Mit dem Netz und Informationssystemsicherheitsgesetz (NISG) verschärft Österreich ab 1.10.2026 die Vorgaben zur Cybersicherheit deutlich. Rainer Knyrim (Rechtsanwalt und Partner bei Knyrim Trieb Rechtsanwälte) erläutert im Gespräch mit Elisabeth Maier (Verlag MANZ), welche Unternehmen und öffentlichen Einrichtungen erfasst sind, warum ein genaues Selbstassessment entscheidend ist und wo unerwartete Fallstricke lauern. Im Fokus stehen die neuen Melde und Registrierungspflichten, kurze Fristen bei Sicherheitsvorfällen sowie die persönliche Verantwortung von Geschäftsführung und Vorstand. Im Gespräch wird auch deutlich, was jetzt vorzubereiten ist, wie sich das NISG zur DSGVO verhält und welche Konsequenzen drohen, wenn man das Thema unterschätzt. Hören Sie rein!
Mit dem Netz‑ und Informationssystemsicherheitsgesetz (NISG) verschärft Österreich ab 1.10.2026 die Vorgaben zur Cybersicherheit deutlich. Rainer Knyrim (Rechtsanwalt und Partner bei Knyrim Trieb Rechtsanwälte) erläutert im Gespräch mit Elisabeth Maier (Verlag MANZ), welche Unternehmen und öffentlichen Einrichtungen erfasst sind, warum ein genaues Selbstassessment entscheidend ist und wo unerwartete Fallstricke lauern.
Im Fokus stehen die neuen Melde‑ und Registrierungspflichten, kurze Fristen bei Sicherheitsvorfällen sowie die persönliche Verantwortung von Geschäftsführung und Vorstand. Im Gespräch wird auch deutlich, was jetzt vorzubereiten ist, wie sich das NISG zur DSGVO verhält und welche Konsequenzen drohen, wenn man das Thema unterschätzt.
Hören Sie rein!
Service:
Elisabeth Maier:
[0:10] Liebe Hörerinnen und Hörer, herzlich willkommen zum MANZ-Podcast Recht Aktuell. Mein Name ist Elisabeth Maier, ich bin Verlagsredakteurin beim Verlag MANZ. Ja, kein Tag vergeht, an dem man nicht von Hackerangriffen, Daten, Diebstahl und Cyberangriffen hört. Cybersicherheit ist ein wichtiges Thema, nicht nur für Unternehmen, sondern auch für das Funktionieren eines Staates. Am 23.12.2025 wurde das Netz- und Informationssystemsicherheitsgesetz, kurz NISG, beschlossen. Das NISG trägt am 1. Oktober 26 in Kraft. Dann wird es für gesellschaftlich relevante Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen geben. Kurz gesagt, es geht um Resilienz, Reaktionsfähigkeit und organisatorische Vorsorge. Zum NISG haben wir heute als Experten Herrn Dr. Rainer Knyrim ins MANZ-Podcast-Studio eingeladen. Lieber Rainer, herzlich willkommen.
Rainer Knyrim:
[0:59] Freut mich sehr, dass ich wieder hier sein darf.
Elisabeth Maier:
[1:01] Ja, du bist ja schon ein alter Podcast-Gast.
Rainer Knyrim:
[1:03] Ja, genau.
Elisabeth Maier:
[1:05] Ja, Herr Dr. Rainer Knyrim ist Rechtsanwalt und Partner von Knyrim Triebrechtsanwälte, eine Kanzlei, die sich auf Datenschutz und Digitalisierungsrecht spezialisiert hat. Es gibt eine lange Reihe von Publikationen. Ich werde einmal zwei herausgreifen. Einerseits den DatKomm. Hier ist Rainer Knyrim der Herausgeber. Der DatKomm ist ein Kommentar zur DSGVO und zum DSG. Und außerdem ist der Chefredakteur der Zeitschrift Datenschutz konkret, DAKO. Hier arbeiten wir auch viel zusammen. Ganz aktuell gibt es in der DAKO im Heft 2 2026 einen Schwerpunkt zum NIS-G. Ja, und lieber Rainer, auf dem Cover der DAKO 2/2026 steht, NIS 2, spät aber doch. Das klingt nach einer langen Entstehungsgeschichte.
Rainer Knyrim:
[1:47] Ja, die ist lang und auch ein bisschen ein Leidensweg gewesen. Es hat angefangen mit der NIS 1 Richtlinie, deswegen heißt es jetzt NIS 2. Die kam ähnlich zeitgleich wie die Datenschutzgrundverordnung.
Elisabeth Maier:
[2:00] Das ist schon ein paar Jahre her.
Rainer Knyrim:
[2:02] Genau, das ist ein paar Jahre her. Da gab es dann auch ein NIS-Gesetz. Und 2022 kam dann die NIS-2-Richtlinie. Da gab es dann 2024 einen Entwurf dazu. Der wurde dann wieder zurückgezogen. Dann hat man lang nichts gehört und erst Ende letzten Jahres ist dann, endlich das Gesetz gekommen, eben das NIS-Gesetz 2026. Und das hat aber dazu geführt, dass die Unternehmen angefangen haben, sich mit dem neuen Gesetz zu beschäftigen. Dann war da Pause, dann hat man diese Projekte wieder ad acta gelegt und jetzt beginnen die Projekte wieder zu laufen. Also wir haben gerade auch in der Kanzlei, in der Beratung sehr viel damit zu tun, weil halt jetzt da eben Fragen auftauchen, die zu klären sind.
Elisabeth Maier:
[2:46] Ist klar. Was war eigentlich das Ziel des Gesetzgebers? Es geht um Cybersicherheit.
