Cybersicherheitsgesetz beschlossen: „Wer jetzt jammert, hat in der Vergangenheit geschlafen“
Zusammenfassung
- Das neue Netz- und Informationssicherheitsgesetz setzt die EU-Richtlinie NIS2 in Österreich um und betrifft rund 4.000 Unternehmen aus 18 kritischen Sektoren mit strengeren Cybersicherheitsauflagen.
- Kritik gibt es an der Ausweitung der betroffenen Unternehmen und an unterschiedlichen nationalen Umsetzungen innerhalb der EU, was zu mehr Bürokratie führt.
- Trotz kleiner Schwächen wird erwartet, dass das Gesetz das Cybersicherheitsniveau in Österreich deutlich anhebt.
Ein Vertragsverletzungsverfahren bei der EU war bereits anhängig. Am Freitag wurde das Netz- und Informationssicherheitsgesetz mit einer Verspätung von mehr als einem Jahr schließlich vom Nationalrat mit Zweidrittelmehrheit beschlossen. Das Regelwerk, mit dem die entsprechende EU-Richtlinie (NIS-2) in Österreich umgesetzt wird, soll heimische Unternehmen widerstandsfähiger gegen Cyberangriffe machen.
Das dürfte notwendig sein. Eine Studie der Unternehmensberater von KPMG hat zuletzt etwa gezeigt, dass jeder siebente Cyberangriff hierzulande erfolgreich ist.
Von dem Regelwerk betroffen sind rund 4.000 Firmen aus 18 kritischen Sektoren wie Energie, Transport, Gesundheitswesen oder Digitalinfrastruktur. Sie müssen Risikoanalysen durchführen, technische und organisatorische Maßnahmen für mehr Cybersicherheit setzen, unterliegen bei Vorfällen strengen Meldepflichten und müssen über Verträge mit Dienstleistern und Lieferanten sicherstellen, dass die Sicherheit in den Lieferketten gegeben ist. Bei Verstößen drohen Strafen bis zu 10 Mio. Euro oder zwei Prozent des Jahresumsatzes.
Fristen
Neun Monate nach Kundmachung im Bundesgesetzblatt, also voraussichtlich im Herbst 2026, wird das Gesetz in Kraft treten. Betroffene Firmen haben dann drei Monate Zeit, sich zu registrieren und müssen ein Jahr nach Inkrafttreten eingeleitete Cybersicherheitsmaßnahmen deklarieren. Nachweise zur Umsetzung müssen sie frühestens zwei Jahre nach Inkrafttreten des Gesetzes erbringen.
"Nichts misszuverstehen"
Für Unternehmen, die sich auch schon bisher an gängige Standards in der Cybersicherheit gehalten haben, etwa an die internationale Norm für Informationssicherheits-Managementsyteme ISO 27001, sei die Umstellung nicht so groß, sagt Michael Krausz. „Wer jetzt jammert, hat in der Vergangenheit geschlafen, befindet der Cybersicherheitsexperte, der mit seiner i.s.c. group Firmen und Organisationen weltweit in Fragen der IT-Sicherheit, Informationssicherheit und Compliance berät. Die österreichische Umsetzung der EU-Richtlinie hält er für gelungen. Es sei für jeden klar, was zu tun sei, sagt Krausz: „Es gibt nichts misszuverstehen.“
Mehr Firmen als notwendig betroffen
In Österreich seien allerdings viel mehr Unternehmen von der Neuregelung betroffen, als es eigentlich sein müssten, sagt Krausz. Denn bei der Art und Weise, wie die Größe von Unternehmen bestimmt werde, habe man über das Ziel hinausgeschossen. Die Empfehlung der EU-Kommission sehe die Mitarbeiterzahl UND den Umsatz in Kombination mit der Bilanzsumme vor. Hierzulande habe man sich für die Formulierung Mitarbeiterzahl ODER Umsatz in Kombination mit der Bilanzsumme entschieden. „So sind zumindest 1.000 Unternehmen mehr betroffen“, rechnet Krausz vor.
Problematisch sei auch, dass es in jedem Land ein eigenes Implementierungsgesetz gebe. Das habe zur Folge, dass etwa österreichische Unternehmen, die Niederlassungen in anderen EU-Ländern haben, dort unter Umständen unterschiedliche Vorgaben erfüllen müssen. So umfasse etwa das österreichische Gesetz gerade einmal 37 Seiten, in Deutschland seien es hingegen an die 140 Seiten, sagt Krausz.
Kritik gab es auch an der Cybersicherheitsbehörde, die im Innenministerium angesiedelt werden soll. Die Unabhängigkeit sei dadurch nicht gegeben, hieß es etwa seitens der Bürgerrechtsorganisation epicenter.works. Das Gesetz habe zwar kleine Schwächen, das Cybersicherheitsniveau werde durch die Umsetzung der EU-Richtlinie aber definitiv steigen, ist Krausz überzeugt.
