Am 9. Mai 2018 wurde EU-weit die neue Cybersicherheits-Richtlinie wirksam. Unternehmen werden verpflichtet, sich zu schützen, Hackerangriffe zu dokumentieren und größere Zwischenfälle den nationalen Behörden zu melden. Firmen mit weniger als 50 Mitarbeitern sind ausgenommen.
Alle EU-Staaten hatten zwei Jahre lang Zeit, die Richtlinie in nationale Gesetze umzuwandeln. In Österreich ist das Gesetz zur „Netz- und Informationssicherheit“ (NIS) nach langen Verzögerungen immer noch nicht in nationales Recht übergeführt. Fertiggestellte Begutachtungsentwürfe wurden im Bundeskanzleramt laut Radio FM4 wieder verworfen. Die „Verzögerung der Richtlinienumssetzung sei auf das Bestreben der Bundesregierung zurückzuführen, Doppelgleisigkeiten zu vermeiden“, heißt es dort seitens des Bundeskanzleramts
Schutz neuralgischer Punkte
Ziel der europäischen IT-Sicherheits-Richtlinie ist es, die kritische Infrastruktur EU-weit besser gegen Störungen und Angriffe abzusichern. Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) ist am 8. August 2016 in Kraft getreten.
Anbieter „wesentlicher Dienste“ müssen sofort melden
Die neuen EU-Vorschriften legen verbindliche Sicherheitsbestimmungen und Berichtspflichten für die „Betreiber wesentlicher Dienste“ fest. Damit sind z.B. Energie-, Transport-, Gesundheits-, Trinkwasserversorger sowie einige Finanzdienstleister angesprochen. Und in geringerem Umfang „Anbieter von digitalen Diensten“ (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Anbieter). Die NIS-Richtlinie verpflichtet diese Unternehmen, „den neuesten Stand der Technik zu berücksichtigen“, um die Risiken für die Sicherheit der Netze und Informationssysteme, die zur Erbringung der erfassten Dienste verwendet werden, zu beherrschen und geeignete Maßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen zu ergreifen. Sicherheitsvorfälle bestimmter Größenordnung müssen den zuständigen nationalen Behörden gemeldet werden. Die oben genannten Verpflichtungen gelten unabhängig davon, ob die Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste ihre eigenen Netz- und Informationssysteme betreiben und verwalten oder diese auslagert haben. Wie erwähnt: KMU mit weniger als 50 Mitarbeitern sind von den Bestimmungen ausgenommen.
Umsetzung noch unbestimmt
Mit der noch ausstehenden nationalen Umsetzung des Gesetzes zur Netz- und Informationssicherheit sind viele Fragen der Umsetzung noch offen. So ist noch nicht bekannt, welche Behörde in welcher Form zu informieren ist und welche Angaben dabei geliefert werden sollen. Ob die Meldepflicht für Unternehmen außerhalb der „wesentlichen Dienste“ vollumfänglich zutrifft, ist ebenfalls noch unklar. Der NEWSROOM berichtet.