Rainer Knyrim:
[2:51] Ganz genau. Ja, es geht einfach darum, dass man in der EU die Unternehmen und auch die öffentlichen Einrichtungen ertüchtigt gegen Cyberangriffe. Also es geht um technische und organisatorische Sicherheitsmaßnahmen, die hier umgesetzt werden sollen und auch dokumentiert werden sollen. Das ist auch wichtig, weil viele Unternehmen haben ja schon natürlich Maßnahmen gesetzt. Aber hier geht es auch um den Aspekt, dass das systematisiert wird und dokumentiert wird, damit das auch dann überprüfbar ist durch die Behörden.
Elisabeth Maier:
[3:20] Und wie ist da auch die Abgrenzung zum Datenschutz?
Rainer Knyrim:
[3:24] Da gibt es viele Parallelen, weil natürlich auch das Datenschutz vorsieht. Das Datenschutzrecht, das technische und organisatorische Sicherheitsmaßnahmen getroffen werden müssen. Im Datenschutzrecht bezieht sich es aber immer auf personenbezogene Daten, während das NIS-Gesetz gilt für alle Daten, also auch irgendwelche Betriebsdaten einer Maschine, irgendwelche Plattformen, die laufen, unabhängig davon, ob es jetzt um personenbezogene Daten geht oder nicht. Also man könnte sagen, es ist hier eine Erweiterung der DSGVO in einem gewissen Sinne.
Elisabeth Maier:
[3:53] Also vor allem technische Aspekte betreffend. Es gibt ja so Kriterien, die heißen Verfügbarkeit, Vertraulichkeit und Authentizität, ja, schwierig das Wort, was Informationssicherheit betrifft.
Elisabeth Maier:
[4:06] Was bedeutet das konkret? Das klingt sehr abstrakt.
Rainer Knyrim:
[4:09] Genau, also das hat verschiedene Aspekte, die Verfügbarkeit, da geht es darum, dass einfach, Einrichtungen, die hier betroffen sind, funktionieren. Wir werden dann noch über die Sektoren sprechen, aber was weiß ich, Energie, dass einfach die Energieversorger nicht gehackt werden und dann es keinen Strom mehr gibt. Also das soll einfach sichern, dass das einfach da ist, was wir gewohnt sind, damit wir unseren Alltag, unsere Geschäfte machen können. Die Vertraulichkeit, das ist eigentlich ein sehr datenschutzrechtlicher Aspekt, dass die Sachen eben geheim gehalten werden und nicht irgendwo im Darknet dann verschwinden, weil sie gehackt worden sind. Und die Authentizität, da geht es darum, dass die Daten auch unverändert bleiben und richtig bleiben. Dass da nicht jemand reinkommt und was verändert zum Beispiel und das nicht mehr authentisch ist.
Elisabeth Maier:
[4:57] Also verfälscht die Daten.
Rainer Knyrim:
[4:58] Verfälscht zum Beispiel, ja.
Elisabeth Maier:
[5:00] Wie schaut es jetzt mit dem Anwendungsbereich aus, du hast das vorher schon kurz erwähnt? Und private Unternehmen, aber auch die Öffentlichkeit,
Elisabeth Maier:
[5:06] wie ist es da genau erfasst?
Rainer Knyrim:
[5:07] Genau, also es sind eine ganze Menge Sektoren erfasst, also zum Beispiel Energie, Wasser, Abfallwirtschaft, aber auch digitale Plattformen, digitale Dienste sind mittlerweile erfasst, also sehr viele Branchen, Lebensmittelproduktion, also alles, was wir so typischerweise im Alltag brauchen, um Wirtschaft betreiben zu können, um leben zu können, das ist im Wesentlichen erfasst, einfach um die Grundbedürfnisse der Menschen und der Wirtschaft zu gewährleisten. Und es trifft auch die öffentliche Hand, also Bundeseinrichtungen, Landeseinrichtungen per se und auf Gemeindeebene dann die Unternehmen, die halt zum Beispiel, Abwasser betreiben, also der Abwasserverband oder die Müllabfuhr, das fällt auch darunter. Wenn eine Gemeinde das alles ausgegliedert hat, dann sind halt die ausgegliederten Gesellschaften und die Gemeinde selbst nicht. Also es betrifft im Prinzip auch alle Ebenen der öffentlichen Verwaltung.
Elisabeth Maier:
[6:01] Das klingt nach einem sehr weiten Anwendungsbereich.
Rainer Knyrim:
[6:03] Ja, der ist tatsächlich recht weit, obwohl man sagt, also von der Menge der betroffenen Unternehmen gibt es so Schätzungen, dass das 4.000 bis 6.000 Unternehmen in Österreich sein werden. Also das ist jetzt auch keine unendliche Menge, weil da gibt es halt gewisse Größenkriterien.
Elisabeth Maier:
[6:22] Also es fällt nicht jeder kleine Adek-Mark drunter, oder?
Rainer Knyrim:
[6:25] Genau, also man kann es kurz sagen. Es fallen drunter die großen Unternehmen. Das sind Unternehmen mit mehr als 250 Mitarbeitern, also Vollzeitäquivalente plus 50 Millionen Umsatz, plus 43 Millionen Bilanzsumme. Und die Mittleren, die fallen auch darunter, die müssen 50 Mitarbeiter haben und 10 Millionen Umsatz und Bilanzsumme und darunter fällt man dann nicht darunter, wenn man sagt, dann ist man nicht so bedeutend und wichtig. Was aber nicht heißt, dass man nichts tun soll. Also ich glaube, man braucht jetzt keine Cybersicherheit machen, weil wir sehen auch, dass gerade viele kleine Unternehmen momentan auch angegriffen werden. Also das sorgt immer wieder für Verwunderung dann bei Unternehmen, die sagen, aber wir sind so klein, warum werden nicht wir angegriffen? Es wird einfach jeder angegriffen. Das erfolgt mittlerweile vollautomatisiert. Da laufen Hackerbots, die halt einfach abchecken, wo komme ich rein und wo sie reinkommen. Da sind sie drinnen und dann wird halt versucht, Daten zu stehlen, erpressen, verschlüsseln, was auch immer die Leute machen. Und letztlich geht es nicht um die Daten, sondern ums Geld. Also es ist dann halt typischerweise irgendeine Geldforderung damit verbunden. Außer es sind jetzt zum Beispiel ausländische Regierungen, die das aus politischen Gründen machen oder aus kriegerischen Gründen. Aber der typische wirtschaftliche Hacker, der es einfach an Geld interessiert.
