Das Netz- und Informationssicherheitsgesetz (“NISG”) wird umfassend überarbeitet

Article • Gesellschaftsrecht & Transaktionen

Das Netz- und Informationssicherheitsgesetz ("NISG") ist neben der DSGVO und dem DSG eine der zentralen Normen für Cybersicherheit in Österreich. Dennoch fristete es bisher eher ein Schattendasein. Eine umfassende Überarbeitung der zugrundeliegenden EU-Vorgaben soll dies nun ändern.

Als Teil der 2013 angekündigten Cybersicherheitsstrategie der EU, war die im Juli 2016 in Kraft getretene Richtlinie (EU) 2016/1148 (“NIS-RL“)[1] ein wichtiger Schritt um auf die Herausforderungen im Bereich der Cybersicherheit von Netz- und Informationssystemen reagieren zu können. In diesem Rahmen sollte die NIS-RL Mindestanforderungen für Kapazitätsaufbau, Zusammenarbeit sowie gemeinsame Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste schaffen. In Österreich wurde die NIS-RL Ende 2018 mit dem NISG ins nationale Recht umgesetzt.

Gemäß Artikel 23 der NIS-RL obliegt der Kommission die Befugnis, die Anwendung der Richtlinie regelmäßig zu überprüfen, wobei ein erster Bericht bis zum 9.5.2021 vorgelegt werden sollte. Die rasche technologische Entwicklung der letzten Jahre, verbunden mit einem explosionsartigen Anstieg in der Nachfrage für internetbasierte Angebote aufgrund der COVID-19 Krise haben jedoch wesentliche Lücken in den bisher bestehenden Regelungen offenbart, weshalb die Kommission dazu gezwungen war, den Bericht auf Ende 2020 vorzuverlegen.

Im Rahmen der Evaluation wurden insbesondere folgende Mängel festgestellt:

  • zu enger Anwendungsbereich, welcher eine Reihe von wichtigen, digitalisierten Dienstleistungssektoren nicht umfasst;
  • unklare Definition der bisherigen, erfassten Sektoren und Dienstleister, welcher zu einer sehr kasuistischen Umsetzungspraxis der Mitgliedsstaaten führte;
  • große Unterschiede in der Umsetzung der Berichtspflichten in den einzelnen Mitgliedsstaaten;
  • ineffektives Überwachungs- und Vollstreckungsregime sowie
  • fehlender Informationsaustausch zur den Cybersicherheitsmaßnahmen zwischen den Mitgliedsstaaten

Im Rahmen dieses Briefings bieten wir einen kurzen Überblick über die geplanten Änderungen.

 Änderungen

a) Anwendungsbereich

Anders als noch unter der NIS-RL, soll es den Mitgliedsstaaten nun nicht mehr freistehen, zu bestimmen, welche Diensteanbieter von den nationalen Umsetzungsregelungen umfasst sein sollen. Die NIS-2-RL sieht vor, dass alle mittleren und großen Unternehmen (im Sinne der Empfehlung der Kommission 2003/361/EC[3]), welche in den von der NIS 2-RL erfassten Sektoren tätig werden, vom Anwendungsbereich erfasst sind (“size-cap rule”).

Die essentiellen Dienstleistungsbereiche, die nunmehr von der NIS 2-RL umfasst sein sollen, sind, neben den schon bisher unter dem NISG erfassten Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur, der Abwassersektor, die öffentliche Verwaltung und der Sektor der weltraumgestützten Dienste.

Neben “essentiellen” Sektoren, sollen auch “wichtige” Dienstleistungssektoren umfasst sein. War das NISG bereits jetzt schon auf Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen oder einen Cloud-Computing-Dienst) anwendbar, soll die NIS 2-RL nun auch für Post- und Kurierdienste, Abfallwirtschaft, die Produktion und der Vertrieb von Chemikalien und Lebensmitteln sowie die Produktion sensibler Güter (etwa Computer, elektronische Produkte, Medizingüter) gelten.

Sowohl Dienstleister in “essentiellen” als auch “wichtigen” Sektoren treffen dieselben Risikomanagement- und Notifikationspflichten; ein Unterschied ergibt sich nur in Hinblick auf die Geltung unterschiedlicher Überwachungs- und Vollstreckungsmaßnahmen.

