Two male engineers pinting at electrical pylon/transmission tower at sunglight

Warum Unternehmen jetzt handeln sollten

Mit der Umsetzung von NIS2 in österreichisches Recht erweitert sich der Kreis betroffener Organisationen deutlich. Damit geraten erstmals auch viele Unternehmen in den Fokus, die sich bisher nicht als sicherheitskritisch verstanden haben.  Neben klassischen Betreibern kritischer Infrastrukturen rücken nun auch Zulieferer, IT-Dienstleister und Hersteller stärker in den Mittelpunkt.

Geschäftsleitungen tragen künftig Verantwortung für angemessene Sicherheitsmaßnahmen. Gleichzeitig steigen Anforderungen an Risikomanagement, Meldeprozesse und dokumentierte Sicherheitsnachweise entlang der gesamten Lieferkette. Dazu gehören u. a. regelmäßige Risikoanalysen, technische und organisatorische Sicherheitsmaßnahmen sowie klare Meldewege bei Sicherheitsvorfällen.

Wer jetzt strukturiert vorbereitet, schafft Transparenz, reduziert Haftungsrisiken und stärkt die eigene Resilienz. Unternehmen, die abwarten, riskieren dagegen, später unter hohem Zeit- und Regulierungsdruck reagieren zu müssen.

Regulatorische Vorgaben in der EU und in Österreich

CRA

Der Cyber Resilience Act (CRA) verpflichtet Hersteller, Cybersicherheit über den gesamten Lebenszyklus digitaler Produkte sicherzustellen – von Secure-by-Design über Schwachstellenmanagement bis zu Sicherheitsupdates. Er definiert verbindliche Sicherheitsanforderungen für vernetzte Produkte.

NIS2

Die EU‑Richtlinie zur Netzwerk- und Informationssicherheit NIS2 verschärft die Anforderungen für Betreiber kritischer Infrastrukturen sowie wichtiger digitaler Dienste. Unternehmen müssen Sicherheitsrisiken künftig proaktiv erkennen, dokumentieren und melden. 

CER

Die Critical Entities Resilience-Richtlinie (EU 2022/2557) stärkt die Resilienz kritischer Einrichtungen gegenüber Naturkatastrophen, technischen Störungen und gezielten Angriffen. Sie verpflichtet Betreiber zu Risikoanalysen, Schutzmaßnahmen, Notfallplanung und der Meldung schwerwiegender Vorfälle.

Die Umsetzung der EU-Richtlinien CER (physische Resilienz) und NIS2 (Cybersicherheit) erfolgt in Österreich durch zwei eng verzahnte, eigenständige Gesetzeswerke, die 2025/2026 in Kraft getreten sind. Sie verfolgen einen "All-Hazards"-Ansatz, um kritische Infrastrukturen gegen Cyberangriffe, physische Sabotage und Naturkatastrophen zu schützen. 

 

Cybersecurity image with lots of cables and a hand

Resilienz kritischer Einrichtungen-Gesetz (RKEG)

Das RKEG setzt die CER-Richtlinie (EU 2022/2557) in Österreich um und stärkt die Widerstandsfähigkeit kritischer Einrichtungen gegenüber physischen, organisatorischen und hybriden Risiken. Seit seinem Inkrafttreten am 1. März 2026 verfolgt das Gesetz einen ganzheitlichen „All-Hazards“-Ansatz zum Schutz vor Naturkatastrophen, technischen Störungen sowie gezielten Angriffen wie Sabotage oder Terrorismus. Es umfasst die Identifikation kritischer Einrichtungen, nationale Risikoanalysen und Resilienzstrategien sowie Verpflichtungen zu Risikobewertungen, Schutzmaßnahmen und Meldepflichten. Ergänzend regelt das RKEG Personalprüfungen in Form von Zuverlässigkeitsüberprüfungen für besonders sicherheitsrelevante Funktionen.

trust center

Netz- und Informationssystemsicherheitsgesetz 2026

Das NISG 2026 setzt die NIS-2-Richtlinie (EU 2022/2555) in Österreich um und hebt die Anforderungen an die Cybersicherheit auf ein neues Niveau, um digitale Infrastrukturen zuverlässiger zu machen. Es tritt am 1. Oktober 2026 in Kraft. Das NISG 2026 stärkt die Cybersicherheit und Resilienz von Netz- und Informationssystemen durch verbindliche Anforderungen an Risikomanagement, Sicherheitsmaßnahmen und die Meldung erheblicher Cybervorfälle. Der erweiterte Anwendungsbereich umfasst rund 4.000 wesentliche und wichtige Einrichtungen in Österreich. Ergänzend schafft das Gesetz eine zentrale Cybersicherheitsbehörde und bezieht auch Lieferanten sowie Dienstleister in die Sicherheitsanforderungen entlang der gesamten Wertschöpfungskette ein.

