Neues Gesetz: Diese Unternehmen müssen Hackerangriffe melden

23. August 2018 Drucken
Neues Gesetz: Diese Unternehmen müssen Hackerangriffe melden
15743421084831574341247790

Anbieter „wesentlicher Dienste“ müssen Pläne und Konzepte zum Schutz ihrer IT-Infrastruktur bereitstellen. Unternehmen mit mehr als 50 Mitarbeitern sind seit 9.5.2018 zudem verpflichtet, schwerwiegende Hackerangriffe den Behörden melden.

Am 9. Mai 2018 wurde EU-weit die neue Cybersicherheits-Richtlinie wirksam. Unternehmen werden verpflichtet, sich zu schützen, Hackerangriffe zu dokumentieren und größere Zwischenfälle den nationalen Behörden zu melden. Firmen mit weniger als 50 Mitarbeitern sind ausgenommen.

Alle EU-Staaten hatten zwei Jahre lang Zeit, die Richtlinie in nationale Gesetze umzuwandeln. In Österreich ist das Gesetz zur „Netz- und Informationssicherheit“ (NIS)  nach langen Verzögerungen immer noch nicht in nationales Recht übergeführt. Fertiggestellte Begutachtungsentwürfe wurden im Bundeskanzleramt laut Radio FM4 wieder verworfen. Die „Verzögerung der Richtlinienumssetzung sei auf das Bestreben der Bundesregierung zurückzuführen,  Doppelgleisigkeiten zu vermeiden“, heißt es dort seitens des Bundeskanzleramts

Schutz neuralgischer Punkte

Ziel der europäischen IT-Sicherheits-Richtlinie ist es, die kritische Infrastruktur EU-weit besser gegen Störungen und Angriffe abzusichern. Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) ist am 8. August 2016 in Kraft getreten.

Anbieter „wesentlicher Dienste“ müssen sofort melden

Die neuen EU-Vorschriften legen verbindliche Sicherheitsbestimmungen und Berichtspflichten für die „Betreiber wesentlicher Dienste“ fest. Damit sind z.B. Energie-, Transport-, Gesundheits-, Trinkwasserversorger sowie einige Finanzdienstleister angesprochen. Und in geringerem Umfang „Anbieter von digitalen Diensten“ (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Anbieter). Die NIS-Richtlinie verpflichtet diese Unternehmen, „den neuesten Stand der Technik zu berücksichtigen“, um die Risiken für die Sicherheit der Netze und Informationssysteme, die zur Erbringung der erfassten Dienste verwendet werden, zu beherrschen und geeignete Maßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen zu ergreifen. Sicherheitsvorfälle bestimmter Größenordnung müssen den zuständigen nationalen Behörden gemeldet werden. Die oben genannten Verpflichtungen gelten unabhängig davon, ob die Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste ihre eigenen Netz- und Informationssysteme betreiben und verwalten oder diese auslagert haben. Wie erwähnt: KMU mit weniger als 50 Mitarbeitern sind von den Bestimmungen ausgenommen.

Umsetzung noch unbestimmt

Mit der noch ausstehenden nationalen Umsetzung des Gesetzes zur Netz- und Informationssicherheit sind viele Fragen der Umsetzung noch offen. So ist noch nicht bekannt, welche Behörde in welcher Form zu informieren ist und welche Angaben dabei geliefert werden sollen. Ob die Meldepflicht für Unternehmen außerhalb der „wesentlichen Dienste“ vollumfänglich zutrifft, ist ebenfalls noch unklar. Der NEWSROOM berichtet.

Mehr zum Thema