Elisabeth Maier:
[7:46] Von deinen Erfahrungen aus der Praxis her, wann kann man unter das Nichts gefallen?
Rainer Knyrim:
[7:54] Ja, wie gesagt, wenn man eine gewisse Größe hat und wenn man in die Branchen fällt und da gibt es einige Fallstricke. Es gibt nämlich Unternehmen, die sagen, okay, ich falle eigentlich nicht darunter, weil ich mache zum Beispiel keinen digitalen Dienst. Übersehen aber, dass sie zum Beispiel in Konzernen Unternehmen haben, das für andere Konzerngesellschaften Rechenzentrumsdienste erbringt. Die hosten die Daten für die anderen, die erbringen da gewisse Services für Cloud-Dienste oder gewisse Basisdienste und dann fällt man plötzlich drunter, obwohl man jetzt kein Abfallunternehmen ist oder Energieunternehmen ist, sondern irgendein Industriebetrieb in einer Sparte, die da nicht drunter fällt. Also da kann man drunter fallen.
Rainer Knyrim:
[8:40] Oder ein anderes Problem, das sein kann, ist, dass man zum Beispiel eine Photovoltaikanlage hat und da Strom ins Netz speist. Da gibt es Diskussionen darüber. Der österreichische Gesetzgeber hat offensichtlich versucht, das auszunehmen. Wir halten das für unter Umständen Richtlinien widrig. Also das kann auch ein Problembereich sein. Oder man stellt zum Beispiel Elektro-Ladepunkte auf, wo dann auch Besucher kommen können und laden können, wenn man nett ist. Oder die Mitarbeiter von einer anderen Konzerngesellschaft dürfen dann laden und plötzlich wird man zu einem öffentlichen Ladepunktbetreiber und fällt womöglich auch wieder drunter. Also da gibt es so feine Details, wo man aufpassen muss, dass man nicht doch drunter fällt, obwohl man eigentlich nicht in seiner Branche, in seinem Sektor ist, als Kerngeschäft, die halt da beschrieben sind.
Elisabeth Maier:
[9:28] Ich vermute oder ich hoffe, dass es Lösungen gibt.
Rainer Knyrim:
[9:30] Ja, da kann man dann überlegen, was man macht. Also man kann zum Beispiel eben diese Rechenzentrumsdienste dann, extern vergeben und halt nicht intern erledigen oder jeder macht sich selber oder man macht halt diese Ladepunkte zum Beispiel nicht öffentlich und sagt, nur für die eigenen Mitarbeiter.
Elisabeth Maier:
[9:46] Dann ist es kein Verkauf.
Rainer Knyrim:
[9:47] Genau, das zum Beispiel oder man sagt, den Strom, den speichere ich nicht ein, sondern ich kaufe mir ein Batteriespeicher und speichere mir den selber und verbrauche ihn dann halt in der Nacht, wenn nicht genug andere Strom zur Verfügung ist. Also da gibt es schon Lösungen, wo man aufpassen muss, dass das Ganze dann nicht zur Umgehung wird. Aber man kann hier schon ein bisschen daran arbeiten. Und das ist eben Teil unserer Beratung. Wie kommt man denn unter Umständen wieder aus?
Elisabeth Maier:
[10:15] Aber man muss genau hinschauen, so wie es ausschaut.
Rainer Knyrim:
[10:17] Man muss genau hinschauen, dass man da nichts übersieht. Das kann gefährlich sein.
Elisabeth Maier:
[10:22] Wie schaut es jetzt vom Zeitrahmen aus? Gibt es denn Fristen oder wann beginnt das Ganze eigentlich?
Rainer Knyrim:
[10:26] Ja, es beginnt eigentlich eh schon relativ bald, nämlich knapp nach dem Sommer, am 1. Oktober. ein drittes Jahr in Kraft und da beginnt auch die Registrierungspflicht, wo man dann eben, wenn man darunter fällt, was man selbst analysieren muss, also bei NIS 1 hat man noch einen Bescheid bekommen und jetzt bei NIS 2 muss man ein Selbstassessment machen, ein rechtliches und dann feststelle ich vor allem darunter und wenn ich darunter falle, dann muss ich mich registrieren und zwar dann bis Jahresende. Also die Frist läuft eigentlich nur von Anfang Oktober bis Jahresende und dann sollte ich mich registrieren. Dann der nächste Schritt ist, dass man bis September 2027 eine Selbstdeklaration durchführt, wo man dann ein bisschen mehr Informationen der Behörde gibt, was man jetzt gemacht hat. Also der erste Schritt ist, will ich nur eine Registrierung, wo ich sage, ich bin da, ich fall da drunter in der Branche, da sind meine Kontaktdaten und fertig. Dass die beide mal einen Überblick hat, wer es überhaupt ist. Dann werden wir auch irgendwann wissen, wie viele jetzt wirklich sich registriert haben, wie viele darunter fallen oder glauben, dass sie darunter fallen. Und dann kommt eben diese Selbstdeklaration. Und dann ab 1. Oktober 2028, dann sind Prüfungen durch die Behörde möglich. Also da hat man schon noch ein bisschen Zeit, das Ganze dann umzusetzen. Da hat man noch möglich.
Elisabeth Maier:
[11:43] Es ist noch ein Spielraum, ja. Du hast diese Cybersicherheitsbehörde erwähnt, die war ja sehr umstritten.