Weitere Ressourcen

Fristen für Einrichtungen

Überblick zu NISG 2026 Meilensteinen, Fristen & NIS2-Compliance: Betroffene erhalten Orientierung zu Anforderungen & Schritten. 

Wichtig: Die Registrierungsfrist läuft drei Monate ab dem 01.10.2026 bis spätestens 31.12.2026 für bestehende NIS2-Einrichtungen.

Unsere Quelle für Sicherheit und Compliance

Das Axis Trust Center bietet zentralen Zugang zu Informationen rund um Produktsicherheit, Datenschutz und Zertifizierungen. Es unterstützt Unternehmen mit Nachweisen und Dokumentationen bei der Erfüllung von Compliance-Anforderungen und hohen Sicherheitsstandards.

Betriebssicherheit

Audit Logs dokumentieren lückenlos alle sicherheitsrelevanten Aktivitäten und liefern damit transparente, revisionssichere Nachweise für Compliance-Anforderungen.

Lassen Sie sich beraten

Dominique Morel, A&E Manager at Axis Communications

Kontaktieren Sie unseren Experten

Planen Sie ein Projekt oder benötigen Sie Unterstützung bei der Entwicklung einer maßgeschneiderten Sicherheitslösung? Dominique Morel unterstützt Fachplaner, Errichter, Architekten und Betreiber kritischer Infrastrukturen mit fundierter Expertise in den Bereichen Sicherheit, Compliance und technische Planung. Profitieren Sie von seiner Erfahrung bei der Entwicklung resilienter, zukunftssicherer Lösungen und lassen Sie sich zu regulatorischen Anforderungen und deren praxisnaher Umsetzung beraten.

FAQ

Häufig gestellte Fragen

Welche spezifischen Angriffsvektoren sind für Videosicherheitssysteme in NISG 2026-Infrastrukturen besonders relevant, und wie können Betreiber wirksam dagegen vorgehen?

Videosicherheitssysteme in NISG 2026-Umgebungen sind vielfältigen Bedrohungen ausgesetzt – von physischer Manipulation bis hin zu komplexen Cyberangriffen. Besonders relevant sind folgende Angriffsvektoren:

  • Ungesicherte Kameras und NVR’s: Schwache oder unveränderte Standardpasswörter, fehlerhafte Konfigurationen und ungepatchte Firmware bieten einfache Einfallstore.
  • Netzwerkschwachstellen: Unverschlüsselte Datenübertragung, fehlende Netzwerksegmentierung oder unsichere Protokolle ermöglichen Abhören, Manipulation oder das Einschleusen von Schadsoftware (Malware).
  • Manipulation von Videodaten: Das Verfälschen, Löschen oder Verhindern von Aufzeichnungen, um Vorfälle zu vertuschen oder die Lage falsch darzustellen.
  • Denial-of-Service (DoS)-Angriffe: Überlastung von Kameras, NVRs oder Video-Management-Systemen (VMS), um Überwachungsfunktion gezielt außer Kraft zu setzen.

     

    Maßnahmen zur Begegnung:

  • Systemhärtung: Verwendung starker, individueller Passwörter, Deaktivierung nicht benötigter Dienste, regelmäßige Firmware-Updates sowie Verschlüsselung der Kommunikation (z.B. HTTPS, SRTP).
  • Netzwerksegmentierung: Isolierung des Videosicherheitsnetzwerks von Produktions- und IT-Systemen, um Angriffsflächen zu minimieren.
  • End-to-End-Verschlüsselung: Durchgängige Verschlüsselung der Videoströme von der Kamera bis zur Speicherung und Wiedergabe.
  • Integritätsprüfung: Einsatz von digitalen Signaturen oder blockchainbasierter Hashes, um die Authentizität und Unverfälschtheit von Videobeweismitteln zuverlässig nachzuweisen.

