Was ist NIS2 und wer ist in Österreich betroffen?

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Security Directive). In Österreich betrifft sie kritische Infrastrukturen wie Energie, Verkehr, Gesundheitswesen, sowie wichtige Wirtschaftssektoren. Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in betroffenen Sektoren müssen die Anforderungen erfüllen. vetosec unterstützt bei der NIS2-Compliance mit Gap-Analysen und Beratung.

Was sind Managed Security Services?

Managed Security Services bedeuten, dass ein spezialisierter Anbieter Ihre Cybersicherheit kontinuierlich überwacht und verwaltet. Dies umfasst 24/7 Bedrohungsüberwachung, Endpoint Detection and Response (EDR), Incident Response, und Security Operations Center (SOC) Funktionen. Ideal für Unternehmen ohne eigenes Security-Team.

Wie lange dauert eine ISO27001-Zertifizierung?

Eine ISO27001-Zertifizierung dauert in Österreich typischerweise 6-12 Monate, abhängig von der Unternehmensgröße und bestehenden Sicherheitsmaßnahmen. Der Prozess umfasst Gap-Analyse, Implementierung eines Information Security Management Systems (ISMS), interne Audits und das externe Zertifizierungsaudit.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 gilt für kritische Infrastrukturen und wichtige Wirtschaftssektoren in der gesamten EU. DORA (Digital Operational Resilience Act) ist spezifisch für Finanzinstitute und konzentriert sich auf digitale operationale Resilienz. Beide erfordern Cybersicherheitsmaßnahmen, aber DORA hat zusätzliche Anforderungen für Finanzdienstleister in Österreich.

Warum brauchen österreichische KMU Cybersicherheit?

Österreichische KMU sind zunehmend Ziel von Cyberangriffen, insbesondere Ransomware. Zusätzlich erfordern neue EU-Richtlinien wie NIS2 und DSGVO angemessene Sicherheitsmaßnahmen. Ein Sicherheitsvorfall kann zu Datenverlust, Betriebsunterbrechungen, hohen Strafen und Reputationsschäden führen. Professionelle Cybersicherheit schützt Ihr Geschäft und Ihre Kunden.

IT Security for Architects and Civil Engineers in Austria: What You Really Need to Know

Published: May 26, 2026 • Updated: May 26, 2026

Kein Rechtsrat. Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Wir sind ein IT-Unternehmen, keine Rechtsanwältinnen oder Rechtsanwälte. Für verbindliche berufsrechtliche Auskünfte wenden Sie sich an die Bundeskammer der Ziviltechniker (Arch+Ing) oder an einen qualifizierten Rechtsberater.

Architekten und Ziviltechniker gelten in der öffentlichen Wahrnehmung nicht als typische Ziele von Cyberkriminellen. Doch in ihren Systemen liegen Gebäudepläne, Grundrissdaten, Ausschreibungsunterlagen, Kostenpläne, Vertragsdaten und personenbezogene Informationen von Auftraggebern, Behörden und Mitarbeitenden. Das macht diese Kanzleien und Büros zu einem attraktiveren Ziel, als viele vermuten.

Ziviltechniker unterliegen der DSGVO

Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet, unabhängig von der Größe. Die WKO hält dazu fest, dass Cloud-Dienste-Anbieter, IT-Dienstleister und vergleichbare Auftragsverarbeiter ausdrücklich in den Anwendungsbereich fallen, sobald sie personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten.[Quelle: WKO]

Welche Daten sind besonders schützenswert?

Neben den klassischen Stammdaten von Kunden und Mitarbeitenden halten Architekturbüros und Ziviltechnikerkanzleien oft Informationen, deren Verlust oder Missbrauch erhebliche Folgen haben kann. Detaillierte Gebäudepläne von Wohn-, Gewerbe- oder Infrastrukturprojekten können für Einbrüche, Sabotage oder industrielle Konkurrenz missbraucht werden. Kostenschätzungen und Ausschreibungsdaten sind geschäftskritische Informationen, die in falschen Händen das Vertrauen von Auftraggebern dauerhaft beschädigen. Genehmigungsunterlagen, die an Behörden übermittelt werden, müssen ebenso vertraulich behandelt werden wie Kommunikation mit privaten Bauherren.

Die Aufbewahrungspflicht schafft langfristige IT-Risiken

Steuerrechtlich gilt in Österreich gemäß Paragraf 132 BAO eine siebenjährige Aufbewahrungspflicht für Unterlagen.[Quelle: WKO] Das bedeutet, dass in einem Büro, das seit zehn Jahren aktiv ist, potenziell IT-Systeme mit einer großen Menge historischer Daten existieren, die unter Umständen auf veralteten Servern oder schlecht gesicherten externen Festplatten liegen. Jede dieser Datenquellen ist ein möglicher Angriffspunkt.

