Was ist NIS2 und wer ist in Österreich betroffen?

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Security Directive). In Österreich betrifft sie kritische Infrastrukturen wie Energie, Verkehr, Gesundheitswesen, sowie wichtige Wirtschaftssektoren. Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in betroffenen Sektoren müssen die Anforderungen erfüllen. vetosec unterstützt bei der NIS2-Compliance mit Gap-Analysen und Beratung.

Was sind Managed Security Services?

Managed Security Services bedeuten, dass ein spezialisierter Anbieter Ihre Cybersicherheit kontinuierlich überwacht und verwaltet. Dies umfasst 24/7 Bedrohungsüberwachung, Endpoint Detection and Response (EDR), Incident Response, und Security Operations Center (SOC) Funktionen. Ideal für Unternehmen ohne eigenes Security-Team.

Wie lange dauert eine ISO27001-Zertifizierung?

Eine ISO27001-Zertifizierung dauert in Österreich typischerweise 6-12 Monate, abhängig von der Unternehmensgröße und bestehenden Sicherheitsmaßnahmen. Der Prozess umfasst Gap-Analyse, Implementierung eines Information Security Management Systems (ISMS), interne Audits und das externe Zertifizierungsaudit.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 gilt für kritische Infrastrukturen und wichtige Wirtschaftssektoren in der gesamten EU. DORA (Digital Operational Resilience Act) ist spezifisch für Finanzinstitute und konzentriert sich auf digitale operationale Resilienz. Beide erfordern Cybersicherheitsmaßnahmen, aber DORA hat zusätzliche Anforderungen für Finanzdienstleister in Österreich.

Warum brauchen österreichische KMU Cybersicherheit?

Österreichische KMU sind zunehmend Ziel von Cyberangriffen, insbesondere Ransomware. Zusätzlich erfordern neue EU-Richtlinien wie NIS2 und DSGVO angemessene Sicherheitsmaßnahmen. Ein Sicherheitsvorfall kann zu Datenverlust, Betriebsunterbrechungen, hohen Strafen und Reputationsschäden führen. Professionelle Cybersicherheit schützt Ihr Geschäft und Ihre Kunden.

Datenpanne: Was Sie in den ersten 72 Stunden tun müssen

Veröffentlicht: 26. Mai 2026 • Aktualisiert: 26. Mai 2026

Kein Rechtsrat. Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Wir sind ein IT-Unternehmen, keine Rechtsanwältinnen oder Rechtsanwälte. Bitte holen Sie sich fachkundigen rechtlichen Rat, bevor Sie auf Basis dieses Artikels Entscheidungen treffen.

Eine Datenpanne ist kein theoretisches Risiko mehr. Sie kann jedes Unternehmen treffen, das personenbezogene Daten verarbeitet, und in Österreich gilt ab dem Moment, in dem der Vorfall bekannt wird, eine enge rechtliche Frist. Wer die Situation kennt, kann ruhiger handeln.

Was gilt rechtlich als Datenpanne?

Der Begriff umfasst jede Verletzung des Schutzes personenbezogener Daten. Das kann ein Hackerangriff sein, ein verlorenes Notebook, ein falsch gesendetes E-Mail oder ein Mitarbeiter, der versehentlich Kundendaten an den falschen Empfänger weiterleitet. Entscheidend ist, ob dadurch ein Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht.

Die 72-Stunden-Frist

Artikel 33 der Datenschutzgrundverordnung (DSGVO) schreibt vor, dass Verantwortliche eine meldepflichtige Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden müssen. In Österreich ist das die Datenschutzbehörde (DSB) unter dsb.gv.at. Die Behörde stellt dafür ein Onlineformular zur Verfügung.[Quelle: DSB]

Wichtig: Die 72 Stunden laufen ab dem Moment, in dem das Unternehmen von der Datenpanne erfährt, nicht ab dem Zeitpunkt, an dem diese passiert ist. Liegt bei komplexen Vorfällen noch nicht die vollständige Information vor, ist es laut DSB zulässig, eine erste Meldung abzugeben und diese schrittweise zu ergänzen, solange keine unangemessene weitere Verzögerung entsteht.[Quelle: DSB]

Wird die Meldepflicht verletzt, kann die DSB Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen.[Quelle: WKO]

Wann müssen auch Betroffene informiert werden?

Zusätzlich zur Behördenmeldung verlangt Artikel 34 DSGVO in bestimmten Fällen, dass auch die betroffenen Personen selbst benachrichtigt werden. Das ist dann der Fall, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Ob dieses Risiko vorliegt, hängt von der Art der Daten, der Anzahl der Betroffenen und den möglichen Folgen ab.

Was tun, bevor Sie die Meldung abgeben?