Ebenso fallen soll die generelle Ausnahme für Klein- und Kleinstunternehmen. Während die NIS-RL (und das NISG) in keinem Fall auf diese anwendbar war, sieht Artikel 2 der NIS 2-RL nun spezifische Ausnahmen vor; zB wenn diese Unternehmen Monopolisten in den erfassten Sektoren sind, eine Störung bei diesen Unternehmen wesentlichen Einfluss auf die öffentliche Sicherheit oder Gesundheit hätte oder die Unternehmen Vertrauen Diensteanbieter nach der eIDAS-VO[4] sind.

 

b) Sicherheitsanforderungen

Ebenfalls verschärft werden sollen die Vorgaben zur Corporate-Governance.[5] So sind die Leitungsorgane der betroffenen Unternehmen dazu verpflichtet, die Maßnahmen zum Cybersecurity-Risikomanagement zu genehmigen und zu überwachen, sowie regelmäßig an Schulungen teilzunehmen um sich umfassendes Wissen zu den Cybersicherheitsrisiken und Managementpraktiken zuzulegen. Damit trifft nun auch die Geschäftsleitung eine umfassende Verantwortung.

Artikel 18 der NIS 2-RL sieht nunmehr auch eine erweiterte Liste von technischen und organisatorischen Maßnahmen vor, die von betroffenen Unternehmen jedenfalls umgesetzt werden müssen, wie etwa der Einsatz von kryptographischen und Verschlüsselungssystemen.

Wie bisher müssen Sicherheitsvorfälle auch weiterhin an die sogenannten “Computer-Notfallteams” und zuständigen Behörden gemeldet werden.[6] Neu ist hingegen die Möglichkeit, die Einhaltung und Implementierung der Risikomanagement-Maßnahmen durch eine Zertifizierung der Produkte und Dienstleistungen in der Informations- und Kommunikationstechnologiebranche zu bestätigen.

 

c) Überwachung und Vollstreckung

Wesentlicher Schwachpunkt der bisher bestehenden Regelungen nach Ansicht der Kommission war insbesondere das “milde” Strafregime. So drohen nach § 26 Abs 1 NISG Strafen bis zu EUR 50.000 (im Wiederholungsfall EUR 100.000). Artikel 31 der NIS 2-RL sieht eine Erhöhung der Strafen in Höhe von bis zu EUR 10 Mio oder 2% des weltweiten Gesamtumsatzes des vorangegangenen Finanzjahrs vor, je nachdem welche Summe höher ist.

Die Überwachungsmaßnahmen sollen ebenfalls massiv ausgebaut werden; so sind in der NIS 2-RL regelmäßige Betriebsinspektionen, Revisionen sowie Zugangs- und Auskunftsrechte zu allen notwendigen Informationen und Dokumenten vorgesehen. Der oben angesprochene Unterschied zwischen “essentiellen” und “wichtigen” Diensteanbietern zeigt sich hierbei in der Anwendung dieser Maßnahmen: Während essentielle Dienste laufend, ohne Anlassfall, diesen Maßnahmen unterworfen werden sollen, ist bei wichtigen Diensteanbietern nur vorzugehen, wenn Verdacht auf Nichteinhaltung der Vorgaben bestehet (daher “ex-post“).

 

Schlusswort

Wenn gleich die NIS 2-RL noch final ausverhandelt und beschlossen und anschließend binnen 18 Monaten von den Mitgliedsstaaten in das nationale Recht umgesetzt werden muss, raten wir betroffenen Unternehmen die kommenden Entwicklungen im Bereich der Cybersicherheit intensiv zu verfolgen.

Insbesondere das hochgradig verschärfte Strafregime, verbunden mit einer erweiterten Verantwortung der Geschäftsleistung wird dazu führen, dass das NISG wesentliche und zentrale Bedeutung in der Corporate Governance einnimmt und entsprechende Maßnahmen zeitnah geplant und gesetzt werden sollten. Wir stehen in diesem Zusammenhang gerne zur Verfügung.

————————————

[1]     RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.

[2]     https://ec.europa.eu/commission/presscorner/detail/de/QANDA_20_2392.

[3]     Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen.

[4]     Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG.

[5]     Siehe Artikel 17 bis 23 der NIS 2-RL.

[6]     vgl hierzu § 19 NISG.