Welche Bedeutung haben Audit-Logs für Videosicherheitssysteme in NISG 2026-Umgebungen, und wie tragen sie zur Stärkung der Resilienz bei? Welche Informationen sind dabei besonders relevant?

Audit-Logs sind ein essenzielles Element von Videosicherheitssystemen, da sie als "Sensor" alle relevanten Ereignisse protokollieren und so Nachvollziehbarkeit sowie forensische Analysen ermöglichen. Sie stärken die Resilienz, indem sie:

  • Anomalien aufdecken: Ungewöhnliche Zugriffe, Konfigurationsänderungen oder fehlgeschlagene Anmeldeversuche weisen frühzeitig auf Angriffe oder Fehlfunktionen hin.
  • Compliance sicherstellen: Dokumentation, dass Sicherheitsprozesse eingehalten wurden (z.B. Vier-Augen-Prinzip bei Exporten).
  • Vorfallsreaktion unterstützen: Schnelle Identifizierung von Ursache und Ausmaß eines Sicherheitsvorfalls.

 

Besonders relevante Informationen in Audit-Logs:

  • Zugriffe: Dokumentation darüber, wer zu welchem Zeitpunkt auf welche Kamera oder Aufzeichnung (live oder archiviert) zugegriffen hat.
  • Konfigurationsänderungen: Zeitpunkt und Verantwortliche für Änderungen an VMS oder Kameras.
  • Systemereignisse: Start/Stop von Diensten, Fehler bei der Speicherung, Netzwerkausfälle, Hardwaredefekte.
  • Exportvorgänge: Nachweis,  von wem welche Videosequenzen wann exportiert wurden.
  • Authentifizierung: Erfolgreiche und fehlgeschlagene Login-Versuche.

Warum ist eine durchdachte Long-Term Support (LTS)-Strategie für Videosicherheitssysteme in NISG 2026-Infrastrukturen unverzichtbar, und welche Herausforderungen ergeben sich, wenn diese fehlt? Bitte berücksichtigen Sie bei dieser Überlegung auch den TCO-Aspekt.

Eine LTS-Strategie ist in NISG 2026-Umgebungen entscheidend, da Videosicherheitssysteme häufig über viele Jahre oder sogar Jahrzehnte betrieben werden. LTS gewährleistet:

  • Kontinuierliche Sicherheit: Regelmäßige Sicherheitsupdates und Patches schließen neu entdeckte Schwachstellen. Ohne LTS bleiben Systeme dauerhaft angreifbar.
  • Systemstabilität und Kompatibilität: Sicherstellung der Kompatibilität zwischen Hardware, Software und Betriebssystemen über lange Zeiträume hinweg.
  • Planungssicherheit und Investitionsschutz: Betreiber können den Lebenszyklus ihrer Systeme zuverlässig planen und unerwartete Neuinvestitionen vermeiden.
  • TCO-Aspekt (Total Cost of Ownership): Ein strategischer LTS-Ansatz reduziert maßgeblich die Gesamtbetriebskosten (TCO) über den gesamten Lebenszyklus des Systems hinweg. Planbare Updates, Support und die Verlängerung der Nutzungsdauer verhindern kostenintensive Ad-hoc-Migrationen oder vorzeitigen Austausch. LTS ermöglicht ein effizientes Ressourcenmanagement, indem es das Risiko unerwarteter Ausgaben für Reparaturen oder Sicherheitsvorfälle senkt und eine präzise Budgetplanung ermöglicht.
     

Herausforderungen ohne LTS (und Auswirkungen auf den TCO):

  • Erhöhtes Sicherheitsrisiko: Veraltete Software ohne Sicherheitsupdates ist ein leichtes Ziel für Cyberangriffe. Die Kosten für die Behebung eines Sicherheitsvorfalls (Schadensersatz, Bußgelder, Reputationsverlust und Wiederherstellung) können den TCO massiv in die Höhe treiben.
  • Betriebsinstabilität: Inkompatibilitäten und mangelnde Fehlerbehebungen führen zu Systemausfällen, deren Behebung hohe Personal- und Wiederherstellungskosten verursacht.
  • Ersatzteilbeschaffung und Wartungsprobleme: Schwierigkeiten bei der Beschaffung von Ersatzteilen oder der Inanspruchnahme von technischem Support führen zu längeren Ausfallzeiten und höheren Kosten für spezialisierte Dienstleister.
  • Hohe ungeplante Migrationskosten: Plötzliche, ungeplante Systemablösungen aufgrund von Obsoleszenz sind oft deutlich teurer und aufwendiger als geplante Migrationen. Sie erfordern zusätzliche Budgets und verursachen zusätzliche Kosten für Personal, Implementierung und eventuelle Betriebsunterbrechungen – mit massiven Auswirkungen auf den TCO.