Sobald eine mögliche Datenpanne bekannt wird, sollte als erster Schritt die interne Eskalation erfolgen. Die für den Datenschutz zuständige Person im Unternehmen, gegebenenfalls ein externer Datenschutzbeauftragter sowie die Geschäftsführung müssen sofort eingebunden werden. Parallel dazu ist es wichtig, den Vorfall so genau wie möglich zu dokumentieren: Wann wurde er entdeckt? Welche Systeme und Daten sind betroffen? Wie viele Personen könnten betroffen sein?

Technische Sofortmaßnahmen, etwa die Isolierung betroffener Systeme oder das Zurücksetzen von Zugangsdaten, sollten unverzüglich ergriffen werden, sofern das ohne Beweisverlust möglich ist. Hier empfiehlt es sich, einen IT-Sicherheitsdienstleister hinzuzuziehen, der in der Lage ist, forensisch sauber vorzugehen.

Was muss die Meldung enthalten?

Laut WKO und DSB sind in der Meldung folgende Angaben erforderlich: eine Beschreibung des Vorfalls, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die Kontaktdaten der zuständigen Ansprechperson oder des Datenschutzbeauftragten, eine Darstellung der wahrscheinlichen Folgen der Verletzung sowie die bereits ergriffenen oder geplanten Gegenmaßnahmen.[Quelle: WKO]

Jede Datenpanne muss dokumentiert werden

Auch wenn ein Vorfall nach Einschätzung des Unternehmens nicht meldepflichtig ist, weil kein nennenswertes Risiko besteht, muss er intern dokumentiert werden. Die Aufsichtsbehörde kann diese Dokumentation jederzeit anfordern, um zu prüfen, ob die Meldepflicht korrekt beurteilt wurde.

Fazit

Eine Datenpanne ist stressig. Wer aber im Voraus weiß, wie das Vorgehen aussieht, kann die 72-Stunden-Frist einhalten, die richtigen Personen einbinden und rechtliche Konsequenzen minimieren. Investieren Sie in einen klaren internen Notfallplan, bevor der Ernstfall eintritt.

Not legal advice. This article is for general informational purposes only and does not constitute legal advice. We are an IT company, not lawyers. Please seek qualified legal counsel before making decisions based on this content.

A data breach is no longer a theoretical risk. It can happen to any organisation that processes personal data, and in Austria a tight legal deadline starts running from the moment the incident becomes known. Knowing the process in advance makes it possible to act with a clear head.

What legally counts as a data breach?

The term covers any violation of the protection of personal data. That can be a cyberattack, a lost laptop, an email sent to the wrong recipient, or an employee who accidentally forwards customer data to an unintended party. What matters is whether the incident creates a risk to the rights and freedoms of the people affected.

The 72-hour deadline

Article 33 of the GDPR requires that responsible parties report a notifiable data breach to the relevant supervisory authority without undue delay and, where possible, within 72 hours of becoming aware of it. In Austria, that authority is the Datenschutzbehörde (DSB) at dsb.gv.at, which provides an online form for this purpose.[Source: DSB]

The clock starts when the organisation learns of the breach, not when the breach itself occurred. Where a complex incident means not all information is available yet, the DSB permits a phased approach: submit an initial report and supplement it as information becomes available, provided there is no unnecessary further delay.[Source: DSB]

Failing to report can result in fines of up to 10 million euros or 2 percent of global annual turnover.[Source: WKO]

When do affected individuals also need to be notified?

In addition to notifying the authority, Article 34 GDPR requires in certain cases that the affected individuals themselves are informed. This applies when there is a high risk to their rights and freedoms. Whether that threshold is met depends on the type of data involved, the number of people affected, and the likely consequences.

What to do before filing the report

As soon as a possible breach is identified, the first step is internal escalation. The person responsible for data protection in the organisation, any external data protection officer, and management must be informed immediately. At the same time, document the incident as precisely as possible: when was it discovered, which systems and data are affected, how many people could be involved?

Technical immediate measures, such as isolating affected systems or resetting credentials, should be taken without delay, as long as this can be done without destroying evidence. Bringing in an IT security specialist who can work in a forensically sound way is strongly advisable at this stage.

What the report must contain

According to the WKO and DSB, the report must include: a description of the incident, the categories and approximate number of people and records affected, contact details for the relevant person or data protection officer, an assessment of the likely consequences of the breach, and the measures taken or planned in response.[Source: WKO]

Every breach must be documented internally

Even if a breach is assessed as not requiring notification because no meaningful risk exists, it must still be documented internally. The supervisory authority can request this documentation at any time to verify that the reporting obligation was correctly assessed.

Summary

A data breach is stressful. But knowing the process in advance makes it possible to meet the 72-hour deadline, involve the right people, and limit legal consequences. Invest in a clear internal emergency plan before the situation arises.