Die EU-Kommission hat die bisherige NIS-Richtlinie überarbeitet und die IT-Sicherheitsvorschriften nochmals verschärft (im Folgenden die „NIS-2-RL„). In Österreich wurde der Erstentwurf des entsprechenden Umsetzungsgesetzes am 03.04.2024 veröffentlicht (im Folgenden das „NISG 2024„). Die neuen Vorgaben soll sicherstellen, dass Unternehmen und Behörden weitreichendere Maßnahmen ergreifen, um ihre Informationssysteme und Netzwerke vor Cyberbedrohungen zu schützen. Sinn und Zweck ist dabei die Erhöhung der Widerstandsfähigkeit bzw. Resilienz gegen Sicherheitsvorfälle sowie eine verbesserte Cybersicherheitsprävention. Die NIS-2-RL polarisiert – während die einen die NIS-2-RL als überschießend betrachten, welche die Unternehmen belastet und deren Wettbewerbsfähigkeit behindert, sehen andere sie als unerlässliches Instrument im Kampf gegen die wachsende Bedrohung durch Cyberangriffe.
- Für große Teile der Industrie werden die Zügel angezogen
Eine der wichtigsten Änderungen der NIS-2-RL ist die Erweiterung des Anwendungsbereichs auf neue Unternehmen und Sektoren. Von der NIS-2-RL umfasst sind dabei
- elf Sektoren mit hoher Kritikalität (Anhang I, wie Energie, Bankwesen, Finanzmarktinfrastrukturen, IKT-Dienstleister sowie die öffentliche Verwaltung) und
- sieben weitere kritische Sektoren (Anhang II, Lebensmittelunternehmen, Hersteller von Datenverarbeitungsunternehmen, Kraftwagenhersteller, Anbieter digitaler Dienst wie Online-Marktplätze, soziale Netzwerke und Anbieter von Online-Suchmaschinen).
Vor allem durch die Einbeziehung eines wesentlichen Teils der produzierenden Industrie (zB chemische Stoffe, Lebensmittel, elektrotechnische Industrie) betrifft das Cybersicherheitsrecht künftig nicht nur wenige kritische Infrastrukturen, sondern weite Bereiche der Wirtschaft. Ausgenommen von gewissen Bestimmungen betreffend das Cybersicherheitsrisikomanagement und die Berichtspflichten (sohin keine vollumfängliche Ausnahme) sind allerdings Sektoren, für die sektorspezifische Rechtsakte (mindestens gleichwertige) Verpflichtungen vorsehen (zB DORA für Versicherungsunternehmen und Versicherungsvermittler).
Dabei sind nicht sämtliche Unternehmen, die in diesen Sektoren tätig sind, betroffen, vielmehr müssen sie „zumindest mittlere Unternehmen“ sein, sohin gewisse Schwellen überschreiten. Demnach muss das Unternehmen bzw die Einrichtung über 50 Beschäftigte haben und entweder (i) einen Jahresumsatz von 10 Millionen Euro oder mehr oder (ii) eine Jahresbilanzsumme von 10 Millionen Euro oder mehr erzielen. Allerdings sind gewisse Unternehmen auch unabhängig ihrer Größe – daher auch, wenn sie „kleine Unternehmen“ sind – von den Anforderungen der NIS-2-RL betroffen. Dies betrifft Unternehmen in den folgenden Sparten: Vertrauensdiensteanbieter, Anbieter von Kommunikationsnetzen, TLD-Namenregister und DNS-Diensteanbieter sowie Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind und die essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten sind. Darüber hinaus können auch weitere Unternehmen vom Anwendungsbereich erfasst werden, soweit Österreich dies im Gesetz oder per Verordnung festlegt. Im NISG 2024 sind im Wesentlichen die in der NIS-2-RL genannten Sektoren und Unternehmen umfasst, von einer spürbaren Erweiterung des Anwendungsbereichs hat der österreichische Gesetzgeber daher Abstand genommen. Die von der NIS-2-RL verpflichteten Unternehmen haben sich als solche bei der nationalen Behörde entsprechend registrieren zu lassen. Im Allgemeinen ist die NIS-2-RL ist bis 17.10.2024 in nationales Recht umzusetzen, sodass das NISG 2024 bis dahin in Kraft treten sollte. Als Cybersicherheitsbehörde bestimmt das NISG 2024 das Bundesministerium für Inneres, sodass von diesem gegebenenfalls auch noch organisatorische Weichen zu stellen sind.
Die vom Anwendungsbereich erfassten Unternehmen sowie Körperschaften sind in einem zweiten Schritt entweder als „wesentlich“ oder nur „wichtig“ zu qualifizieren. Die Unterscheidung zwischen „wesentlichen“ und „wichtigen“ Einrichtung ist zentral bei den einschlägigen Pflichten. Bei wesentlichen Einrichtungen können dementsprechend höhere „Bußgelder“ verhängt und es können regelmäßige Prüfungen durchgeführt werden, während es bei wichtigen Einrichtungen eines begründeten Verdachts bedarf.
Besonders ins „Schwitzen“ kommen aktuell auch Teile des Finanzsektors durch die sogenannte „DORA“-Verordnung, sie umfasst fünf Säulen und regelt organisatorische Anforderungen an die IT-Sicherheit in beaufsichtigten Unternehmen, insb das IT-Risikomanagement, die Auslagerung an IKT-Dienstleister, die Meldepflicht von Sicherheitsvorfällen und Penetrationstests für systemrelevante Institute. Darüber hinaus wird das weltweit erste Überwachungsregime für Anbieter kritischer IKT (Critical Third Party Provider) geschaffen, die im Finanzsektor genutzt werden (zB Cloud-Diensteanbieter). DORA gilt dabei auch für Versicherungs- oder Rückversicherungsunternehmen sowie Versicherungsvermittler (auch in Nebentätigkeit). Allerdings wird in der DORA den strukturellen Besonderheiten des Versicherungsvermittlermarkts Rechnung getragen, sodass Kleinstunternehmen sowie kleine oder mittlere Unternehmen von DORA ausgenommen wurden. Dieser Erfolg ist auch auf den Einsatz der österreichischen Interessenvertreter zurückzuführen, wären die sehr detaillierten und strengen Anforderungen der DORA für die meisten Versicherungsvermittler doch mit keinem vertretbaren Aufwand umsetzbar. Aus Sicht von Versicherungsvermittlern ist die NIS-2-RL daher nicht anwendbar, die DORA nur insoweit, als das Unternehmen 250 oder mehr Beschäftigte hat und einen Jahresumsatz von 50 Millionen Euro und/oder Jahresbilanzsumme 43 Millionen Euro oder mehr erzielt. Gewerbliche Vermögensberater fallen bei der Kreditvermittlung sowie bei Veranlagungen nicht in den Anwendungsbereich von DORA.
Lesen Sie mehr dazu in der April Print Ausgabe von risControl.