Welche Aspekte sind während der Nutzungsphase von Videosicherheitssystemen in NISG 2026entscheidend, um die praktische Resilienz zu gewährleisten und aufrechtzuerhalten?

Die Nutzungsphase ist die längste und zugleich kritischste Phase im Lebenszyklus eines Videosicherheitssystems. Die praktische Resilienz wird hier durch folgende Maßnahmen gewährleistet:

  • Regelmäßige Wartung und Überwachung: Proaktive Prüfung der Systemfunktion, Speicherkapazitäten und Netzwerkverbindungen.
  • Patch- und Update-Management: Konsequente Einspielung von Sicherheits- und Funktionsupdates, um bekannte Schwachstellen zu schließen und die Systemleistung zu optimieren.
  • Backup- und Wiederherstellungsstrategien: Regelmäßige Backups der Konfigurationen und VMS-Datenbanken sowie erprobte Wiederherstellungspläne im Falle eines Ausfalls.
  • Personal-Schulung und Sensibilisierung: Kontinuierliche Weiterbildung und Schulung des Bedienpersonals zu aktuellen Bedrohungen, korrekter Systembedienung und Incident-Response-Prozessen.
  • Proaktive Auswertung von Audit-Logs: Nicht nur Sammlung, sondern aktive Analyse und Auswertung tragen dazu bei, Anomalien frühzeitig zu erkennen.
  • Notfallpläne: Klare Verfahren für den Umgang mit Systemausfällen, Datenverlust oder Cyberangriffen, inklusive alternativer Überwachungsmöglichkeiten.

Wie integrieren sich Videosicherheitssysteme in ein konvergentes Sicherheitskonzept für NISG 2026-Infrastrukturen, und welche Vorteile ergeben sich daraus im Sinne der praktischen Resilienz?

In NISG 2026-Umgebungen ist konvergente Sicherheit der Schlüssel zu umfassender Resilienz. Videosicherheitssysteme sind dabei keine Insellösungen, sondern ein integraler Bestandteil eines übergreifenden Sicherheitsrahmens. Die Integration erfolgt typischerweise mit:

  • Zutrittskontrollsystemen: Automatische Videoaufzeichnung bei Zutrittsereignissen oder Alarmen, visuelle Verifikation von Personen.
  • Einbruchmeldeanlagen (EMA): Video-Verifikation von EMA-Alarmen, um Fehlalarme zu reduzieren und Einsatzkräfte zielgerichteter zu steuern.
  • Gefahrenmeldeanlagen (z.B. Brandschutz): Visuelle Überprüfung von Brandalarmen oder Rauchentwicklung.
  • SCADA/Leitsystemen: Korrelation von Prozessdaten mit Videobildern zur Analyse von Vorfällen und Überwachung kritischer Infrastrukturkomponenten.

     

Vorteile für die praktische Resilienz:

  • Verbessertes Situationsbewusstsein: Ein ganzheitlicher Blick auf Sicherheitsereignisse durch die Verknüpfung verschiedener Sensordaten.
  • Effizientere Vorfallsreaktion: Automatisierte Reaktionen und die schnelle Bereitstellung relevanter visueller Informationen ermöglichen eine präzisere und schnellere Entscheidungsfindung.
  • Reduzierung von Fehlalarmen: Visuelle Verifikation minimiert unnötige Einsätze und spart Ressourcen.
  • Optimierung von Arbeitsabläufen: Zentralisierte Überwachung und Steuerung aller Sicherheitssysteme.
  • Erhöhte Nachweisbarkeit: Videoaufzeichnungen in Kombination mit anderen Daten liefern eine stärkere Beweisgrundlage.
  • Proaktive Sicherheit: Intelligente Datenverknüpfung ermöglicht das Erkennen von Mustern und die frühzeitige Identifikation potenzieller Bedrohungen.