Die EU-Cybersicherheitsrichtlinie NIS-2 steht vor der nationalen Umsetzung und stellt KMU vor Herausforderungen. Robert Staubmann, Geschäftsführer der KSV1870 Nimbusec GmbH, erklärt, warum Vorbereitung entscheidend ist, welche Fehler KMU machen und wie sie ihre Lieferketten schützen können.
Die EU-Cybersecurity-Richtlinie NIS-2 ist seit dem Vorjahr EU-weit in Kraft. Österreich hat die nationale Umsetzung aber noch nicht beschlossen. Wann rechnen Sie damit?
Wir warten alle sehr gespannt darauf. Ein konkretes Datum gibt es noch nicht, aber die Inhalte sind weitgehend klar, die Prozesse laufen, und wir erwarten bald einen ersten Vorschlag. Schon im Vorjahr hatte die Branche mit der Umsetzung gerechnet.
Wie gut sind Österreichs Unternehmen auf NIS-2 vorbereitet?
Man muss zwei Zielgruppen unterscheiden. Erstens die rund 4.000 Unternehmen, die direkt betroffen sind – darunter jene, die schon unter NIS-1 fielen, plus erweiterte kritische Sektoren. Zweitens die Zulieferer dieser kritischen Sektoren. Hier sprechen wir von vielen Zigtausenden Unternehmen, vor allem KMU. Sie verfügen meist über geringe IT-Sicherheitsbudgets, sind aber indirekt betroffen und müssen die Sicherheit in der Lieferkette gewährleisten.
Treffen da zwei Welten aufeinander?
Ganz genau. Auf der einen Seite stehen Unternehmen mit kleinen Budgets und wenig Erfahrung, auf der anderen die hohen Anforderungen der kritischen Sektoren.
Wo gibt es bei KMU Nachholbedarf?
Viele KMU müssen sich erst grundsätzlich mit dem Thema befassen und verstehen, dass sie betroffen sind. Dann gilt es, ein realistisches Selbstbild zu entwickeln: Wo stehe ich derzeit, und wie groß ist die Lücke zu den Anforderungen? Oft kann niemand klar beantworten, wer im Unternehmen überhaupt für Cybersecurity zuständig ist. Daraus ergeben sich viele Folgefragen. Das Zusammentragen der notwendigen Informationen ist im Regelfall keine Herkulesaufgabe, dennoch dauert es zumeist etwas länger als ein paar Minuten. Deshalb sollte der Prozess lieber heute als morgen gestartet werden. Umso früher Klarheit über das jeweilige Risikopotenzial herrscht, desto eher ist man für den Ernstfall auch gerüstet.
Ihr Cyber-Risk-Report zeigt, dass viele Betriebe ihre IT-Sicherheit überschätzen. Woran liegt das?
Diese Fehleinschätzung entsteht zumeist durch eine rein interne Betrachtungsweise der jeweiligen Unternehmen. KMU haben keine externen Consultants an der Hand. Erst durch eine externe Validierung wird klar, wo Lücken bestehen. Ein einfaches Beispiel ist das Passwortmanagement: Wenn ein paar Prozent meiner Lieferanten Passwörter mit weniger als acht Zeichen verwenden, entsteht eine riesige Sicherheitslücke. Einige Unternehmen glauben aber, ihre Richtlinien sind ausreichend.
Fast jedes vierte Unternehmen hat keinen Notfallplan. Ist das Fahrlässigkeit oder Überforderung?
Es ist vor allem ein Unterschied zwischen Selbstbild und Realität. Vor unserer Validierung sagten nur sechs Prozent der Unternehmen, keinen Notfallplan zu haben. Danach waren es 22 Prozent. Ein Notfallplan bedeutet mehr, als zu wissen, wo man im Notfall anruft oder eine Versicherung zu haben – man muss Szenarien durchspielen und Pläne auf ihre praktische Tauglichkeit testen.
Welche wirtschaftlichen Konsequenzen drohen bei NIS-2-Verstößen?
Direkt betroffene Unternehmen riskieren Bußgelder von sieben bis zehn Millionen Euro oder 1,4 bis 2 Prozent des Umsatzes. Für Zulieferer ist die größte Gefahr, dass Großkunden abspringen – das kann für KMU rasch existenzbedrohend sein. Hinzu kommen Image- und Reputationsschäden, die sich schnell herumsprechen können.
Als KSV1870 Nimbusec GmbH haben sie das CyberRisk Rating entwickelt. Wie unterscheidet es sich von anderen Sicherheitszertifizierungen?
Es basiert auf dem KSÖ Cyber-Risk-Schema des Kompetenzzentrums Sicheres Österreich. Ein Board mit Vertretern der kritischen Infrastruktur hat 25 zentrale Fragen entwickelt, die öffentlich zugänglich sind. Unternehmen können sich darauf vorbereiten, und Experten validieren anschließend die Antworten. Das Ergebnis zeigt, ob ein Lieferant eine hohe oder mangelhafte Resilienz hat. Die Entscheidung, was mit dem Lieferanten passiert, ist dann im kritischen Unternehmen vorzunehmen. Für KMU ist das Rating ein einfacher Einstieg in die Zertifizierungswelt – deutlich leichter und kostengünstiger als eine ISO-Zertifizierung. Wenn man als KMU auf den Worst Case vorbereitet ist, wenn man Notfallpläne hat, dann kann man auch ruhig schlafen trotz der hohen Angriffslage.
Wie weit reicht die Lieferkette, die von NIS-2 betroffen ist?
Aktuell gehen wir davon aus, dass die erste Ebene – also die direkten Lieferanten – berücksichtigt werden muss. Bei DORA, dem Digital Operational Resilience Act, muss man deutlich tiefer in die Lieferkette hineinblicken. Ob NIS-2 hier nachzieht, hängt von der nationalen Umsetzung ab.
Was erwarten Sie sich langfristig von NIS-2 und der Entwicklung der Cybersecurity in Österreich?
Ich bin optimistisch, dass NIS-2 die Resilienz deutlich steigern wird. Schon die intensive Auseinandersetzung mit dem Thema ist ein erster Schritt in die richtige Richtung und hat eine positive Wirkung. Entscheidend ist, in weiterer Folge auch konkrete Maßnahmen zu setzen, um den eigenen Betrieb zu schützen und sicherer vor Ausfällen unterschiedlicher Art zu machen. Angesichts von jährlich über 60.000 Fällen von Internetkriminalität allein in Österreich wird die Gefahr eines Angriffs weiter steigen. Einen Angriff kann man nicht verhindern – aber man kann sich vorbereiten und so besser reagieren.
Zur Person
Robert Staubmann (41) leitete ab 2021 als „Head of Innovation Lab“ das KSV1870 Innovationszentrum und trieb Entwicklungen wie das KSV1870 BonitätsLabel voran. 2024 wurde er zum Prokuristen der KSV1870 Information GmbH bestellt und verantwortete zentrale Bereiche wie Data Analytics, Produktmanagement und Innovation. Seit 1. Jänner 2025 ist Staubmann einer von zwei Geschäftsführern der KSV1870 Nimbusec GmbH und zuständig für Finanzen, Vertrieb, Personal, Marketing und Kommunikation.
