„Wer jetzt jammert, hat in der Vergangenheit geschlafen“

Ein Vertragsverletzungsverfahren bei der EU ist bereits anhängig. Vergangene Woche sollte das Netz- und Informationssicherheitsgesetz mit einer Verspätung von mehr als einem Jahr schließlich vom Nationalrat mit Zweidrittelmehrheit beschlossen worden sein. 

Das Regelwerk, mit dem die entsprechende EU-Richtlinie (NIS-2) in Österreich umgesetzt wird, soll heimische Unternehmen widerstandsfähiger gegen Cyberangriffe machen.

Das dürfte notwendig sein. Eine Studie der Unternehmensberater von KPMG hat zuletzt etwa gezeigt, dass jeder siebente Cyberangriff hierzulande erfolgreich ist.

Von dem Regelwerk betroffen sind rund 4.000 Firmen aus 18 kritischen Sektoren wie Energie, Transport, Gesundheitswesen oder Digitalinfrastruktur. Sie müssen Risikoanalysen durchführen, technische und organisatorische Maßnahmen für mehr Cybersicherheit setzen, unterliegen bei Vorfällen strengen Meldepflichten und müssen über Verträge mit Dienstleistern und Lieferanten sicherstellen, dass die Sicherheit in den Lieferketten gegeben ist. 

Bei Verstößen drohen Strafen bis zu 10 Mio. Euro oder 2 Prozent des Jahresumsatzes.

Fristen

Neun Monate nach Kundmachung im Bundesgesetzblatt, also voraussichtlich im Herbst 2026, wird das Gesetz in Kraft treten. Betroffene Firmen haben dann drei Monate Zeit, sich zu registrieren und müssen ein Jahr nach Inkrafttreten eingeleitete Cybersicherheitsmaßnahmen deklarieren. Nachweise zur Umsetzung müssen sie frühestens zwei Jahre nach Inkrafttreten des Gesetzes erbringen.

Für Unternehmen, die sich auch schon bisher an gängige Standards in der Cybersicherheit gehalten haben, sei die Umstellung nicht so groß, sagt Michael Krausz. „Wer jetzt jammert, hat in der Vergangenheit geschlafen, befindet der Cybersicherheitsexperte, der mit seiner i.s.c. group Firmen weltweit in Fragen der Informationssicherheit berät. Die österreichische Umsetzung der EU-Richtlinie hält er für gelungen. Es sei für jeden klar, was zu tun sei, sagt Krausz: „Es gibt nichts misszuverstehen.“

In Österreich seien allerdings viel mehr Unternehmen von der Neuregelung betroffen als es eigentlich sein müssten, sagt Krausz. Denn bei der Art und Weise, wie die Größe von Unternehmen bestimmt werde, habe man über das Ziel hinausgeschossen. 

Denn die Empfehlung der EU-Kommission sehe die Mitarbeiterzahl UND den Umsatz in Kombination mit der Bilanzsumme vor. 

Hierzulande habe man sich für die Formulierung Mitarbeiterzahl ODER Umsatz in Kombination mit der Bilanzsumme entschieden. „So sind zumindest 1.000 Unternehmen mehr betroffen“, rechnet Krausz vor.

Problematisch sei auch, dass es in jedem Land ein eigenes Implementierungsgesetz gebe. Das habe zur Folge, dass etwa österreichische Unternehmen, die Niederlassungen in anderen EU-Ländern haben, dort unter Umständen unterschiedliche Vorgaben erfüllen müssen. 

So umfasse etwa das österreichische Gesetz gerade einmal 37 Seiten, in Deutschland seien es hingegen an die 140 Seiten, sagt Krausz.

Kritik gab es auch an der Cybersicherheitsbehörde, die im Innenministerium angesiedelt werden soll. Die Unabhängigkeit sei dadurch nicht gegeben, hieß es etwa seitens der Bürgerrechtsorganisation epicenter.works.

Das Gesetz habe zwar kleine Schwächen, das Cybersicherheitsniveau werde durch die Umsetzung der EU-Richtlinie aber definitiv steigen, ist Krausz überzeugt.