Wer in Österreich verstehen will, was NIS-2 für ein mittelständisches Unternehmen wirklich bedeutet, kommt an einer Stimme nicht vorbei: Mag. Verena Becker, BSc, Cybersicherheitsexpertin in der Bundessparte Information und Consulting der Wirtschaftskammer Österreich. Dieses Editorial fasst zusammen, warum sie als Referenz gilt — und welche Punkte aus ihren Vorträgen für jedes betroffene Unternehmen zwischen Wien und Bregenz relevant sind.
Wer ist Verena Becker
Verena Becker ist Juristin und Betriebswirtin mit Schwerpunkt Informationssicherheit. Sie arbeitet in der Bundessparte Information und Consulting der Wirtschaftskammer Österreich und hat sich in den vergangenen Jahren als eine der präzisesten und praxisnächsten Erklärerinnen der österreichischen NIS-2-Umsetzung etabliert. Sie hält regelmässig Vorträge und Workshops, vom WKÖ-Format „NISG 2026 kompakt“ über das Update-Webinar bei incite bis hin zum Q&A mit dem Bundesministerium für Inneres im April 2026. Zusätzlich ist sie Mitgründerin von Women4Cyber Austria, einem Netzwerk zur Förderung von Frauen in der Cybersicherheit.
Wir nennen sie hier nicht aus Höflichkeit zuerst. Wir nennen sie zuerst, weil sie zwei Eigenschaften vereint, die sich in dieser Disziplin selten gemeinsam finden: juristische Präzision und Verständlichkeit für Mittelständler. Wer ihre Vorträge gehört oder ihre PDF-Präsentationen gelesen hat, kennt das Gefühl: Komplexität schwindet, ohne dass Genauigkeit verloren geht.
Was ihre Vorträge konsistent vermitteln
Aus den öffentlich verfügbaren Materialien — der WKÖ-Übersichtsseite zu NISG 2026, der Vortragspräsentation für tip-noe.at, den Webinar-Ankündigungen und dem Interview-Material auf marie.wko.at — kristallisieren sich vier Botschaften heraus, die Becker in unterschiedlichen Formaten immer wieder schärft.
Erstens: Cybersicherheit ist keine IT-Frage mehr, sondern eine Frage der Geschäftsführung. Das NISG 2026 verankert die Verantwortung explizit auf Vorstands- und Geschäftsführungs-Ebene. Risiken müssen aktiv gesteuert, Ressourcen zugewiesen, Berichte angefordert und Maßnahmen überwacht werden. Wer als Geschäftsführer:in das Thema an die IT „delegiert“ und sich entspannt zurücklehnt, wird vom Gesetz nicht entlastet. Schulungen werden für Führungskräfte verbindlich — nicht symbolisch, sondern dokumentiert.
Zweitens: Die Frage „bin ich überhaupt betroffen“ ist oft komplizierter als gedacht. Becker macht in jedem Webinar deutlich, dass die Betroffenheit nicht nur an der eigenen Sektor-Zuordnung hängt, sondern an Schwellwerten (mittlere und grosse Einrichtungen), an Lieferketten-Verflechtungen und an Sub-Sub-Lieferanten-Beziehungen. Die WKÖ bietet dafür einen Online-Berater an. Becker empfiehlt, diesen Check früh zu machen — und im Zweifel mit juristischer Beratung zu verfeinern.
Drittens: Lieferkette ist der Hebel und die Falle zugleich. Ein gar nicht direkt betroffenes Unternehmen kann über seine Auftraggeber in NIS-2-Pflichten gezogen werden. Wenn ein wesentliches oder wichtiges Unternehmen seinen Sub-Lieferanten Cybersicherheits-Anforderungen vertraglich weiterreicht — und genau das verlangt das Gesetz —, dann fliesst NIS-2 die Wertschöpfungskette nach unten. Becker formuliert das immer wieder klar: viele kleinere Betriebe werden in den nächsten Monaten Cybersicherheits-Klauseln in Lieferantenverträgen sehen, ob ihnen das passt oder nicht.
Viertens: Meldepflicht und Fristen sind ernst. Sicherheitsvorfälle müssen gemeldet werden, die Fristen sind kurz (Erstmeldung binnen 24 Stunden, Update binnen 72 Stunden, Abschlussbericht binnen einem Monat). Eintragung bei der Cybersicherheitsbehörde bis 31. Dezember 2026 — das sind drei Monate nach Inkrafttreten am 1. Oktober. Wer hier wartet, wird teuer.
Was du daraus für deine eigene Position lernen kannst
Wir empfehlen jedem mittelständischen Geschäftsführer und jeder IT-Verantwortlichen drei konkrete Aufgaben, die direkt aus Beckers Vortragslinie folgen — ohne dass wir hier Rechtsberatung leisten oder ihre Aussagen verkürzen.
Erste Aufgabe: Klärung der eigenen Betroffenheit mit dem WKÖ-Online-Berater. Diese Prüfung kostet eine halbe Stunde Zeit und ist die Grundlage für alles Weitere.
Zweite Aufgabe: Risiko-Inventur. Welche IT-Systeme sind kritisch, welche Lieferanten sind systemrelevant, wo liegen die schmerzhaftesten Single Points of Failure. Diese Inventur ist die Voraussetzung dafür, dass die Geschäftsführung „Risiken aktiv steuern“ überhaupt operativ umsetzen kann.
Dritte Aufgabe: Lieferketten-Verträge prüfen. Existieren bereits Cyber-Klauseln in den Verträgen mit grossen Auftraggebern? Welche Verpflichtungen daraus müssen die eigenen Sub-Lieferanten kennen? Diese vertraglichen Linien sind die unsichtbare Übertragung von NIS-2 in den nicht-betroffenen Mittelstand.
Quellen, auf denen dieses Editorial fusst
Verena Becker veröffentlicht ihre Inhalte primär über die WKÖ, incite, tip-noe.at sowie LinkedIn. Wir haben uns für dieses Editorial auf öffentlich zugängliche Materialien gestützt:
- WKÖ — Cybersicherheit: NISG 2026 und NIS-2 kompakt
- WKÖ — Mitarbeiterprofil Mag. Verena Becker BSc
- incite — Vortragende-Profil Verena Becker
- incite — Update-Webinar NIS-2: NISG 2026
- marie.wko.at — Was das NISG 2026 für Unternehmen bedeutet
- tip-noe.at — NIS-2-Präsentation Verena Becker (PDF)
- BusinessCircle — Profil Verena Becker
Wir nennen die Quellen aus zwei Gründen: weil das Werk einer Expertin Respekt verdient — und weil unsere Leserinnen und Leser den Originalen folgen sollen, statt sich auf eine zusammengefasste Form zu verlassen.
— Lumi AI News Editorial, Wien, 25. Mai 2026. Recherche und Erstentwurf durch KI-assistierte Kuratierung; Faktencheck und Freigabe durch die Redaktion. Kennzeichnung gemäss Art. 50 EU AI Act.