Link: Wirtschaftskammer Österreich UBIT (neues Fenster)

CMC-Verleihung

Interview Vol. 1: Wie gehen die IT Security Experten R. Neuwirth und T. Bleier mit der neuen NIS-2-Gesetzgebung um?

Im Zuge der steigenden Anforderungen durch die NIS-2-Gesetzgebung kommen mit Richard Neuwirth (ÖBB-Holding AG) und Thomas Bleier (B-SEC better secure GmbH & Co KG) zwei ausgewiesene Experten aus Praxis und Beratung zu Wort. Sie beleuchten aus ihrer jeweiligen Perspektive die Herausforderungen der Umsetzung und den wachsenden Bedarf an geprüfter Expertise. Ihre Einblicke unterstreichen die Bedeutung fundierter Qualifizierung, wie sie die UBIT-Akademie incite mit den Weiterbildungsangeboten zu NIS 2 adressiert.

termin buchen!

Viele Unternehmen stehen mitten in der Umsetzung der NIS-2-Richtlinie und suchen Orientierung. Warum haben Sie persönlich die Akkreditierung als Accredited NIS Expert (zukünftig Certified NIS Expert) angestrebt und welche Kompetenzen sind aus Ihrer Sicht entscheidend?

Hr. Neuwirth: Mein Antrieb für die Akkreditierung war, mein Wissen zur NIS-2-Richtlinie nicht nur theoretisch, sondern auch praktisch zu vertiefen. Die Akkreditierung bietet die Möglichkeit, Fachwissen mit praxisnaher Anwendung zu verbinden. 

Für den bzw. die Accredited NIS Expert:in sollte ein zumindest grundlegendes juristisches Verständnis sowie praktische Erfahrung im Informationssicherheitsmanagement mitgebracht werden. Im Gegensatz zu Ausbildungen betreffend ISO 27001 wird mit NIS meines Erachtens auch die rechtliche Komponente im Zusammenhang mit Informationssicherheit stärker abverlangt. Es schaffen jedoch alle Ausbildungen und Zertifikate einen Mehrwert und werden sich auch künftig gut ergänzen, zumal die ISO 27001 mit dem NISG 2026 weiter an Bedeutung gewinnt. 

Die Richtlinie betont Risikomanagement besonders stark. Welche typischen Herausforderungen begegnen Ihnen regelmäßig?

Hr. Neuwirth: Ein wichtiger Aspekt und Stolperstein ist die Kommunikation. Je größer und komplexer die Organisation, umso schwieriger wird es, die Personen auch flächendeckend zu erreichen. Dabei geht es weniger um die rechtlichen Rahmenbedingungen, sondern vielmehr um das regelkonforme Verhalten aller Mitarbeitenden im Zusammenhang mit Informationssicherheit, um Risiken für das Unternehmen zu reduzieren. Das „Warum“ sollte für die Mitarbeitenden nachvollziehbar sein und nicht mit „weil wir es wegen NIS müssen“ beantwortet werden. Die Anforderungen von NIS-2 sind weitgehend sinnvolle best practices, die jetzt auch gesetzlich verbindlich werden. Ein:e akkreditierte:r NIS-Expert:in kann dabei unterstützen, Gaps zwischen den existierenden Maßnahmen und den Anforderungen aus NIS zu identifizieren und zu schließen. 

Eine weitere Herausforderung bei der Umsetzung ist mitunter das Thema Dokumentation. In den Unternehmen sind Top Personen im Einsatz, die einen super Job machen. Dokumentation macht kaum jemand gerne, aber sie ist essenziell, um einen reibungslosen Betrieb effizient sicherzustellen und die Einhaltung der Anforderungen nachweisen zu können. Bei vielen Unternehmen wird es noch Luft nach oben geben, alles im Sinne von NIS auch ausreichend zu dokumentieren. 

