NIS2 Cybersecurity : Industrie im Cyberstress: NIS2-Panne bringt Unternehmen in Zugzwang

Die EU will für alle Unternehmen mehr Cybersicherheit schaffen – doch in Österreich ist es kompliziert. Die NIS2-Richtlinie hätte bis 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Der Entwurf des neuen Netz- und Informationssystemsicherheitsgesetzes (NISG 2024) scheiterte jedoch im Nationalrat an der nötigen Zweidrittelmehrheit. Gründe waren vor allem parteipolitische Streitigkeiten darüber, in welcher Form die Richtlinie umgesetzt und welches Ministerium dafür zuständig sein sollte. Damit bleibt unklar, wann die Regelung tatsächlich national wirksam wird. Die Europäische Kommission hat ein Vertragsverletzungsverfahren eingeleitet, weil Österreich die Frist verpasst hat.

Nie mehr die wichtigsten News aus der Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in ihrer Inbox. Hier geht’s zur Anmeldung!

Für die Industrie ändert das wenig am dringenden Handlungsbedarf. Die Anforderungen der Richtlinie wirken faktisch bereits und werden von europäischen Auftraggebern zunehmend eingefordert. Wer in der Lieferkette sichtbar bleiben will, muss strukturell nachziehen, unabhängig vom österreichischen Gesetzgebungsfahrplan.

>>> Lidl-Transformation: Vom Discounter zum Tech-Riesen 

Unternehmen, die abwarten, gehen ein operatives und wirtschaftliches Risiko ein: fehlende Compliance führt zu Ausschluss aus Ausschreibungen, zu Vertrauensverlust sowie zu verwundbaren Produktionssystemen. Vernetzte Anlagen, IoT-Sensorik und digitalisierte Fertigungsstrecken bilden eine kritische Angriffsfläche – und fordern strategisches Handeln der IT- und OT-Verantwortlichen.

Experten fordern deshalb, dass die Richtlinie endlich als nationales Gesetz umgesetzt wird. Bernd Pichlmayer, langjähriger Cybersicherheitsberater des Bundeskanzlers und CEO der Beratungsgesellschaft FTGG Cyber, bringt es auf den Punkt: „Ich glaube, wir wären gut beraten, wenn wir in Österreich eine parteiübergreifende Gesamtverantwortung für Sicherheitsthemen leben würden und aus solchen Themen kein politisches Kleingeld schlagen.“ Die derzeitige Vorgehensweise empfindet er als sowohl sicherheits- als auch industriepolitisch gefährlich. „Unternehmen haben im Bereich ihrer IT-Infrastrukturen lange Vorlaufzeiten und brauchen einen Planungshorizont – das gilt insbesondere für große Konzerne.“

Die NIS2-Richtlinie („Directive (EU) 2022/2555“) markiert einen Wendepunkt in der europäischen Cybersicherheitsarchitektur. Sie erweitert den Geltungsbereich massiv: Neben klassischen kritischen Infrastrukturen sind nun auch Maschinen- und Anlagenbau, Automobilzulieferer, Lebensmittelhersteller, chemische Betriebe und Entsorgungsunternehmen betroffen. Die Wirtschaftskammer rechnet mit etwa 4.000 betroffenen Firmen – vier- bis fünfmal so vielen wie bisher. 

>>> Cybersecurity: Die Lücke bleibt

Ausschlaggebend ist nicht nur die Unternehmensgröße, sondern auch die Rolle in der Lieferkette. Wer als Zulieferer für kritische Sektoren arbeitet, fällt automatisch unter die strengeren Auflagen.

Das Regelwerk verlangt weit mehr als klassische IT-Schutzmaßnahmen. Gefordert wird ein durchgängiges Risikomanagement, die Sicherung der Lieferketten, ein klar dokumentiertes Informationssicherheits-Managementsystem (ISMS) und Meldeprozesse für Sicherheitsvorfälle – teils innerhalb von 24 Stunden. Hinzu kommt eine neue Governance-Ebene: Geschäftsführungen und Vorstände müssen aktiv Verantwortung übernehmen und sich regelmäßig zu Cyberrisiken fortbilden.

Johann Schlaghuber, Head of Cybersecurity bei Siemens Österreich, rät dringend zu operativen Trockenübungen: „Die Meldepflicht ist ein kritischer Punkt. Unternehmen sollten ihre internen Abläufe einmal real durchspielen.“ Und er hat einen Tipp: „Über die CERT-Plattform kann man Testmeldungen absetzen und Prozesse validieren.“

In der produzierenden Wirtschaft galt IT-Sicherheit lange als Aufgabe der Technikabteilung. Das ändert sich mit NIS2 grundlegend. Erstmals sind Geschäftsführungen und Aufsichtsräte persönlich verantwortlich, wenn Sicherheitsvorgaben nicht eingehalten werden. Die Richtlinie schreibt Fortbildungen und regelmäßige Prüfungen durch die Leitungsebene vor.