Rainer Knyrim:
[11:50] Was war denn da im Hintergrund? Ja, da gab es anscheinend im Hintergrund ein bisschen politische Diskussionen, weil das war zuerst eine Abteilung im Innenministerium, die es schon gibt, die sich mit Cybersicherheit beschäftigt. Das dürfte dann anderen Ministerien, angeblich dem Ministerium für Landesverteidigung, nicht so gefallen haben. Und jetzt hat man eine Lösung gefunden, dass man eine eigene Behörde macht. So selbstständig ist die dann aber doch wieder nicht, weil die Mitarbeiter aus dieser Ministeriumsbehörde, die kommen alle in diese neue Cybersicherheitsbehörde, also die werden darüber ausgelagert. Und die Behörde hat auch eine gewisse Weisungsgebundenheit. Also das Innenministerium kann der Weisungen erteilen, die müssen zwar dann dokumentiert werden und veröffentlicht werden, aber so ganz selbstständig ist sie auch nicht. Aber es ist, wie gesagt, jetzt eine eigene Behörde, die, muss man sagen, relativ viele Aufgaben hat, wo man dann sehen wird, ob die genug Mitarbeiter auch hat, um das alles zu erledigen.
Elisabeth Maier:
[12:45] Ja, hängt wahrscheinlich auch davon ab, wie viele sich jetzt registrieren, wie viele Unternehmen und wie viel Aufwand es dann wirklich ist.
Rainer Knyrim:
[12:51] Genau.
Elisabeth Maier:
[12:51] Ja, was ist jetzt, wenn man als Unternehmen sagt, naja, weiß nicht, interessiert mich nicht, bin ich jetzt gerade nicht so, habe gerade anderes
Elisabeth Maier:
[12:59] zu tun und das alles einmal ein bisschen liegen lässt und die Registrierung versäumt?
Rainer Knyrim:
[13:04] Ja, das ist natürlich immer eine Methode, wie man in Österreich versucht, die Sachen zu erledigen, indem man sie nicht erledigt und dem hat natürlich der Gesetzgeber auch ein bisschen vorgebaut und es gibt halt Strafen. Und schon für die Nichtregistrierung, wenn man sagt, registrieren Sie mal nicht und die Behörde kommt drauf und findet, man hätte sich registrieren müssen, gibt es schon mal bis zu 50.000 Euro Strafe, also nicht so wenig. Und dann gibt es tatsächlich einen recht hohen Strafrahmen, also wenn man dann diese Maßnahme nicht umsetzt, obwohl man darunterfällt, dann gibt es bis zu 10 Millionen Euro oder 2 Prozent vom Umsatz. Also wieder so eine umsatzabhängige Strafe, die doch sehr hoch ist. Das kann richtig ins Geld gehen und unangenehm werden, daher ist es nicht zu empfehlen, nichts zu tun.
Rainer Knyrim:
[13:48] Ja, und im öffentlichen Bereich muss man sagen, das ist ja wie typischerweise immer so in Österreich, dass die öffentlichen Einrichtungen nicht bestraft werden. Da gibt es aber etwas, das eher ungewöhnlich ist, finde ich, dass nämlich öffentliche Einrichtungen dann auch öffentlich benannt werden können, dass sie sich nicht wohl verhalten haben. Also so ein Naming und Shaming im öffentlichen Bereich. Das sieht man nicht so oft in der österreichischen Rechtsordnung. Ein Beispiel gibt es bei der Finanzmarktaufsicht zum Beispiel. Die haben da eine Rechtsgrundlage und da kann man wirklich auf der Startseite der FMA sehen, dass dort Unternehmen angeprangert werden, wirklich namentlich, die halt sich nicht wohl verhalten oder Dinge tun, die nicht in Ordnung sind. Und so kann das dann eben auch passieren mit öffentlichen Einrichtungen. Und das zeigt auch, dass es die öffentlichen Einrichtungen durchaus ernst nehmen sollten. Man will ja dann nicht irgendwo publiziert werden auf einer Webseite und das steht dann auch mal in der Zeitung, dass man da nichts tut. Also das heißt,
Elisabeth Maier:
[14:45] Die Gemeinde X oder die…
Rainer Knyrim:
[14:46] Bezirksverwaltung Y oder die Landesregierung X oder wer auch immer. Irgendein Verband hat diese und jene Maßnahmen nicht umgesetzt und natürlich muss sich dann auch der Bürger fragen, der dort lebt in dieser Gemeinde oder dort bedient wird von dieser öffentlichen Stelle, ob dieses Service auch wirklich sicher ist und verfügbar bleibt. Wenn ich höre, dass mein eigenes Wasserverband keine Sicherheitsmaßnahmen hat und wenn er gehackt ist, steht er womöglich und Dann muss ich mir überlegen, ob ich einen Wasservorrat anlege, weil es könnte einfach mal nicht mehr fließen.
Elisabeth Maier:
[15:20] Ja, oder es wird vielleicht auch Druck von der Bevölkerung aufgebaut.
Rainer Knyrim:
[15:22] Genau.
Elisabeth Maier:
[15:24] Wenn man jetzt so diese Risikoanalyse erstellt, gibt es da irgendwas, woran man sich ein bisschen orientieren kann?
Rainer Knyrim:
[15:32] Ja, da gibt es schon Dinge. Wie gesagt, im Datenschutzrecht muss man ja auch Datensicherheit betreiben. Und da gibt es so Dinge wie die Datenschutzfolgenabschätzung, die wir in der DSGVO kennen. oder auch Informationssicherheitsmanagement und es gibt etwas sehr Spezifisches. Es gibt eine Durchführungsverordnung zur NIS-2-Richtlinie für einige spezifische Sektoren, vor allem so digitale Dienste und digitale Plattformen, wo Maßnahmen sehr genau beschrieben sind, die umzusetzen sind und auch definiert ist, wann zum Beispiel jetzt ein wichtiger Vorfall ist oder ein erheblicher Vorfall ist, den ich der Behörde melden muss.