Berufsgeheimnis und IT-Sicherheit gehören zusammen

Das österreichische Datenschutzgesetz (DSG) verpflichtet Arbeitgeber, Mitarbeitende zur Geheimhaltung zu verpflichten und entsprechend zu unterweisen.[Quelle: DSB] Die berufsrechtliche Verschwiegenheitspflicht, wie sie Ziviltechniker aus dem Ziviltechnikergesetz kennen, erstreckt sich sinngemäß auch auf die digitale Sphäre. Eine ungesicherte E-Mail, ein unverschlüsselter USB-Stick oder ein schwaches Passwort kann eine Verletzung dieser Pflichten darstellen.

Externe Dienstleister erfordern Auftragsverarbeitungsverträge

Wenn ein Büro externe IT-Dienstleister, Cloudlösungen oder Softwareanbieter nutzt, die dabei Zugang zu personenbezogenen Daten haben, ist nach DSGVO ein sogenannter Auftragsverarbeitungsvertrag (AVV) abzuschließen.[Quelle: WKO] Viele Büros haben diesen Vertrag mit ihrem IT-Dienstleister oder CAD-Software-Anbieter nie explizit abgeschlossen. Das ist ein häufig übersehenes Compliance-Risiko.

Was ein Architekturbüro konkret tun sollte

Der sinnvolle erste Schritt ist ein strukturierter IT-Sicherheitscheck, der zeigt, welche Systeme im Einsatz sind, wie diese gesichert sind und wo Zugänge ohne ausreichende Kontrol

Not legal advice. This article is for general informational purposes only and does not constitute legal advice. We are an IT company, not lawyers. For binding guidance on professional regulatory obligations, please contact the Bundeskammer der Ziviltechniker (Arch+Ing) or a qualified legal advisor.

Architects and civil engineers are not typically thought of as prime targets for cybercriminals. Yet their systems hold building plans, floor layouts, tender documents, cost schedules, contract data, and personal information about clients, authorities, and employees. That makes their offices a more attractive target than most people in the profession assume.

Civil engineers are subject to the GDPR

The GDPR applies to every organisation that processes personal data, regardless of size. The WKO confirms that cloud providers, IT service providers, and comparable processors fall explicitly within scope as soon as they process personal data on behalf of a controller.[Source: WKO]

What data is particularly worth protecting?

Beyond standard client and employee records, architecture firms and civil engineering practices often hold information whose loss or misuse can have serious consequences. Detailed building plans for residential, commercial, or infrastructure projects can be misused to facilitate break-ins, sabotage, or industrial espionage. Cost estimates and tender documents are business-critical information that, in the wrong hands, can permanently damage the trust of clients. Permit documentation submitted to authorities must be treated with the same confidentiality as private correspondence with building owners.

Retention obligations create long-term IT risk

Under Austrian tax law, Paragraph 132 of the BAO imposes a seven-year retention obligation for business records.[Source: WKO] This means that an office active for ten or more years may have IT systems containing a large body of historical data, potentially stored on outdated servers or poorly secured external drives. Each of those data sources is a potential point of attack.

Professional secrecy obligations extend to the digital world

The Austrian Data Protection Act (DSG) requires employers to bind employees to confidentiality obligations and to train them accordingly.[Source: DSB] The professional confidentiality obligations that civil engineers know from the Ziviltechnikergesetz apply in the same spirit to the digital sphere. An unsecured email, an unencrypted USB drive, or a weak password can represent a violation of those obligations.

External service providers require data processing agreements

When a firm uses external IT service providers, cloud solutions, or software vendors that have access to personal data in the process, the GDPR requires a data processing agreement (Auftragsverarbeitungsvertrag, or AVV) to be in place.[Source: WKO] Many firms have never formally entered into such an agreement with their IT provider or CAD software supplier. This is a frequently overlooked compliance gap.

What an architecture firm should do in practice

The sensible first step is a structured IT security check that maps which systems are in use, how they are secured, and where access points exist without adequate controls. From there, foundational technical measures should be implemented: current patches on all devices, encrypted file storage, multi-factor authentication for all external access, and a secure backup concept that is regularly tested. On the organisational side, employee training on phishing and secure communication is one of the most impactful and cost-effective measures available.

Summary

Architects and civil engineers are not IT companies, but they are IT-dependent companies with professional regulatory obligations and sensitive data. IT security for them is not an optional extra — it is part of their professional duty of care. Recognising that early protects the business, its clients, and its reputation.