Cybersecurity war lange ein Thema für Banken, Konzerne oder Behörden. Jetzt erreicht die Diskussion zunehmend auch Hotellerie, Gastronomie und Tourismuswirtschaft. Mit dem neuen NIS-Gesetz 2026 steigt der Druck auf Unternehmen entlang digitaler Lieferketten deutlich an und damit auch auf zahlreiche Betriebe der Hospitality-Branche.
Spätestens seit Buchungssysteme, Kassensoftware, digitale Payment-Lösungen und cloudbasierte Warenwirtschaftssysteme zum Standard geworden sind, hängen auch Gastronomie- und Hotelbetriebe massiv von funktionierender IT ab. Gleichzeitig steigt die Zahl der Cyberangriffe kontinuierlich. Laut kriminalpolizeilicher Anzeigenstatistik wurden in Österreich im Vorjahr mehr als 63.000 Fälle von Internetkriminalität registriert. Rund 22.000 davon entfielen auf Cybercrime.
Lieferketten geraten in den Fokus
Besonders relevant wird das Thema durch das neue NISG 2026, das ab Oktober vollständig greifen soll. Ziel der EU-Richtlinie ist es, die digitale Widerstandsfähigkeit kritischer Infrastruktur zu erhöhen. Neu ist dabei: Nicht nur unmittelbar betroffene Unternehmen geraten unter Druck, sondern zunehmend auch deren Lieferanten und Partnerbetriebe.
Genau hier entsteht für Teile der Tourismuswirtschaft ein neues Risiko. Denn große Veranstalter, Medienhäuser, Hotelgruppen oder Infrastrukturbetreiber könnten künftig verstärkt Sicherheitsnachweise von Dienstleistern verlangen, etwa von Caterern, Eventtechnik-Anbietern, IT-Dienstleistern oder Hotelpartnern.
Wie ernst das Thema mittlerweile genommen wird, zeigt ein aktuelles Beispiel aus der Eventbranche: Im Vorfeld des Eurovision Song Contest wurden laut KSV1870 jene Lieferanten, die für den ORF tätig sind, einer Cyberrisiko-Prüfung unterzogen.
Die Branche unterschätzt das Risiko noch immer
Laut einer aktuellen Umfrage des KSV1870 sind zwar bereits viele Unternehmen mit dem Thema beschäftigt, gleichzeitig scheitert aber rund ein Drittel der betroffenen Betriebe an der fristgerechten Umsetzung notwendiger Sicherheitsmaßnahmen. Cybersecurity wird leider oft noch primär als technisches Thema wahrgenommen. Die wirtschaftlichen Folgen eines Angriffs können allerdings erheblich sein:
Ausfall von Reservierungssystemen
Besonders kritisch wird es dort, wo Betriebe stark digitalisiert arbeiten oder auf externe Plattformen angewiesen sind.
Probleme bei Kartenzahlungen
Stillstand in der Warenwirtschaft
Datenverlust
Betriebsunterbrechungen
Reputationsschäden
Die Entwicklung zeigt: IT-Sicherheit wandert zunehmend aus der Technikabteilung in die Chefetage. Für viele Betriebe wird Cybersecurity künftig Teil des operativen Risikomanagements – ähnlich wie Hygiene, Datenschutz oder Arbeitssicherheit. Vor allem größere Hotelbetriebe, Veranstalter, Caterer und touristische Dienstleister werden sich mittelfristig mit Fragen beschäftigen müssen wie: Welche Systeme sind kritisch? Welche Dienstleister haben Zugriff auf sensible Daten? Wie schnell ist der Betrieb nach einem Ausfall wieder handlungsfähig? Welche Sicherheitsstandards verlangen Geschäftspartner?
Ab dem 1. Oktober 2026 müssen sowohl Betriebe kritischer Sektoren als auch deren Lieferanten einen Nachweis über entsprechende Cybersicherheitsmaßnahmen im Unternehmen vorlegen. Liegt dieser Nachweis nicht vor, wird es künftig deutlich schwieriger, Umsätze zu erzielen, da der gesetzliche Rahmen für Geschäftsbeziehungen zwischen diesen beiden Partnern ab diesem Zeitpunkt nicht mehr vollständig erfüllt ist. Von dieser Regulatorik sind in Österreich laut Umfrage 17 Prozent der Unternehmen betroffen. Doch obwohl das Zeitfenster zur Implementierung entsprechender Vorkehrungen bis Anfang Oktober immer knapper wird, scheint das Bewusstsein für die wirtschaftlichen Folgen eines Cyberangriffs noch nicht überall angekommen zu sein. Zwar liegt in drei von vier Betrieben ein konkreter Maßnahmenkatalog zur Senkung von Cyberrisiken vor, gleichzeitig scheitert rund ein Drittel
(31 %) an der fristgerechten Umsetzung.