Elisabeth Maier:
[16:10] Und jetzt konkret, wenn jetzt so ein Cybersicherheitsvorfall passiert, man hofft natürlich, dass es nicht so ist, aber es kann ja dann wirklich dazu kommen, was muss das Unternehmen tun?
Rainer Knyrim:
[16:19] Ja, das ist eine sehr kurze Frist. Das Unternehmen muss binnen 24 Stunden eine Frühwarnung an die Behörde herausgeben. Also das ist eigentlich so die kürzeste Frist, die ich kenne, weil nach der DSGVO haben wir ja 72 Stunden. Die 72 Stunden gibt es dann auch nach den 24 Stunden. In 72 Stunden muss ich dann die tatsächliche Meldung einbringen. Also das erste ist nur so eine Frühwarnung, könnte was passiert sein, da könnte was passieren, wir wissen noch nicht. Nach 72 Stunden muss man die Meldung machen und nach einem Monat soll man dann auch einen Abschlussbericht liefern. Also man muss eigentlich dreimal was machen mit der Behörde. Im Datenschutzrecht ist eigentlich das Normale, dass man nur einmal der Behörde was schickt und sagt, Da war irgendein Vorfall und wir haben ihn erledigt und fertig. Und wir arbeiten noch daran.
Elisabeth Maier:
[17:04] Und wie schaut das jetzt auch im Vergleich zum Datenschutz aus? Wenn ich das der Cybersicherheitsbehörde gemeldet habe, muss ich es dann auch noch der DSB melden?
Rainer Knyrim:
[17:10] Ja, tatsächlich. Also das kann passieren dann nämlich, wenn auch personenbezogene Daten betroffen sind. Dann habe ich einerseits sozusagen den Sicherheitsvorfall und andererseits sind personenbezogene Daten betroffen. Das heißt, ich muss parallel diese zwei Meldungen machen. Es könnte sogar sein, dass ich noch bei mehr Behörden melden muss. Wenn ich jetzt auch noch im Telekom-Unternehmen bin, dann muss ich womöglich noch im Telekom-Bereich eine Behörde melden. Also es können drei, vielleicht sogar mehr Meldepflichten entstehen. Das ist auch etwas, wo die Wirtschaft jetzt schon kritisiert hat und sich da einen One-Stop-Shop wünscht, dass man sagt, man hat da nur eine Behörde, wo man meldet und muss das nicht parallel melden, weil die Meldungen sind natürlich inhaltlich auch relativ ähnlich. Der Vorfall ist immer derselbe und es fällt dann unter bestimmte Rechtsgebiete, also warum das Ganze mehrfach melden.
Elisabeth Maier:
[18:00] Du hast vorher erwähnt, erheblicher Vorfall. Wie schaut da, wann ist ein Vorfall
Elisabeth Maier:
[18:04] erheblich und wann ist er nicht erheblich?
Rainer Knyrim:
[18:06] Ja, da gibt es eine recht allgemeine Definition im Gesetz. Das ist eine schwerwiegende Betriebsstörung oder ein schwerwiegender finanzieller Verlust oder ein erheblicher materieller oder immaterieller Schaden für andere Unternehmen oder Personen. Das klingt recht allgemein. Wenn man in diese Durchführungsverordnung reinschaut, da ist zum Beispiel, dass die sagen, wenn ich ein Plattformanbieter bin, der Online-Marktplätze hat oder Social Media betreibt, dann kann schon eine halbe Stunde Ausfall so ein erheblicher Vorfall sein. Also das ist wirklich sehr kurze Frist.
Elisabeth Maier:
[18:43] Also anscheinend auch abhängig von der Art des Unternehmens, das man betreibt.
Rainer Knyrim:
[18:46] Genau, eben ja. Ja.
Elisabeth Maier:
[18:49] Wenn ich jetzt Kunde so eines Dienstes oder Empfänger so eines Dienstes bin,
Elisabeth Maier:
[18:53] werde ich dann auch davon informiert, dass es da ein Problem gegeben hat?
Rainer Knyrim:
[18:56] Ja, auch diese Verpflichtung gibt es nicht immer, sondern dann, wenn die Erbringung des Dienstes voraussichtlich nachteilig beeinträchtigt ist. Also wenn ich schon erkenne, okay, mein Dienst wird jetzt da für ein paar Stunden oder Tage ausfallen, ich bin einmal, wie man sagt, weg vom Fenster, dann muss ich die Kunden darüber informieren. Wenn man sagt, das ist jetzt nur, irgendwas kurz passiert, aber das Problem ist erledigt, dann wird man die Betroffenen nicht informieren müssen. Wenn man sieht, dass das jetzt ein Problem sein wird für die Kunden, die halt irgendeinen Dienst nutzen, den sie auch brauchen, dann muss ich sie informieren. Also zum Beispiel eine Bank, die gehackt wird und jetzt weiß, das Banking wird jetzt die nächsten 48 Stunden wahrscheinlich weg sein, weil nichts mehr funktioniert. Die müssten die Kunden halt darüber informieren, dass die wissen, die nächsten 48 Stunden kann ich mein Konto nicht online benutzen. Vielleicht geht es mal in der Bankfiliale, das muss ich einplanen, wenn ich irgendwelche dringenden Zahlungen habe.
Elisabeth Maier:
[19:52] Ja, natürlich. Es sind doch viele Verpflichtungen, die da die Unternehmen treffen. Gibt es da Plattformen, wo man sich austauschen kann?
