Auch 2026 bleiben Cyberangriffe, wie ua durch das Allianz Risk Barometer 2026 belegt, das Top 1 Geschäftsrisiko für Unternehmen aller Größen. Kritische IT-Services und Datenverarbeitungsdienste sind im Visier von Attacken. Die Folge ist häufig eine Störung entlang der gesamten Lieferkette, die im Einzelfall sogar ganze Branchen betreffen kann.
Cybersicherheit – auch in der Lieferkette – bleibt daher nicht zu Unrecht auch im Fokus des Gesetzgebers. Gerade erst hat Österreich – mit erheblicher Verspätung endlich – das nationale NIS-2 Umsetzungsgesetz beschlossen. Nach dem Erlass des Gesetzes ist aber vor der Novelle: Letzte Woche hat die Europäische Kommission bereits einen Vorschlag für eine Anpassung des Cybersecurity Acts (CSA) und der NIS-2-Richtlinie vorgestellt (siehe hier). Im Fokus steht (i) die Schaffung eines Europäischen Cybersicherheitszertifizierungsrahmens zur Erleichterung grenzüberschreitender Tätigkeiten, (ii) die Stärkung der Europäischen Cybersicherheitsbehörde ENISA, (iii) eine Anpassung der NIS-2 sowie (iv) Lieferkettensicherheit in kritischen Sektoren. Ihre DORDA Cybersecurity Experten haben die Eckpunkte des neuen Entwurfs gerne für Sie zusammengefasst und im Lichte des jeweiligen aktuellen Umsetzungsstands der Cybersicherheits-Regulierung bewertet:
CSA-2 Paket
Kaum hat Österreich sein NIS-2 Gesetz (siehe zum NISG 2026 hier), steht schon eine Adaptierung vor der Tür. Folgende praxisorientierte Anpassungen werden derzeit in Brüssel erwogen:
- Die Größenkriterien sollen angepasst und eine neue Kategorie von Midcap-Unternehmen eingeführt werden, um KMU zu entlasten.
- Klarstellungen und Einschränkungen in den Sektoren Energie, Chemie und Gesundheit.
- Die Mitgliedstaaten sollen verpflichtet werden, sich auf die Post-Quantum-Computer Phase vorzubereiten und entsprechende Policies zur Vorbereitung zu erlassen.
- Der Informationsaustausch zu Lösegeldforderungen und -zahlungen im Kontext von Ransomware-Angriffen soll gestärkt werden.
Die Kommission greift zudem (wieder) ein (geo-)politisches Thema auf: So soll es Einschränkungen für Hochrisikolieferanten aus Drittstaaten geben, bei denen Bedenken hinsichtlich der Cybersicherheit bestehen. Abhängigkeiten und Einflussnahme aus dem EU-Ausland sollen damit reduziert werden. Im Fokus steht dabei wieder einmal der Telekom-Bereich.
Das sogenannte CSA-2-Paket ist ein Vorschlag der Kommission, der noch von Rat und Parlament beschlossen werden muss. Es bleibt abzuwarten, wie viele der Änderungen es über die Ziellinie schaffen.
Aktueller Handlungsbedarf
Es wird deutlich, dass das Thema Cybersicherheit ein klarer Fokus des Gesetzgebers bleibt. Auch die (Aufsichts-)Behörden schauen zu dem Thema nunmehr genauer hin. Für Unternehmen sollte daher nun die Vorbereitung auf das ab Oktober 2026 stufenweise in Kraft tretende Pflichtenspektrum des (i) NISG 2026 und (ii) Cyber Resilience Acts (CRA; siehe dazu unser Newsletter hier) liegen. Hilfreich sind dazu die bei Informationsveranstaltungen öffentlich geteilten Insights der für Netz- und Informationssicherheit zuständigen Abteilung des Innenministeriums, die das neue Bundesamt für Cybersicherheit bilden wird:
- Die Prüfung der Anwendbarkeit des NISG 2026 ist eine Aufgabe für Rechtskundige, nicht für die IT und CISOs. Nach Behördenschätzung werden tausende Unternehmen in Österreich im Anwendungsbereich sein. Konzerninterne IT-Dienstleister werden idR als Managed Service Provider unter das NISG 2026 fallen. Bei einer falschen Einstufung sind Verwaltungsstrafen möglich.
- Die Einrichtung des neuen Bundesamtes für Cybersicherheit soll im ersten Halbjahr 2026 erfolgen. Damit gibt es dann auch die zentrale Behörde.
- Binnen dreier Monate haben sich verpflichtete Unternehmen bei der Behörde zu registrieren. Die Registrierung wird über das Unternehmensserviceportal erfolgen; das Formular wird derzeit entwickelt.
- Für die von den Unternehmen abzugebende Selbstdeklaration – also das "Self-Assessment" zum Stand des Risikomanagements – wird die Behörde einen Fragebogen zur Verfügung stellen. Damit möchte die Behörde eine Indikation zum Umsetzungsstand erhalten.
- Die nationale Verordnung mit den Details zum Risikomanagement wird sich stark an der Durchführungsverordnung der Kommission orientieren.
- Außerdem wurde eine Reihe von Leitlinien und weitere Guidance angekündigt.
Die im CSA-2 Paket adressierte Cyber-Lieferkettensicherheit ist ebenfalls keine bloße Zukunftsmusik: Sie ist fester Bestandteil des NISG 2026 und des CRA. Gerade für langfristige Verträge besteht daher bereits jetzt akuter Handlungsbedarf für Unternehmen, um die Anforderungen rechtzeitig umzusetzen und Haftungsfolgen zu vermeiden. Hierzu müssen Verträge mit Lieferanten, IT-Dienstleistern und Kunden nachverhandelt und ergänzt werden.
Fazit & Ausblick
Angesichts hoher Strafandrohungen, möglicher Managementhaftung und des Risikos eines Marktausschlusses ist eine frühzeitige, ganzheitliche und gut dokumentierte Vorbereitung unerlässlich. Die wichtigsten Schritte sind:
