Cybersecurity in Österreichs ­Unternehmen

Cyberangriffe nehmen weltweit zu. In steigendem Ausmaß werden Cyberattacken laut Expert:innen im Rahmen geopolitischer Auseinandersetzungen eingesetzt. Gerade für sensible Bereiche wie die Gesundheits- und Pharmabranche besteht ein erhöhtes Risiko, ins Visier von Cyberkriminellen zu geraten.

In welchem Ausmaß Österreich betroffen ist, zeigen die aktuellen Zahlen der Studie „Cybersecurity in Österreich“¹, die das Wirtschaftsprüfungs- und Beratungsunternehmen KPMG gemeinsam mit dem Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrums Sicheres Österreich (KSÖ) im Mai 2025 bereits zum 10. Mal veröffentlicht hat. Diese zeigt:

• Jeder 7. Cyberangriff in Österreich ist erfolgreich.
• Bei jedem 3. Unternehmen waren deren Lieferanten oder Dienstleister Opfer von Cyberangriffen, was wesentliche Auswirkungen auf das eigene Unternehmen hatte.
• 55% der Befragten sagen, dass Österreich nicht gut darauf vorbereitet ist, auf schwerwiegende Cyberangriffe gegen die kritische Infrastruktur zu reagieren.

Österreich ist bei NIS-2 säumig

Eigentlich hätte die EU-Cybersicherheitsrichtlinie NIS-2 (NIS steht für Netz- und Informationssysteme) vor rund einem Jahr in nationales Recht umgesetzt werden müssen. Die Frist dafür endete am 17. Oktober 2024, doch in Österreich – und anderen EU-Ländern – ist die Umsetzung noch nicht erfolgt. Derzeit ist nicht absehbar, wann dies der Fall sein wird; dies hängt vom parlamentarischen Gesetzgebungsprozess ab. Dabei raten Expert:innen durchaus zu etwas mehr Tempo: Es geht bei NIS-2 immerhin um den Schutz kritischer Infrastruktur. Denn während von der derzeit in Österreich noch geltenden Vorgänger-Richtlinie NIS-1 lediglich rund 100 Unternehmen in Österreich betroffen sind, wird bei der NIS-2-Richtlinie der Anwendungsbereich auf mehrere Tausend Unternehmen ausgeweitet: NIS-2 gilt für große und mittlere Unternehmen aus Sektoren mit hoher Kritikalität – wozu auch das Gesundheitswesen zählt.

Mag.^a Nadine Leitner, CERHA HEMPEL Rechtsanwälte GmbH; © Marlies Riepl

Zwar ist dieser Bereich auch bereits von NIS-1 betroffen, doch wurden bei NIS-2 auch ­innerhalb der bereits betroffenen Sektoren Ergänzungen vorgenommen. „So fallen nunmehr unter bestimmten Voraussetzungen auch Krankenhäuser, einschließlich kleinerer Einrichtungen, medizinische Versorgungszentren, ärztliche Praxen, Apotheken, Reha- und Pflegeeinrichtungen sowie Hersteller von Medizintechnik und systemkritischen medizinischen Produkten in den Anwendungsbereich der NIS-2-Richtlinie“, erklärt Mag.^a Nadine Leitner, Rechtsan­wältin und Partnerin bei CERHA HEMPEL Rechtsanwälte GmbH. Zudem wurde inhaltlich ebenfalls nachgeschärft: „Strengere ­Sicherheitsanforderungen, eine klarere Regulierung der Branchen sowie neue Durchsetzungs- und Sanktionsmöglichkeiten sind wesentliche Unterschiede zur NIS-1-Richtlinie“, so Leitner weiter. Außerdem zu bedenken: Dienstleister und Lieferanten von Unternehmen, für die NIS-2 gilt, müssen ebenfalls die entsprechenden Sicherheitsvorkehrungen einhalten.

Hohes Cybersicherheitsniveau ­erreichen

„Ziel der NIS-2-Richtlinie ist einerseits ein gemeinsames hohes Cybersicherheitsniveau in allen EU-Mitgliedsstaaten, anderseits wird aber auch der Geltungsbereich im Gegensatz zur NIS-1-Richtlinie erweitert und die länderübergreifende Zusammenarbeit bei Cyberbedrohungen verbessert“, betont Leitner. Die wesentlichen Anforderungen an Unternehmen, die von der Anwendung der NIS-2-Richtlinie erfasst sind, gliedern sich in die Bereiche Governance, Risikomanagementmaßnahmen im Bereich der Cybersicherheit und Berichtspflichten.

Wenngleich derzeit nicht absehbar ist, wann die Richtlinie in Österreich in Kraft treten wird, rät Leitner heimischen Unternehmen, Ressourcen für die Umsetzung einzuplanen, Verantwortlichkeiten festzulegen, eine Risikoanalyse durchzuführen sowie entsprechende Maßnahmen zu ermitteln und umzusetzen (siehe Kasten).

Denn sofern zukünftig das nationale Gesetz zur NIS-2-Richtlinie auf ein Pharmaunternehmen anwendbar ist, hat dieses seine Sicherheitsstandards anhand der Bestimmungen entsprechend anzupassen. Dabei sind u.a. folgende Aspekte zu beachten, fasst Leitner zusammen: „Die NIS-2-Richtlinie legt einen stärkeren Fokus auf Cybersicherheit und Risikomanagement sowie auf Schulungen und Sensibilisierungsmaßnahmen der Mitarbeitenden, insbesondere aber der Leitungsorgane. Des Weiteren werden strengere Meldepflichten für Sicherheitsvorfälle eingeführt. Die Geschäftsleitung ist nun direkt für die Cybersicherheit und die Sicherstellung des Betriebs verantwortlich, was bei manchen ein Umdenken in der Unternehmensführung und die Schaffung neuer Strukturen erfordert.“

Eröffnung neuer Marktchancen

Auch wenn in einem ersten Schritt erhöhte Kosten und Aufwände auf die von der NIS-2-Richtlinie betroffenen Unternehmen zukommen, werden sich die Kosten für die Behebung von Sicherheitsvorfällen in Zukunft durch den verbesserten Schutz reduzieren, ist Leitner überzeugt. Zudem sieht sie weitere Vorteile für Unternehmen: „Durch ein nachweislich hohes Cybersicherheitsniveau kann auch das Vertrauen von Kundinnen und Kunden, Geschäftspartnerinnen und -partnern sowie Behörden gestärkt werden. Weiters kann sich künftig die Erfüllung der NIS-2-Anforderungen als Qualitätsmerkmal etablieren und bei Ausschreibungen oder Partnerschaften zum entscheidenden Faktor werden.“