Meldepflicht für Opfer von Hacker-Angriffen

Wer den Schaden hat, könnte gleich darauf einen noch drastischeren erleiden: Dann nämlich, wenn das betroffene Unternehmen in einem der 28 EU-Staaten den nationalen Behörden nicht meldet, dass es Opfer eines Cyberangriffes wurde. Extrem hohe Strafen stehen im Raum.

Ab morgen, Mittwoch, wird EU-weit die neue Cybersicherheits-Richtlinie wirksam. Alle EU-Staaten hatten zwei Jahre lang Zeit, die Richtlinie in nationale Gesetze umzuwandeln.

Bitteres Geheimnis

In Österreich ist das Gesetz zur „Netz- und Informationssicherheit“ (NIS) noch in Begutachtung, soll aber noch im Mai beschlossen werden. Firmen mit weniger als 50 Mitarbeitern sind ausgenommen. Doch für rund 400 Unternehmen in Österreich, die vor allem im Bereich „kritischer Infrastruktur“ wie etwa Verkehr, Banken oder Gesundheit tätig sind, gilt ab sofort: Sicherheits- und Datenschutzpannen sowie IT-Angriffe auf die eigenen System müssen den Behörden gemeldet werden. Bisher hatten Unternehmen Cyberattacken aus Sorge vor Reputationsverlust oft wie ein bitteres Betriebsgeheimnis gehütet und nicht zur Anzeige gebracht. Wie hoch die Strafen für weiteres Nicht-Melden liegen werden, ist bisher nur aus Großbritannien bekannt: Dort müssen Unternehmen mit Strafzahlungen von bis zu 19 Millionen Euro rechnen.

Zudem waren alle EU-Staaten angehalten, nationale Cyber-Abwehrstrategien auszuarbeiten und zu koordinieren. Schwächer gesicherte EU-Staaten sind ein Risikofaktor, deshalb sollten einheitliche Standards für mehr Sicherheit sorgen – und Rechtssicherheit schaffen.

In Österreich wurde laut dem jüngsten „Bericht Cybersicherheit 2018“ von Jänner bis November 2017 im Jahresvergleich ein Anstieg von mehr als 50 Prozent bei Cybercrime-Delikten verzeichnet.