Umsetzung der NIS 2 Richtlinie in Begutachtung

Am 16. Jänner 2023 ist die NIS-2-Richtlinie in Kraft getreten und sieht eine erhebliche Steigerung der zu beaufsichtigenden Entitäten durch Ausweitung der betroffenen Sektoren vor. Neue Sektoren sind beispielsweise die der öffentlichen Verwaltung, Abwasser, Verwaltung von IKT-Diensten, Abfallbewirtschaftung, Post- und Kurierdienste, Chemie (Herstellung und Handel), Lebensmittel und noch einige mehr. Mit dem vorliegenden Entwurf für eine NIS 2024-Novelle sollen die Vorgaben der NIS 2-Richtlinie in österreichisches Recht umgesetzt werden.

Hintergrund

Vor dem Hintergrund einer anhaltend steigenden Computerkriminalität sowie einer wachsenden Abhängigkeit von Staat, Wirtschaft und Gesellschaft von funktionierenden Infrastrukturen gewinnt besonders der Schutz von Netz- und Informationssystemen und der zugehörigen Dienste immer mehr an Bedeutung. Die Staaten der Europäischen Union im Allgemeinen und Österreich im Speziellen sind als hochentwickelte Wirtschaftsländer substanziell vom kontinuierlichen Funktionieren eben dieser Netz- und Informationssysteme abhängig.

Die Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) ist am 16. Jänner 2023 in Kraft getreten und sieht eine erhebliche Steigerung der zu beaufsichtigenden Entitäten durch Ausweitung der betroffenen Sektoren vor.

Neue Sektoren sind beispielsweise die der öffentlichen Verwaltung, Abwasser, Verwaltung von IKT-Diensten, Abfallbewirtschaftung, Post- und Kurierdienste, Chemie (Herstellung und Handel), Lebensmittel und noch einige mehr. Zudem fallen auch Einrichtungen der Landesverwaltung in den Anwendungsbereich. Das konkrete Ausmaß an betroffenen Einrichtungen wird in einem Register des nationalen Cybersicherheitszentrums (NCSZ) ersichtlich sein. Die betroffenen Einrichtungen haben sich selbst zu deklarieren.

Ebenfalls sieht die NIS-2-Richtlinie eine erhebliche Ausweitung des Aufgabenspektrums der NIS-Behörden vor.

Die staatlichen Kompetenzen zu Cybersicherheit sind derzeit extrem stark fragmentiert und auf eine Vielzahl an Ressorts aufgeteilt. Diese historisch gewachsene Situation hat unter anderem problematische Auswirkungen auf folgende Themen:

• Verwaltungsoverhead: Durch die derzeitige Aufteilung auf mehrere Ministerien besteht ein Verwaltungsoverhead durch ressortübergreifende Prozesse.
• Kompetenzkonflikte: Cybersicherheit ist eine Querschnittsmaterie, die zahlreiche unterschiedliche Materien berühren kann (vgl. Luftfahrtsicherheit). Die Vergangenheit war oft geprägt von (negativen) Kompetenzkonflikten.
• Fachkräftemangel: Derzeit herrscht ein signifikanter Fachkräftemangel in den Bereichen IT-Sicherheit und Cybersicherheit. Die Fragmentierung der staatlichen Kompetenzen im Bereich der Cybersicherheit durch Führen von Parallelstrukturen verschärft dieses Problem nachhaltig.
• Umsetzung und Durchführung von EU-Rechtsakten: Die derzeitige fragmentierte Cybersicherheits-Landschaft in Österreich erschwert und verhindert teilweise eine rechtskonforme Umsetzung von EU-Rechtsakten.

Mit dem vorliegenden Entwurf für eine NIS 2024-Novelle sollen die Vorgaben der NIS 2-Richtlinie in österreichisches Recht umgesetzt werden (die Umsetzungsfrist für die Richtlinie endet am 17.10.2024), wobei die vorgeschlagenen Regelungen sich stark an den unionsrechtlichen Vorgaben orientieren. Darüber hinaus soll speziell auch die herausfordernde Kompetenzlage im Sinne einer gezielten und wirksamen Sicherstellung von Cybersicherheit in Österreich eine neue Konturierung erfahren.

Im Entwurf sind an unterschiedlichen Stellen auch Verordnungsermächtigungen enthalten.

Informationen zur NIS 2-Richtlinie

Betroffenheit von Unternehmen

Es ist davon auszugehen, dass in Österreich anstatt bisher eine niedrige dreistellige künftighin eine mittlere vierstellige Zahl an Unternehmen von den aus der NIS 2-Richtlinie resultierenden und im NISG 2024 konkretisierten Verpflichtungen betroffen sein wird.