Rainer Knyrim:
[20:04] Ja, das ist sogar vorgesehen im Gesetz, dass man unter anderem Informationsplattformen schaffen kann, die Wirtschaft auch gemeinsam mit der öffentlichen Hand, wo man dann auch wirklich Informationen reinspielen darf. Das ist sozusagen eine Rechtsgrundlage hier für den Informationsaustausch. Da können auch Unternehmen mitmachen, die gar nicht unter das Gesetz fallen. Also das halte ich schon für sehr sinnvoll, dass man eben sich austauscht und sagt, Bei mir ist gerade was los. Passt auf, vielleicht taucht das bei euch auch auf das Problem und vielleicht auch dazu gleich eine Lösung liefert, wie man das in den Griff bekommen hat. Einfach sich gegenseitig helfen. Das ist dahinter der Gedanke.
Elisabeth Maier:
[20:38] Das ist auch ein bisschen wahrscheinlich der Gedanke, diesen Angriffen das Wasser abzugraben damit. Wer ist denn jetzt in einem Unternehmen für diese Einhaltung dieser NIS-Pflichten verantwortlich?
Rainer Knyrim:
[20:48] Ja, da hat man ganz deutlich den Fokus auf die Geschäftsführung bzw. Die Vorstände gelegt. Die sind also in der persönlichen Verantwortung, einerseits sich selbst zu schulen und andererseits auch dafür zu sorgen, dass die Mitarbeiter geschult werden. Und sie müssen im Trainingsmachen sich da auskennen. Und was das Spannende ist, wenn sie sich nicht darum kümmern, dann kann die Behörde sich sogar vorübergehend von ihrer Geschäftsführerfunktion entfernen. Also das ist auch etwas, das man eher nicht so kennt in der österreichischen Rechtsordnung, dass wirklich eine Verwaltungsbehörde einfach dann eine Geschäftsführung mal entfernt und sagt, die sind gefährlich für das Unternehmen, weg mit denen und das muss halt irgendeiner zwischendurch übernehmen. Das ist auch etwas... Wo ich sage, das ist nicht ganz alltäglich in einem Gesetz.
Elisabeth Maier:
[21:38] Eine schwerwiegende Maßnahme eigentlich. Wie schaut das für die Mitarbeiter aus? Das heißt, die Geschäftsordnung muss auch dafür Sorge tragen,
Elisabeth Maier:
[21:45] dass die Mitarbeiter geschult werden?
Rainer Knyrim:
[21:46] Genau, ja. Also einerseits halt durch persönliche Schulungen, Online-Schulungen und dann halt auch so Dinge, um die Mitarbeiter immer wieder daran zu erinnern, zum Beispiel, was ja eine Riesengefahr ist, dass ich nicht irgendwo was anklicke in meinem E-Mail-Postfach oder auf so Phishing-Mails hereinfalle, dass ich irgendwo meine Zugangsdaten zum Netzwerk bekannt gebe. Das sind Dinge, die wir einfach auch in der Beratung sehen, wo Leute laufend reinfallen. Und dann kann halt genau das das Einfallstor für einen Hacker sein.
Elisabeth Maier:
[22:16] Also das wären dann genau die Gefahren, die drohen, wenn man sich sozusagen nicht um Cybersicherheit kümmert.
Rainer Knyrim:
[22:23] Genau, weil wenn man dann wirklich Opfer einer Attacke wird, dann kann es wirklich sehr düster sein. Also wir haben einfach Fälle, wo alles finster ist sozusagen, die Bildschirme, alles ist verschlüsselt, nichts geht mehr, die Arbeit steht still, das dringt natürlich dann nach außen, ich muss das meinen Kunden mitteilen, steht womöglich in der Zeitung, das Ganze kostet schon die Wiederherstellung an sich, plus natürlich mein Umsatzentgang, den ich womöglich habe, also das kann richtig ins Geld gehen und ist sehr bitter. Ihr habt ja auch mal sowas erlebt bei MANZ.
Elisabeth Maier:
[22:56] Ja, richtig. Ja, das stimmt.
Rainer Knyrim:
[22:57] Ich weiß nicht, ob du darüber sprechen darfst, aber ich glaube, ein bisschen darfst du was erzählen darüber, wenn ich so frage.
Elisabeth Maier:
[23:02] Ja, 2019 war das. Es war eh um die Jahreszeit auch ein Hackerangriff. Da wurden Daten verschlüsselt. Es gab keinen Datenverlust, aber die Daten wurden verschlüsselt. Das waren unsere Produktionsdaten, also für unsere Zeitschriften, Bücher und so weiter, aber auch unsere ganze Warenwirtschaft zum Beispiel. Das war eine schwierige Sache. Wir konnten das langwierig und mühselig, muss man sagen, aus Backups wiederherstellen. War aber auch ein Zeitfaktor natürlich. Manz hat aus meiner Sicht daraus gelernt. Wir haben dann eigentlich sofort danach umfangreiche Schulungen bekommen. Das war so ein E-Learning-Tool, wo wir über einen längeren Zeitraum, das war glaube ich fast über ein Jahr, wo wir regelmäßig so E-Learning-Schulungen machen mussten. Die waren auch verpflichtend und inzwischen gibt es dann auch wieder regelmäßig auch persönliche in Präsenz Schulungen zu aktuellen Themen. Konkret werden wir jetzt auch, was ich gehört habe, heuer eine NIS-Schulung bekommen. Da muss jeder Mitarbeiter verpflichtend hingehen. Und davon abgesehen ist aber jetzt inzwischen die gesamte MANZ-Gruppe zertifiziert nach der ISO 27001, wo ja Informationssicherheit auch ein großes Thema ist und ein wichtiger Bereich ist. Das Thema ist, also Informationssicherheit als Thema ist im Verlag sehr präsent. Und zwar jetzt nicht nur für IT und EDV, sondern auch für sozusagen nicht IT-affine Mitarbeiter, wie ich einer bin.
Rainer Knyrim:
[24:25] Ja, das ist wichtig. Ich kann mich auch noch erinnern, dass dann einige Zeit der Kontakt ein bisschen schwieriger war.
