Interview Vol. 2: Wie gehen die IT Security Experten R. Neuwirth und T. Bleier mit der neuen NIS-2-Gesetzgebung um?

Im zweiten Teil des Interviews zu den steigenden Anforderungen der NIS-2-Gesetzgebung kommen erneut Richard Neuwirth (ÖBB-Holding AG), Thomas Bleier (B-SEC better secure GmbH & Co KG) zu Wort. Aufbauend auf den bisherigen Erkenntnissen vertiefen die ausgewiesenen Experten aus Praxis und Beratung zentrale Aspekte der Umsetzung und beleuchten den weiter zunehmenden Bedarf an geprüfter Expertise. Ihre Einblicke verdeutlichen einmal mehr die Bedeutung fundierter Qualifizierung – ein Bedarf, den die UBIT-Akademie incite mit ihren Weiterbildungsangeboten zu NIS 2 gezielt adressiert.

termin buchen!

Die Lieferketten-Abhängigkeit ist ein Risikofaktor. Welche Ansätze empfehlen Sie, um Cyber-Resilienz in der Supply Chain sicherzustellen und welche Best Practices zur Systemhärtung und zur Verwaltung sensibler Zugriffsrechte setzen Sie regelmäßig ein?

Hr. Bleier: Ein zentraler Ansatz zur Erhöhung der Cyber-Resilienz in der Supply Chain ist eine risikobasierte Bewertung aller Lieferanten, kombiniert mit klaren Sicherheitsanforderungen und regelmäßigen Bewertungen, bis hin zu Lieferantenaudits. Besonders wichtig ist Transparenz: Unternehmen sollten wissen, welche kritischen Dienste und Komponenten von welchen Drittparteien abhängen, und sicherstellen, dass diese Partner angemessene Sicherheitsstandards erfüllen – beispielsweise über Zertifizierungen. Ebenso essenziell ist der Austausch über Sicherheitsvorfälle und Schwachstellen entlang der Lieferkette, um die gemeinsame Reaktionsfähigkeit zu stärken.

Ein Best Practice zur Härtung der eigenen Systeme auch in Bezug auf Lieferketten-Abhängigkeiten ist die durchgängige Umsetzung des „Least-Privilege“ Prinzips: Benutzer sollten nur die notwendigen Zugriffsrechte auf den jeweiligen Systemen erhalten, um im Falle einer Kompromittierung eines Accounts die Auswirkungen möglichst gering zu halten. Die betrifft natürlich auch die Zugänge von Lieferanten oder Dritten. Zusammen mit einem Monitoring um verdächtige Aktivitäten rechtzeitig zu erkennen kann so der Schaden im Falle eines Problems in der Lieferkette möglichst gering gehalten werden.

Die persönliche Verantwortung von Führungskräften ist ein Kernelement der NIS-2-Richtlinie/NISG 2026. Wie bereiten Sie Management-Teams und Vorstände auf diese neue Form der Haftung vor? Welche Awareness-Formate, Trainings und Entscheidungsgrundlagen sind aus Ihrer Sicht unverzichtbar?

Hr. Neuwirth: Wir haben bereits 2023 begonnen, interne Stakeholder wie Compliance und Recht abzuholen und auf das Geldbußen- und Haftungsrisiko aufmerksam zu machen und haben auch einen internen NIS-2 Infopoint mit den wesentlichen Infos und auch FAQs zum Thema aufgebaut. 2024 haben wir beispielsweise eine große Informationsveranstaltung für Führungskräfte im Konzern abgehalten und die Aufzeichnung davon allen Mitarbeitenden bereitgestellt. Es gab zudem Beiträge im Intranet sowie zahlreiche spezifische interne Vorträge und Briefings zum Thema. Darüber hinaus haben wir 2025 spezifische Schulungen für Leitungsorgane im Sinne des zuletzt verfügbaren Gesetzesantrages zum NISG 2024 durchgeführt. Uns ist wichtig, Mitarbeitende und Führungskräfte mit jenen Informationen zu versorgen, die für sie relevant sind und gleichzeitig ein breites Informationsangebot bereitzustellen, ohne zu überfordern.

