Wir fassen daher hier nochmals die Grundlagen für Sie zusammen.
Und wiederholen unseren Tipp:

Tipp: Wenn auch Sie von Ihren Partnern BIS DATO KEINE INFORMATIONEN, KEINE VORGABEN dazu erhalten haben, fragen SIE AKTIV nach. Denn nur noch 3 Monate bleiben Zeit!

Denn: Die „Großen“ haften für ihre „Kleinen“, also ihre Berater und Vermittler.
Das heißt: Versicherer, Wertpapierfirmen und Banken müssen sicherstellen, dass alle ihre Partner in der Lieferkette – also auch Makler, Agenten, Vermögensberater – die Sicherheitsstandards einhalten.

Doch in der Praxis klafft derzeit eine deutliche Lücke, daher verweisen wir auf den Beitrag von Mag. Novotny (HIER klicken…) und wiederholen unseren
Appell an alle Berater, Makler und Vermittler:

• Fragen Sie proaktiv nach, wie die künftige Zusammenarbeit gemäß DORA und NIS2 aussehen muss.
• Holen Sie sich schriftliche Antworten ein.
• Dokumentieren Sie, dass Sie aktiv nachgefragt haben.
• Und senden Sie erhaltene Vorgaben (anonymisiert) gerne an redaktion@ivva.at weiter.

Zurück zu den Fakten, die hier besonders aus IT-Sicht beleuchtet werden. Der zweite Beitrag des heutigen Newsletters beschäftigt sich mehr mit Ideen, wie Sie für dieses Thema praxisnah schulen können, um die Ziele von NIS-2 erfüllen zu können. Diesen Beitrag können Sie hier nachlesen…

Mit mehreren Monaten Verspätung bekam Österreich im Dezember ein zeitgemäßes Gesetz zu Netz- und Informationssystemsicherheit. Mit NIS-2 wird der Kreis der betroffenen Unternehmen ab 2026 deutlich größer und damit steigen auch die Anforderungen an KMU. Für viele Betriebe beginnt jetzt ein entscheidender Countdown: Nur noch 3 Monate bleiben Zeit, um die notwendigen Maßnahmen zu planen und umzusetzen.

Mit dem Inkrafttreten des NISG 2026 am 1. Oktober 2026 wird Cybersicherheit endgültig vom IT‑Thema zur unternehmerischen Pflicht. Rund 4.000 Unternehmen und Einrichtungen aus insgesamt 18 kritischen und gesellschaftlich relevanten Sektoren werden dann verpflichtet sein, umfassende Sicherheitsmaßnahmen umzusetzen und Sicherheitsvorfälle zu melden. Was dabei oft unterschätzt wird: Die Auswirkungen enden nicht bei diesen Unternehmen selbst. Sie reichen tief in deren Lieferketten hinein – und damit direkt zu Beratern, Vermittlern und Dienstleistern.

Genau hier liegt meiner Wahrnehmung nach aktuell ein blinder Fleck. Während das Gesetz klar vorsieht, dass auch die Sicherheit der Lieferkette gewährleistet werden muss, fehlt in der Praxis vielfach noch das Problembewusstsein.
Insbesondere größere Unternehmen haben bislang kaum damit begonnen, konkrete Anforderungen an ihre Partner zu definieren. Wer heute als Berater oder Vermittler Teil einer solchen Lieferkette ist, bekommt also oft noch keine klaren Vorgaben – wird aber sehr wahrscheinlich in absehbarer Zeit mit den Folgen und der Aufsicht konfrontiert werden. Befürchtet man vielleicht durch zu strenge Vorgaben wieder eine Diskussion mit den Sozialversicherungen über Dienstnehmerähnlichkeit auszulösen?

Was auch immer die Ursache sein sollte, die Fakten bleiben wie folgt: Das NISG 2026 setzt die europäische NIS‑2‑Richtlinie um und bringt vor allem eines: Einen deutlich erweiterten Kreis an Verpflichteten und klar definierte Mindeststandards für Cybersicherheit. Gleichzeitig wird klargestellt, dass es sich nicht um eine Sammlung einzelner technischer Maßnahmen handelt, sondern um einen ganzheitlichen Ansatz. Gefordert sind Prozesse, die organisatorische, technische und personelle Aspekte verbinden. Cybersicherheit wird damit zur Führungsaufgabe, mit entsprechender Verantwortung auf Geschäftsleitungsebene.

Für kleine und mittlere Unternehmen, die nicht direkt unter das Gesetz fallen, bedeutet das jedoch keine Entwarnung. Im Gegenteil: Gerade sie werden über ihre Rolle in der Lieferkette in die Pflicht genommen. Große Unternehmen werden sich absichern müssen, das geschieht typischerweise über vertragliche Anforderungen an ihre Partner. Wer hier nicht frühzeitig vorbereitet ist, riskiert nicht nur zusätzlichen Aufwand unter Zeitdruck, sondern auch Wettbewerbsnachteile, denn im Falle des Nichterfüllens der Anforderungen ist der Verlust des Courtage-Vertrags die Folge.

Wer erst aktiv wird, wenn konkrete Anforderungen von „den Großen“ auf dem Tisch liegen, ist bereits im Hintertreffen. Sinnvoller ist es, jetzt strukturiert die eigenen Hausaufgaben zu machen.

Dazu gehört zunächst ein ehrlicher Blick auf den eigenen Status: Welche Sicherheitsmaßnahmen sind bereits vorhanden, wo bestehen Lücken? So eine „strukturierte Gap‑Analyse“ schafft hier Klarheit. Darauf aufbauend geht es darum, Prozesse für den Umgang mit Sicherheitsvorfällen zu definieren, inklusive klarer Verantwortlichkeiten und Meldewege. Ebenso wichtig ist die systematische Betrachtung der eigenen Lieferkette: Welche Abhängigkeiten bestehen, welche Risiken ergeben sich daraus und wie lassen sie sich reduzieren?

Ein oft unterschätzter Faktor ist die interne Verankerung des Themas. Technische Maßnahmen allein reichen nicht aus. Entscheidend ist, dass alle Beteiligten – von der Geschäftsführung bis zu den Mitarbeitenden – ein Bewusstsein für Cyberrisiken entwickeln und ihre Rolle verstehen. Schulungen und klare Richtlinien sind daher ein zentraler Baustein einer tragfähigen Sicherheitsstrategie. Tipps dazu siehe unseren zweiten heutigen Beitrag über Schulungen. Hier zum Nachlesen…

NIS‑2 beziehungsweise das NISG 2026 ist damit weit mehr als eine regulatorische Pflichtübung. Es ist ein Impuls, sich strukturiert mit der eigenen digitalen Widerstandsfähigkeit auseinanderzusetzen. Unternehmen, die diesen Prozess frühzeitig angehen, profitieren doppelt: Sie reduzieren nicht nur Risiken, sondern stärken auch ihre Position im Markt. Denn in einer zunehmend vernetzten Wirtschaft wird Vertrauen entlang der gesamten Lieferkette zu einem entscheidenden Wettbewerbsfaktor.

Noch ist dieses Thema in vielen Organisationen nicht angekommen – insbesondere dort, wo die Auswirkungen nur indirekt spürbar sind. Doch genau hier liegt die Chance für Berater und Vermittler: Wer sich jetzt vorbereitet, kann nicht nur eigene Risiken minimieren, sondern sich auch als kompetenter Partner für Kunden positionieren, die in den kommenden Monaten vor genau diesen Herausforderungen stehen werden.