Elisabeth Maier:
[24:31] Ja, stark, ja.
Rainer Knyrim:
[24:32] Die fehlten.
Elisabeth Maier:
[24:33] Richtig, ja. Ja. Ja, vielleicht ist es noch ein anderer Bereich.
Elisabeth Maier:
[24:42] Es gibt ja auch andere Normen, die sich sozusagen mit Cybersicherheit und Informationssicherheit im weitesten Sinne beschäftigen. Wie kann man das voneinander abgrenzen? Also was gibt es dann, wie kann man es abgrenzen?
Rainer Knyrim:
[24:54] Ja, also es gibt ja in den letzten zwei, drei Jahren eine Flut von Digitalisierungsrechtsakten, die ist kaum noch zu überblicken. Und auch im Cybersicherheitsbereich gibt es mehrere Rechtsakte, die zum Teil branchenspezifisch sind, wie der DORA, der Digital Operation Resilience Act. Der richtet sich spezifisch an Dienstleisterfinanzunternehmen. Der geht auch bei diesen dann, bei den spezifischen Regelungen vor, dem NIS II. Dann gibt es den Cyber Resilience Act, der gilt wieder für die Hersteller digitaler Produkte, die müssen dafür sorgen, dass über den ganzen Lebenszyklus ihre Produkte gesichert sind, also dass zum Beispiel Updates geliefert werden, Sicherheitsupdates für ihre Software. Und dann gibt es noch ein weiteres Gesetz, das Resilienzkritische Einrichtungen-Gesetz, RKIG. Das kommt jetzt auch demnächst. Da werden jetzt auch dann demnächst Bescheide an spezifische Unternehmen übermittelt. Also in dem Fall gibt es wieder Bescheide und denen erklärt, dass sie darunterfallen und die müssen dann noch spezifischere Maßnahmen einhalten, weil sie noch kritischere Einrichtungen sind. Also es gibt einen ganzen Blumenstrauß an Dingen, die man mittlerweile einhalten muss. Und wie gesagt, die DSGVO haben wir ja jetzt schon acht Jahre, die das Thema natürlich auch grundsätzlich regelt.
Elisabeth Maier:
[26:12] Vielleicht ein kleiner Hinweis noch für die Zuhörer. Wenn man sich konkret für DORA interessiert, es gab dazu eine Checkliste in der Zeitschrift Datenschutz konkret von Hans-Jürgen Pollirer. Das war im Heft 5/2024 und im Heft 1/2025, wo man das richtig schön abarbeiten kann.
Rainer Knyrim:
[26:28] Genau.
Elisabeth Maier:
[26:29] Genau. Aber du hast jetzt wirklich schon diesen Blumenstrauß erwähnt und diese vielen, vielen Normen, die es ja gibt.
Elisabeth Maier:
[26:35] Das heißt, man kann unter mehrere fallen. Wie geht man jetzt das Unternehmen vor?
Rainer Knyrim:
[26:40] Ja, man muss mal analysieren, unter welche man fällt, sich dann überlegen, gibt es welche, die den anderen vorgehen oder wie spielen die zusammen, das ist ja auch immer das Schwierige, dass diese Rechtsakte dann oft nicht so gut miteinander koordiniert sind, wie man sich wünschen würde das, weil in Brüssel hat jemand sitzt, gibt es verschiedene Abteilungen und jede Abteilung macht halt so ihr Ding und hat seine Ideen und am Schluss steht dann drin, ja, so Dinge wie, ja, die DSGVO wird davon nicht berührt und man kann sich dann selber überlegen, wie das jetzt zur DSGVO zu kommen. zum Beispiel passt oder wenn man darunterfällt. Also muss man diese Aufgabe leider selber machen. Und wenn man mal analysiert hat, wo fällt man darunter, dann muss man sich überlegen, was muss ich alles tun und das muss ich umsetzen.
Elisabeth Maier:
[27:20] Muss man da wahrscheinlich priorisieren, auch realistischerweise, was jetzt als nächster Punkt ist.
Rainer Knyrim:
[27:24] Man muss überlegen, was macht man als nächstes. Man muss sagen, zum Teil sind es inhaltlich überschneidende Sachen, aber es wird immer schwieriger. Ich kann mich erinnern an eine Veranstaltung letztes Jahr in Deutschland, wo wirklich jemand aus einer ganz großen Rechtsabteilung, die haben natürlich, ich weiß nicht.
Rainer Knyrim:
[27:40] 60, 80, 100 Juristen gesagt, das sind so viele dieser Digitalisierungsrechtsakte, dass auch sie trotz ihrer Größe nur mehr nach dem Triage-Prinzip das abarbeiten können. Sie suchen sich halt die mit den höchsten Strafen aus oder die inhaltlich für sie sinnvoll und wichtig sind und, Die nicht so Bedeutenden, die werden einfach mal ausgelassen. Was eigentlich schockierend ist, das zu hören, wenn selbst so große Rechtsabteilungen das nicht mehr bewältigen können. Da fragt man sich, wie macht das ein kleines Unternehmen, wo es vielleicht nur eine Ein-Mann-Rechtsabteilung gibt, die dann plötzlich alle diese Dinge können muss.
Rainer Knyrim:
[28:15] Wie man sich auch fragt, an den Behörden, das haben wir noch nicht besprochen, die Strafbehörden sind dann tatsächlich die Bezirksverwaltungsbehörden. Und man stelle sich dann halt irgendeine Bezirksverwaltungsbehörde, Salzburg, Umgebung oder so etwas vor, die dann plötzlich auch Cybersicherheit können müssen. Und das ist vielleicht ein Gewerbereferent, der bis jetzt mit Wirtshäusern zu tun gehabt hat und hat geschaut, ob dort alles mit rechten Dingen zugeht und alle Richtlinien für Restaurantbetriebe eingehalten werden und plötzlich muss er sich mit Cybersicherheit beschäftigen, weil ihm das halt aufs Auge gedrückt wird, das neue Sachgebiet.
