Die europäische NIS-2-Richtlinie zur Cybersecurity ist kurz vor Jahresende in nationales Recht umgesetzt worden. Ab 1. Oktober 2026 müssen Unternehmen in kritischen Sektoren, sowie Unternehmen in der Lieferkette, vorbereiten sein. Was Sie jetzt wissen müssen.
- Was muss ich als erstes tun, um fit für NIS-2 zu sein?
- Gilt die NIS-2-Verpflichtung automatisch für alle Unternehmen in einer Konzernstruktur?
- Das CyberRisk Rating
- Wie lange dauert es, bis ein CyberRisk Rating durchlaufen ist?
- Wie lange ist ein CyberRisk Rating gültig?
- Werden meine (Anm.: aus Sicht des Lieferanten) konkreten Antworten weitergegeben?
- Erhalte ich (Anm.: aus Sicht der kritischen Infrastruktur) die konkreten Antworten der Lieferanten?
- Ist das CyberRisk Rating anerkannt?
Was muss ich als erstes tun, um fit für NIS-2 zu sein?
Prüfen Sie jetzt, ob Sie von der NIS-2-Richtline betroffen sind. Wenn ja, legen Sie klare Zuständigkeiten in Ihrem Unternehmen fest. Wer macht was? Wer ist in der Verantwortung? Und erstellen Sie einen konkreten Maßnahmenplan. Was haben wir bereits gemacht? Was ist noch offen? Was fehlt bis 1. Oktober 2026.
Gilt die NIS-2-Verpflichtung automatisch für alle Unternehmen in einer Konzernstruktur?
Nicht zwingend. Es muss jede einzelne juristische Person, also jede einzelne Gesellschaft, für sich geprüft werden. Folgende Fragen muss ich mir dabei stellen: Ist die jeweilige Gesellschaft in einem NIS-2-relevanten Sektor? Wenn ja, erfülle ich die entsprechende Unternehmensgröße unter Berücksichtigung gesellschaftsrechtlicher Verflechtungen? Es kann somit durchaus sein, dass etwa eine Tochtergesellschaft nicht unter NIS-2 fällt, und damit würde es innerhalb der Unternehmensgruppe auch unterschiedliche Betroffenheiten geben.
Das CyberRisk Rating
Das CyberRisk Rating ist ein standardisiertes Verfahren zur Bewertung der Cyber-Resilienz von Unternehmen. Entwickelt wurde es von der KSV1870 Nimbusec GmbH auf Basis des Cyber-Risk-Schemas des Kompetenzzentrums Sicheres Österreich.
Kern des Modells sind 25 zentrale Fragen, die von einem Board mit Vertretern kritischer Infrastrukturen erarbeitet wurden und öffentlich einsehbar sind. Unternehmen können sich gezielt auf diese Anforderungen vorbereiten. Die Angaben werden anschließend von unabhängigen Experten überprüft und validiert.
Am Ende steht eine strukturierte Einschätzung der Cyber-Resilienz – etwa, ob ein Lieferant als robust oder als risikobehaftet einzustufen ist. Welche Konsequenzen daraus gezogen werden, entscheidet das jeweilige kritische Unternehmen selbst.
Für kleine und mittlere Unternehmen bietet das Rating einen niederschwelligen Einstieg in formalisierte Sicherheitsstandards. Es ist weniger aufwendig und kostengünstiger als eine ISO-Zertifizierung, setzt aber dennoch klare Mindestanforderungen.
Wie lange dauert es, bis ein CyberRisk Rating durchlaufen ist?
Der Aufwand ist auch vom jeweiligen Status quo abhängig und wie weit ein Unternehmen in Sachen Cybersecurity bereits ist. Im Normalfall müssen im Schnitt ein bis zwei Tage für die Abwicklung, Vorbereitung und Beantwortung der Fragen kalkuliert werden. Die Durchlaufzeit beträgt durchschnittlich vier Wochen. Auch deshalb, weil gewisse Daten erst erhoben werden müssen, dann kann es zu Nachfragen kommen und schlussendlich zur Bewertung.
Wie lange ist ein CyberRisk Rating gültig?
Grundsätzlich 12 Monate. Darüber hinaus ist das Rating weiterhin sichtbar aber mit dem Vermerk „Abgelaufen“ gekennzeichnet.
Werden meine (Anm.: aus Sicht des Lieferanten) konkreten Antworten weitergegeben?
Nein, die Antworten werden nicht weitergegeben. Sobald das CyberRisk Rating verfügbar ist, wird ausschließlich das jeweils gültige Rating als dreistellige Kennzahl angezeigt.
Erhalte ich (Anm.: aus Sicht der kritischen Infrastruktur) die konkreten Antworten der Lieferanten?
Nein, auch diese werden nicht weitergereicht. Es scheint ausschließlich das jeweilige Rating auf. Aber: Es ist möglich, über den CyberRisk Manager direkt beim Lieferanten die Antworten anzufordern, der diese auf freiwilliger Basis übermitteln kann.
Ist das CyberRisk Rating anerkannt?
Ja, das CyberRisk Rating by KSV1870 erfüllt laut der österreichischen operativen NIS-Behörde (BMI) die Vorgaben des NIS-Gesetzes bezüglich Lieferantenrisiken und es wird auch als Best Practice laut NIS-Fact-Sheet geführt.