Dr. Pichlmayer sieht darin eine unangenehme, aber notwendige Entwicklung: „Leider zeigt die Praxis immer noch sehr oft, dass CISOs und CIOs mit niedrigen Budgets hängengelassen werden. Angesichts der ausufernden Zahl von Cyberangriffe ist die Vorstandshaftung auch eine Ultima Ratio, um das Problem der Cyberkriminalität in den Griff zu bekommen.“ Für ihn geht es auch um ein neues Denken: „Es ist überraschend, wie viele Manager noch immer nicht am Radar haben, dass Cyberinsecurity mittlerweile zum größten Unternehmensrisiko geworden ist.“

Für die Industrie bedeutet das einen Kulturwandel. Sicherheitsstrategien müssen künftig mit der Unternehmensführung abgestimmt und in Entscheidungsprozesse integriert werden – ähnlich wie beim Umwelt- oder Qualitätsmanagement. In großen Industrieunternehmen entstehen derzeit eigene Cyber-Resilience-Teams, die IT, OT und Risikomanagement verzahnen.

Trotz fehlender nationaler Gesetzgebung raten Fachverbände und Beratungsunternehmen dringend, schon jetzt mit der Umsetzung zu beginnen. Die Etablierung eines ISMS, die Risikoanalyse und die Definition von Meldeprozessen dauern oft viele Monate. PwC, Deloitte und EFS Consulting empfehlen Unternehmen, heute schon Budgets und Verantwortlichkeiten zu klären, um nach Inkrafttreten des Gesetzes rasch handlungsfähig zu sein.

Die Wirtschaftskammer bietet mit dem „NIS2-Check“ und branchenspezifischen Leitfäden erste Orientierung. Förderprogramme unterstützen Investitionen in Cybersecurity-Maßnahmen – vor allem für KMU. Dennoch bleibt der Ressourcenmangel eine der größten Hürden. Fachkräfte für Informationssicherheit sind rar, viele Betriebe müssen externe Partner einbinden.

Unternehmen schieben die Umsetzung der neuen Richtlinie auch deshalb auf, weil sie hohe Kosten fürchten. Ein unbegründeter Reflex, wie Adrian Pinter, Siemens-Cybersecurity-Experte für Industrielösungen in Europa, betont: „Das ist ein Irrglaube. Unternehmen können viel über strukturierte Prozesse erreichen, ohne sofort große Summen zu investieren.“

Gemeinsam geht es einfacher

Siemens unterstützt wie viele andere Unternehmen bei der Transformation, teils auch kostenlos, etwa mit Checklisten und Blaupausen. Pinter: „Wir empfehlen, eine GAP-Analyse auf den NIS-Standard zu machen und dann Schritt für Schritt vorzugehen.“

Die Lieferkettensicherheit gilt als einer der heikelsten Punkte der Richtlinie. Hersteller müssen nachweisen, dass auch ihre Dienstleister und Zulieferer ausreichende Sicherheitsstandards erfüllen. Für Unternehmen, die in komplexen Wertschöpfungsketten agieren, ist das organisatorisch und rechtlich eine enorme Herausforderung.

„Wir versuchen unseren Lieferanten zu helfen, im Level und in der Maturity besser zu werden“, sagt Schlaghuber. Umgekehrt stehen die Lieferanten aber ebenfalls in der Pflicht: „Wir passen unsere Verträge entsprechend an und verpflichten unsere Partner, Sicherheitsanforderungen einzuhalten. Technische und organisatorische Maßnahmen sind das Minimum. Besser sind Zertifizierungen wie ISO 27001 – und idealerweise ein Recht auf Audits. Im Zweifelsfall müssen wir sicherheitskritische Lieferanten ersetzen, wenn wir im Dialog nichts erreichen.“

Langfristig soll NIS2 ein gemeinsames Schutzniveau in der gesamten EU schaffen. Das betrifft nicht nur IT-Systeme, sondern auch Produktionsnetze, Steuerungssysteme und industrielle Kommunikationsstrukturen. Die Richtlinie fordert Resilienz – also die Fähigkeit, auch im Angriffsfall weiterarbeiten zu können.

„Das ist der Punkt, auf den diese Regelung abzielt. Die Bösen werden aggressiver – und wir müssen nachziehen und die Gartenmauer ein oder zwei Ziegel höher bauen“, macht es Schlaghuber anschaulich.  

Immerhin: Jetzt scheint endlich Bewegung in die Umsetzung zu kommen.  Ende November hat der Ministerrat per Umlaufbeschluss das NISG 2026 beschlossen. Der Gesetzesentwurf ist im Nationalrat eingelangt und wird in weiterer Folge dem Innenausschuss zugewiesen.