Die Art der Betroffenheit (entweder als "Sektor mit hoher Kritikalität" oder als "sonstiger kritischer Sektor" bzw. "wesentliche" und "wichtige Einrichtung") ist aus den Anlagen 1 und 2 zum Entwurf ersichtlich, die ihrerseits eng an die Anhänge 1 und 2 der NIS 2-Richtlinie angelehnt sind und teilweise Verweise auf österreichische Umsetzungsgesetz zu sektorspezifischen Regelungen enthalten.

Folgende Ersteinschätzung betreffend für Unternehmen relevante Bestimmungen kann im Lichte der bisherigen Diskussionen zur NIS 2-Richtlinie sowie einer kursorischen Erstdurchsicht des vorliegenden Entwurfes abgegeben werden:

• § 29 Registrierung: Wesentliche und wichtige Einrichtungen haben sich innerhalb von drei Monaten ab Inkrafttreten des Gesetzes (damit voraussichtlich 18. Jänner 2025) zu registrieren (Kontaktdaten, Teil-Sektor, ggf. IP-Adresse, Größenschwellenwerte)
• § 31 Governance: entspricht weitgehend den Vorgaben der NIS2-RL;

Die Leitungsorgane (Erläuterungen: etwa Vorstand, Geschäftsführer, Aufsichtsrat) haben die Einhaltung der Maßnahmen sicherzustellen und zu beaufsichtigen, haften der Einrichtung für den schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen und Mitarbeitern Schulungen anbieten.

• § 32 Risikomanagementmaßnahmen: die Vorgaben entsprechen weitgehend jenen aus der NIS2-RL; zusätzlich bzw. in deren näherer Ausführung:
• § 32 Abs 4: Verordnungsermächtigung hinsichtlich technischer, operativer und organisatorischer Anforderungen
• § 33 Abs 1: Nachweis der Wirksamkeit der Maßnahmen/Selbstdeklaration: wesentliche und wichtige Einrichtungen haben innerhalb von sechs Monaten nach Aufforderung durch die Cybersicherheitsbehörde dieser eine Aufstellung umgesetzter Risikomanagementmaßnahmen gemäß § 32 zu übermitteln.
• § 33 Abs 2: wesentliche Einrichtungen haben innerhalb von drei Jahren nach Aufforderung zur Selbstdeklaration, frühestens jedoch sechs Monate vor Ablauf dieser Frist, die Umsetzung der Risikomanagementmaßnamen gemäß § 32 gegenüber der Cybersicherheitsbehörde mittels einer Prüfung durch eine unabhängige Stelle nachzuweisen. (Anmerkung: Dies ersetzt die derzeitigen „NIS 1-Audits, wobei an Stelle der derzeitigen qualifizierten Stelle nun „unabhängige Stellen“ treten).
• § 34: Berichtspflichten bei erheblichen Cybersicherheitsvorfällen: entspricht NIS2-RL; dreistufige Meldung an CSIRT (24h-72h-1 Monat), welches die Meldung an die Cybersicherheitsbehörde weiterzuleiten hat.

• § 45 Sanktionen: entspricht den Vorgaben der NIS 2-RL; wesentliche Einrichtungen bis zu EUR 10 Mio. oder 2 Prozent Konzernjahresumsatz; wichtige Einrichtungen bis zu EUR 7 Mio. oder 1,4 Prozent des Konzernjahresumsatzes.

Behördenstruktur

§ 4: Abgehend von der bisherigen Rechtslage (bestehendes NIS-Gesetz), bei der die Kompetenzen zwischen Bundeskanzleramt als strategische Behörde und BMI als operative Behörde eingerichtet waren, sieht der Entwurf nun die Einrichtung einer Cybersicherheitsbehörde mit allen relevanten Zuständigkeiten beim BMI vor.

Anwendungsbereich:

• Anlage I Z 5: Gesundheit: Hier wurde der Verweis auf Gesundheitsdienstleister im Sinne des Art 3 lit g der Richtlinie 2011/24/EU beibehalten – bisher offene Fragen bleiben damit weiter bestehen;
• Anlage II Z 3: Produktion, Herstellung und Handel mit chemischen Stoffen: Hier wurde leider der Verweis auf die EU- REACH-Verordnung beibehalten – bisher offene Fragen bleiben damit weiter bestehen.