Im Webinar präsentierten Expert:innen aus Beratung und Industrie rechtliche Vorgaben rund um NISG 2026, den Cyber Resilience Act (CRA), den Cybersecurity Act 2 (CSA2) und den Digital Operational Resilience Act (DORA). Im Fokus standen deren konkrete Auswirkungen auf Hersteller und Unternehmen in der Praxis.
Aktuelle Entwicklungen im Überblick
Zum Auftakt gaben die Experten Robert Lamprecht (KPMG) und Severin Winkler (KPMG) einen strukturierten Überblick über den aktuellen Stand der NIS‑2‑Richtlinie in den EU‑Mitgliedstaaten. Dabei gingen sie auch auf die nationale Ausgestaltung in Österreich durch das NISG 2026 ein. Thematisiert wurden neue Schwellenwerte, Registrierungs‑ und Selbstdeklarationspflichten, Meldewege bei Sicherheitsvorfällen, steigende Anforderungen an das Management sowie den Umgang mit Lieferketten und Drittparteien.
Ein weiterer Schwerpunkt lag auf dem DORA: Dieser verpflichtet Finanzunternehmen, ihre digitale Widerstandsfähigkeit in Bezug auf IKT‑Risiken, Drittanbieter und Governance‑Strukturen zu stärken. Weiters wurde der Entwurf des Cybersecurity Acts 2 vorgestellt und erläutert: Dessen Ziel ist es, eine stärkere Harmonisierung und Vereinfachung des europäischen Cybersicherheitsrahmens zu ermöglichen.
Cyber Resilience Act: Fokus auf Hersteller
Im zweiten Teil des Webinars erläuterte Patrik Fritz (FEEI) die zentralen Inhalte des Cyber Resilience Acts (CRA) mit Fokus auf Hersteller von Produkten mit digitalen Elementen. Der CRA legt erstmals verbindliche Anforderungen für Cybersicherheit über den gesamten Produktlebenszyklus fest – von der Entwicklung über die Inverkehrbringung bis zur Wartung.
Im Fokus standen grundlegende Sicherheitsanforderungen, die verpflichtende Risikobewertung sowie die laufende Aktualisierung der technischen Dokumentation. Zudem ging es um den vorgesehenen Unterstützungszeitraum von mindestens fünf Jahren sowie um klare Regeln, wann und wie Sicherheitslücken sowie schwerwiegende Sicherheitsvorfälle gemeldet werden müssen. Auch der zeitliche Fahrplan wurde hervorgehoben: Während die Meldepflichten ab September 2026 gelten, sind die übrigen CRA‑Vorgaben ab Dezember 2027 verbindlich umzusetzen.
Praxisbericht: CRA‑Umsetzung bei Siemens Energy
Einen praxisnahen Einblick gab Benno Farkas (Siemens Energy Austria) in die konkrete Umsetzung des CRA in einem international tätigen Industrieunternehmen. Er zeigte, wie regulatorische Anforderungen in bestehende Produkt‑, Sicherheits‑ und Governance‑Strukturen integriert werden können. Dabei wurde deutlich: Der CRA geht weit über technische Produktanforderungen hinaus und erfordert klare Verantwortlichkeiten, belastbare Prozesse entlang der Lieferkette sowie eine enge Verzahnung von Produktpolitik, Cybersicherheit und Compliance. Die frühzeitige, strukturierte Umsetzung reduziert Risiken und stärkt die Qualität sowie das Vertrauen in die Produkte.
Ausblick
Das Webinar zeigte eindrucksvoll, wie dynamisch sich die europäische Cyber‑Regulatorik entwickelt und wie wichtig eine frühzeitige Auseinandersetzung mit den neuen Anforderungen ist. Der FEEI wird seine Mitgliedsbetriebe auch künftig mit Informations‑ und Austauschformaten bei der Umsetzung von NISG 2026, CRA, CSA2 und DORA unterstützen.