Blick nach vorn: Wie schätzen Sie die Entwicklung der NIS-2-Umsetzung in Österreich in den kommenden Jahren ein – sowohl aus regulatorischer Sicht als auch im Hinblick auf die Marktentwicklung? Welche Trends erwarten Sie dabei insbesondere bei Sicherheitsstandards, Akkreditierungen und Beratungsmodellen im Bereich der Informationssicherheit? Und abschließend gefragt: Welchen Rat würden Sie Kolleg:innen geben, die überlegen, die Zertifizierung zum Certified NIS Expert zu absolvieren?

Hr. Bleier: Nachdem das Umsetzungsgesetz zur NIS2 Richtlinie jetzt im Parlament beschlossen wurde, ist zu erwarten, dass die begleitenden Verordnungen und Vorgaben bald veröffentlicht werden und damit die konkrete Ausgestaltung der Umsetzung in Österreich feststeht. Inhaltlich wird sich das ganze vermutlich sehr an der Durchführungsverordnung für die digitale Infrastruktur anlehnen, da diese ja schon vom EU Gesetzgeber veröffentlicht wurde und es unwahrscheinlich ist, dass der nationale Gesetzgeber davon inhaltlich stark abweicht. Daher kann diese Verordnung heute schon als Basis dienen, um sowohl die Planung von Maßnahmen im eigenen Unternehmen als auch Beratungsangebote daran auszurichten. 

Mit den im Umsetzungsgesetz definierten Fristen für die Unternehmen entsteht natürlich auch eine zusätzliche Nachfrage nach Beratungsangeboten und Nachweismöglichkeiten, da viele Geschäftsführer bzw. Vorstände im Unternehmen auf der Suche nach Unterstützung in diesem Bereich sind. Hier bietet sich gerade die Zertifizierung zum NIS Expert als Möglichkeit für Berater an, auch nach außen die Kompetenz in diesem Thema nachzuweisen.

Perspektive des Anbieters und Qualitätsgarantie - Als Anbieter der Zertifizierung können Sie die Expertise, die Standards und den Prüfungsprozess aus erster Hand gestalten. Welche Weiterentwicklungen oder Anpassungen planen Sie, um die Zertifizierung auch in Zukunft relevant und praxisnah zu halten?

Hr. Schweighofer: Gemeinsam mit unserem Team von Expert:innen aus dem Bereich Cybersicherheit, die aus Ministerien, Interessensvertretungen und relevanten Unternehmen stammen, sind wir stets über die neuesten Entwicklungen in Bezug auf Regulatorik und Bedrohungslage informiert. Zudem hilft uns die laufende Beobachtung der Lage in anderen europäischen Ländern. Dementsprechend werden die Ausbildungsformate laufend angepasst und es gibt periodische Update-Formate für diejenigen, die bereits zertifiziert sind und ihre laufenden Weiterbildungsbedürfnisse und -verpflichtungen erfüllen möchten.

Wie beurteilen Sie die Rolle Ihres Hauses bei der Stärkung der NIS-2-Compliance-Kompetenz auf dem Markt insgesamt?

Hr. Schweighofer: Die UBIT-Akademie incite, die für die komplette Aus- und Weiterbildung der UBIT zuständig ist, war ein First Mover beim Angebot relevanter Lehrgänge. Schließlich sind es auch unsere Mitglieder, die die Hauptlast der Beratungen und Dienstleistungen in Österreich durchführen. Irgendwann haben daher alle Unternehmen in Österreich mit einem unserer Mitglieder zu tun, sei es als direkt Betroffener oder als Teil der Lieferkette und somit indirekt verpflichtet. Zudem sind wir uns der großen Verantwortung bewusst, mit Weiterbildung und Zertifizierung ausschließlich höchstqualitatives Know-how mit hochkarätigen Expert:innen zu vermitteln. Zertifizierung schafft Vertrauen beim Kunden.

In Volume 1 des Interviews haben wir zentrale Grundlagen und erste Praxiserfahrungen beleuchtet -> zum Teil 1

Danke an:

Ing. Mag. Richard Neuwirth, BA LL.B. (WU) 

Information Security Governance Manager, ÖBB-Holding AG

Ing. DI Thomas Bleier, MSc

Managing Director, B-SEC better secure GmbH & Co KG & incite-Trainer

Mag. Andreas Schweighofer 

GF incite

Interesse an Weiterbildung zu NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026)? Kontaktieren Sie die UBIT-Akademie incite – wir beraten Sie gerne.

Ansprechperson kontaktieren!

© incite