Elisabeth Maier:
[28:54] Das heißt auch für die Behörden eine Herausforderung, weil es komplett, eigentlich eine neue Materie auch ist.
Rainer Knyrim:
[28:59] Eine neue Materie ist und viele da auch nicht so affin sind, die Jüngeren vielleicht, aber wenn ich jetzt einer bin, der jetzt schon 30 Jahre dort im Dienst bin und nichts so mit digitalen Themen zu tun hatte, außer dass ich einen Computer habe am Arbeitsplatz, dann ist es nicht leicht, das umzusetzen. Das heißt, auch die Behörden müssen schauen, dass die Mitarbeiter entsprechende Schulungen erhalten.
Elisabeth Maier:
[29:20] Das heißt, man muss hier wahrscheinlich auch viel technisches Hintergrundwissen haben.
Rainer Knyrim:
[29:24] Ja, und auch organisatorisch. Es ist auch viel Themen, wie mache ich eine Betriebsorganisation, wie mache ich Management-Systeme. Und das ist auch etwas, das jetzt zum Beispiel einem Juristen gar nicht so geläufig ist. Das muss man mal verstehen lernen, wie sowas funktioniert und wie man so ein Kontrollsystem aufbaut zum Beispiel oder ein Dokumentationssystem.
Elisabeth Maier:
[29:44] Was ist jetzt für Unternehmen am wichtigsten zu tun, jetzt als erstes sozusagen?
Rainer Knyrim:
[29:48] Ja, wie gesagt, also im Nies-Gesetz jetzt einmal überlegen, wirklich bis 1. Oktober falle ich drunter, weil ich muss mich einmal registrieren. Das ist einmal der erste Schritt zu prüfen, falle ich wo drunter, habe ich was übersehen, irgendwelche Feinheiten, wo ich vielleicht drunter falle. Also das ist eigentlich eine Aufgabe, die mehr oder weniger jedes Unternehmen sich überlegen muss. Berührt mich das irgendwie? Und ja, wenn ich es dann tun muss, dann muss ich eben beginnen, die Dinge umzusetzen. Und mein Tipp noch einmal, auch wenn ich da feststelle, ich falle nicht runter, sollte ich trotzdem Cybersicherheit machen, weil die Erfahrung zeigt, es ist nicht die Frage, ob es passiert, sondern wann es passiert. Es trifft einen jeden irgendwann einmal, dass er halt einen Angriff hat. Auch juristische Verlage, wie wir gehört haben, können dann davon betroffen sein, obwohl man das jetzt nicht sich denken könnte, das ist jetzt Ziel-1-Gebiet, aber ich vermute, es wurde auch hier im Hintergrund dann Geld verlangt.
Elisabeth Maier:
[30:43] Ja, natürlich. Ja. Ja, gibt es von deiner Seite, sozusagen als Abschlussfrage, noch einen Wunsch an die Gesetzgebung?
Elisabeth Maier:
[30:52] Was könnte man besser machen oder was wäre noch zu tun?
Rainer Knyrim:
[30:56] Ja, also ein Wunsch, der jetzt auch angegangen wird. Es gibt ja diese Digital Omnibus-Initiativen jetzt auf EU-Ebene, wo man die Rechtsakte, die man gerade geschaffen hat, schon wieder vereinfachen will, weil man festgestellt hat, das ist doch ein bisschen zu viel gewesen. Und da ist eben ein Wunsch, so eine einheitliche Meldestelle zu bekommen, dass man dann nicht drei oder vier oder fünf Ummeldungen, wo man wirklich an verschiedene Stellen machen muss, immer zum selben Thema. Und eigentlich hat man ganz was anderes zu tun, sich nämlich mit dem Vorfall zu beschäftigen und nicht probiert zu produzieren. Das wäre der eine Wunsch. Und der andere Wunsch wäre, dass die Gesetze einfach besser aufeinander abgestimmt werden, schon von Brüssel aus, dann auch in Österreich in der Umsetzung, damit sich die Unternehmen leichter tun. Das ist zwar für uns als Berater natürlich angenehmer, mehr beraten zu können, aber wir sehen einfach, dass das gerade für kleinere Unternehmen schon ein großer Aufwand ist, hier ständig klären zu müssen, falle ich darunter, wie verhält sich das zu anderen Rechtsakten. Also da einfache Handhabungen werden ja wirklich hilfreich für die Wirtschaft.
Elisabeth Maier:
[31:55] Damit es nicht so komplex ist. Lieber Rainer, danke, dass du ins MANZ Podcast-Studio gekommen bist und auch so viel aus der Praxis erzählt hast. Du hast es richtig gesagt, beim Thema Cybersicherheit glaubt jeder, dass er nicht betroffen ist, aber es ist eigentlich anders. Wer mehr zum NISKI erfahren möchte, wie gesagt, Teilschrift Datenschutz konkret, Heft 2 2026. Schwerpunkt dazu mit einem Beitrag von eben Rainer Knyrim und Gregor Brandstetter für die praktische Einordnung. Wir haben auch wieder eine Checkliste von Hans-Jürgen Pollirer, wo man Einzelpunkte schön der Reihe nach abarbeiten kann. Und außerdem ein Interview mit Othmar Lendl, der ist Mitglied des CERT-Management-Teams, wo der juristische Befund so ein bisschen um die technische und operative Perspektive erweitert wird. Ja, und wie immer an dieser Stelle, liebe Hörerinnen und Hörer, wenn Ihnen dieser Podcast gefallen hat, empfehlen Sie uns bitte weiter. Bis bald und auf Wiederhören.
Rainer Knyrim:
[32:51] Auf Wiederhören.