Ein effektives, praxisnahes Risikomanagement ist das Um und Auf für NIS-2. Alle Maßnahmen müssen sich nachvollziehbar aus dem Risikomanagement ergeben und gleichzeitig bietet das Risikomanagement auch die Möglichkeiten, (kosten-)effizient zu agieren. Ein häufiges Missverständnis ist die Erwartung, dass mit NIS-2 alles konkret vorgegeben ist, was einzuhalten ist. Dass sich jede Einrichtung damit befassen muss, welche Sicherheitsmaßnahmen ihrem Risiko angemessen sind und sich daher aus dem eigenen Risikomanagement ableiten muss, ist aktuell noch schwer zu vermitteln. 

Die NIS-2-Richtlinie verlangt weit mehr als punktuelle Sicherheitslösungen – gefragt ist ein ganzheitlicher Ansatz aus Technik, Organisation und klaren Verantwortlichkeiten. Doch welche Maßnahmen sind tatsächlich entscheidend, um die Vorgaben nicht nur formal, sondern auch nachhaltig zu erfüllen?

Hr. Bleier: Für die Erfüllung der NIS2-Vorgaben sind technische Sicherheitsmaßnahmen notwendig, die ein ausreichendes IT-Sicherheitsniveau gewährleisten. Dazu gehören insbesondere Themen wie Netzwerksegmentierung, strikte Zugriffskontrollen sowie ein aktuelles Patch- und Vulnerability-Management, das Schwachstellen zeitnah identifiziert und behebt. Ebenso wichtig sind Überwachungsmaßnahmen, um Angriffe frühzeitig zu erkennen und strukturiert darauf reagieren zu können. Ergänzend dazu sollten Backup- und Wiederherstellungsstrategien festgelegt und umgesetzt werden, die gegen typische Bedrohungs-Szenarien wie Ransomware oder auch klassische Ausfälle schützen. Der Einsatz von Verschlüsselung ist auch ein wesentliches Thema, um Daten sowohl während der Verwendung als auch bei der Ablage zu schützen.

Auf organisatorischer Ebene verlangt NIS2 ein strukturiertes Governance- und Risikomanagement. Zentrale Elemente sind unter anderem ein dokumentiertes ISMS (Informationssicherheits-Managementsystem) – in der jetzt beschlossenen Version des NIS2-Gesetzes in Österreich wurde ja die Möglichkeit geschaffen, den Nachweis für die Umsetzung der organisatorischen Maßnahmen auch mittels einer Zertifizierung wie z.B. nach ISO 27001 zu erbringen. Regelmäßige Risikobewertungen und definierte Verantwortlichkeiten bis hinein in die Geschäftsleitung gehören da auch dazu. Ebenso wichtig sind strukturierte Schulungs- und Awareness-Maßnahmen, klare Prozesse und Meldewege bei Vorfällen, sowie Sicherheitsmaßnahmen für die Lieferkette, da Organisationen auch die Risiken von Dritten, die für sie tätig sind, betrachten müssen. 

In der NIS2 Richtlinie und der österreichischen Umsetzung ist damit auch gesetzlich die Kombination aus technischen als auch organisatorischen Maßnahmen als wesentliches Element zur Gewährleistung eines ausreichenden Schutzniveaus vor Cyberangriffen verankert

Das Thema NIS-2 ist komplex – und dieses Gespräch längst nicht zu Ende. In Volume 2 (02/2026) greifen wir weitere zentrale Fragen auf und vertiefen jene Punkte, die in der Praxis besonders herausfordern. Bleiben Sie dran!

Ansprechperson kontaktieren!

Danke an:

Ing. Mag. Richard Neuwirth, BA LL.B. (WU) LinkedIn Kontakt

Information Security Governance Manager, ÖBB-Holding AG

Ing. DI Thomas Bleier, MSc LinkedIn Kontakt

Managing Director, B-SEC better secure GmbH & Co KG

incite-Trainer

© incite

Link: nach oben