ist es, für ein höheres Sicherheitsniveau von Netz- und
Informationssystemen zu sorgen sowie die Resilienz und die Reaktion
auf Sicherheitsvorfälle deutlich zu verbessern.
Umsetzung bleibt häufig die größte Hürde
Ab dem 1. Oktober 2026 müssen sowohl Betriebe kritischer Sektoren als
auch deren Lieferanten einen Nachweis über entsprechende
Cybersicherheitsmaßnahmen im Unternehmen vorlegen. Liegt dieser
Nachweis nicht vor, wird es künftig deutlich schwieriger, Umsätze zu
erzielen, da der gesetzliche Rahmen für Geschäftsbeziehungen zwischen
diesen beiden Partnern ab diesem Zeitpunkt nicht mehr vollständig
erfüllt ist. Von dieser Regulatorik sind in Österreich laut Umfrage
17 Prozent der Unternehmen betroffen. Doch obwohl das Zeitfenster zur
Implementierung entsprechender Vorkehrungen bis Anfang Oktober immer
knapper wird, scheint das Bewusstsein für die wirtschaftlichen Folgen
eines Cyberangriffs noch nicht überall angekommen zu sein. Zwar liegt
in drei von vier Betrieben ein konkreter Maßnahmenkatalog zur Senkung
von Cyberrisiken vor, gleichzeitig scheitert rund ein Drittel
(31 %) an der fristgerechten Umsetzung. „Zwischen theoretischer
Erkenntnis und praktischer Umsetzung klafft nach wie vor eine Lücke.
Angesichts der zahlreichen aktuellen Risiken ist es unverständlich,
dass viele Betriebe an der Umsetzung scheitern und damit ihre
wirtschaftliche Stabilität aufs Spiel setzen“, erklärt Vybiral und
ergänzt: „Gerade dort, wo es die Unternehmen selbst in der Hand
haben, Risiken zu senken, sollten sie anpacken und nicht zögern.“
CyberRisk Rating by KSV1870 erkennt Schwachstellen und reduziert
Cyberrisiko
„In Anbetracht der steigenden Cybergefahr braucht es praktikable
Lösungen zur Risikominimierung. Hier unterstützt der KSV1870 seit
einigen Jahren mit dem CyberRisk Rating“, erklärt Robert Staubmann,
Geschäftsführer der KSV1870 Nimbusec GmbH. Das Rating bewertet
Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Dahinter
steht ein standardisiertes, mehrstufiges Verfahren, das auf dem Cyber
-Risk-Schema des KSÖ (Kompetenzzentrum Sicheres Österreich) basiert.
Es wird jährlich dem entsprechenden Stand der Technik aktualisiert
und ermöglicht eine schnelle, kosteneffiziente und gesetzeskonforme
Bewertung von Lieferantenrisiken. Anhand von 25 Fragen wird das
Sicherheitsniveau des jeweiligen Lieferanten eruiert und eine
entsprechende Risikoeinschätzung auf einer siebenteiligen Skala
vorgenommen. Die Skala reicht von minimalem bis maximalem Risiko. Je
nach Bedarf gibt es folgende Ratings: A, B und A+. Beim A-Rating
werden sämtliche 25 Anforderungen des KSÖ bewertet, die Plusversion
enthält darüber hinaus ein Audit. Ein B-Rating bedeutet, dass ein
Basis-Cyber-Schutzniveau (14 erfüllte Anforderungen) vorhanden ist.
Eurovision Song Contest: ORF setzt auf CyberRisk Rating
Die KSV1870 Nimbusec GmbH ist im Vorfeld des größten Musikevents des
Jahres Teil einer sicherheitstechnischen Überprüfung von jenen Event-
Lieferanten, die seitens des ORF genannt wurden. Im Zuge dessen
wurden diese Lieferanten in den vergangenen Wochen einer umfassenden
Cyberrisiko-Prüfung unterzogen. Dazu hat die Tochtergesellschaft der
KSV1870 Holding AG unter anderem das sogenannte CyberRisk Rating
erstellt.
CyberRisk Manager hilft, Überblick zu behalten
Darüber hinaus hat die KSV1870 Nimbusec GmbH dem ORF den sogenannten
CyberRisk Manager zur Verfügung gestellt. Diese Lösung wurde
entwickelt, damit Unternehmen mit einer großen Anzahl an Lieferanten
den Überblick behalten und gegebenenfalls rasch Maßnahmen setzen
können, sollte sich das Cyberrisiko eines Geschäftspartners
verändern. Der Manager unterstützt dabei, Sicherheitsnachweise von
Unternehmen zu verwalten und Risiken zu bewerten. Innerhalb der
Lösung kann das Unternehmen Lieferanten kontaktieren und CyberRisk
Ratings beauftragen. „Mit dem CyberRisk Manager behält der ORF den
Überblick über das Cyber-Sicherheitsniveau einer Vielzahl von
Lieferanten und kann sich voll und ganz auf die Durchführung dieses
einzigartigen Musikevents konzentrieren“, so Staubmann.
Zur Umfrage: Im Rahmen des Austrian Business Checks befragt der
KSV1870 zweimal pro Jahr Unternehmen in Österreich, wie es um ihre
wirtschaftliche Situation bestellt ist. An der aktuellen Umfrage, die
gemeinsam mit dem Markt- und Meinungsforschungsinstitut Marketagent
durchgeführt wurde, haben im März 2026 rund 1.100 Unternehmen
teilgenommen.
