Über das Cybersicherheitsgesetz
Ende 2018 ist das Netz- und Informationssicherheitssystemgesetz (NISG – „Cybersicherheitsgesetz“) in Kraft getreten, mit welchem die europäische NIS-Richtlinie in österreichisches Recht umgesetzt wurde. Ziel ist die Prävention gegen Sicherheitsvorfälle, die Netz-und Informationssysteme betreffen, sowie die Gewährleistung einer raschen und professionellen Reaktion auf ebensolche.
Das NISG regelt unter anderem die Behördenzuständigkeiten, eine nationale Strategie für die Sicherheit von Netz- und Informationssystemen, die Ermittlung der Betreiber „wesentlicher Dienste“ und ihrer Verpflichtungen, die Einführung geeigneter Sicherheitsmaßnahmen sowie das Sanktionsausmaß.
Anwendungsbereich trifft auch den Handel
Vom NISG prinzipiell betroffen sind die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur sowie Anbieter digitaler Dienste (wie etwa Online-Marktplätze, Online-Suchmaschinen oder Cloud-Computing Dienste) und Einrichtungen der öffentlichen Verwaltung.
Nicht jedes Unternehmen, das in den aufgezählten Sektoren tätig ist, wird vom NISG erfasst sein. Vielmehr kommt es darauf an, ob ein „wesentlicher Dienst“ betrieben wird. Kriterien, ob ein wesentlicher Dienst vorliegt, sind u.a. die Zahl der Nutzer, die Marktanteile des Unternehmens, die geografische Ausbreitung des Gebiets, das von einem Sicherheitsvorfall betroffen sein könnte oder die Auswirkungen von Sicherheitsvorfällen hinsichtlich Ausmaß und Dauer auf wirtschaftlich oder gesellschaftliche Tätigkeiten oder die öffentliche Sicherheit. Diese Unternehmen werden in naher Zukunft behördlich ermittelt und per Bescheid des Bundeskanzlers informiert.
In Bezug auf Anbieter digitaler Dienste stellt sich die Frage, ob auch Unternehmen die „lediglich“ einen Online-Vertrieb anbieten, unter die Bestimmungen des NISG fallen. Das NISG definiert einen Online-Marktplatz als digitalen Dienst, der es Verbrauchern oder Unternehmern ermöglicht, Online-Kaufverträge oder Online-Dienstleistungsverträge mit Unternehmen entweder auf der Website des Online-Marktplatzes oder auf der Website eines Unternehmens, die von dem Online-Marktplatz bereitgestellte Rechendienste verwendet, abzuschließen. Ausgeschlossen sind jedenfalls Klein (weniger als 50 Beschäftigte und max. Jahresumsatz von EUR 10 Millionen)- und Kleinstunternehmen (weniger als 10 Beschäftigte und max. Jahresumsatz von EUR 2 Millionen) sowie natürliche Personen.
Das neue Gesetz über....
… Sicherheitsvorkehrungen
Betreiber wesentlicher Dienste haben in Hinblick auf die Netz- und Informationssysteme, die sie nutzen, aus technisch-organisatorischer Sicht geeignete Sicherheitsvorkehrungen zu treffen.
Nach dem ersten Jahr haben die Betreiber dem Bundesminister für Inneres mindestens alle drei Jahre die Erfüllung dieser Sicherheitsvorkehrungen nachzuweisen. Eine Überprüfung durch den Bundesminister für Inneres ist jederzeit möglich.
Anbieter digitaler Dienste sind ebenso verpflichtet, aus technisch-organisatorischer Sicht geeignete Sicherheitsvorkehrungen zu treffen. Eine proaktive Nachweispflicht trifft die Anbieter digitaler Dienste allerdings nicht. Eine Überprüfung des Bundesministers für Inneres besteht auch nur im Anlassfall.
… Sicherheitsvorfälle
Ein Sicherheitsvorfall liegt dann vor, wenn es im Zuge einer Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystem zu einem Ausfall oder einer Einschränkung der Verfügbarkeit dieses Dienstes kommt und damit erhebliche Auswirkungen verbunden sind.
… Meldepflichten
Betreiber wesentlicher Dienste haben einen Sicherheitsvorfall unverzüglich an das für sie zuständige Computer-Notfallteam zu melden. Diese Verpflichtung gilt grundsätzlich auch für Anbieter digitaler Dienste.
… Strafbestimmungen
Im Falle eines Zuwiderhandelns gegen die Bestimmungen des NISG (wie etwa Verletzung der Melde- oder Mitwirkungspflichten) drohen Geldstrafen von bis zu 50.000 Euro, im Wiederholungsfall bis zu 100.000 Euro. Diese können auch gegen juristische Personen verhängt werden.
Aufgrund unklarer und auslegungsbedürftiger Begriffsdefinitionen, insbesondere in Bezug auf Anbieter digitaler Dienste sollten sich zumindest Unternehmen oberhalb der definierten Umsatzgrenze aktiv mit diesen regulatorischen Bedingungen befassen. Die weiteren Entwicklungen hinsichtlich konkreter Abgrenzungskriterien werden sich in der Zukunft wohl aus der Rechtsprechung herauskristallisieren.
Autoren:
RA Mag. Andreas Schütz, LL.M., Partner bei Taylor Wessing in Wien
RAA Mag. Christopher Bakier, Associate bei Taylor Wessing in Wien
E-Mail: a.schuetz@taylorwessing.com
www.taylorwessing.com