Gesetzesentwurf: Millionenstrafen für Unternehmen mit unsicheren Passwörtern
Von Iris Bonavida
Versperren Mitarbeiterinnen und Mitarbeiter ihre Computer, wenn sie ihren Platz verlassen? Können angebliche Lieferanten leicht ins Büro gelangen, um Daten zu stehlen? Ist das Team darauf trainiert, keine seltsamen Links anzuklicken? Und: Ist das Computer-Netzwerk, in dem gearbeitet wird, auch tatsächlich sicher? Ab Herbst gelten für tausende Firmen in Österreich strenge Vorgaben für die Prävention von Cyberangriffen und noch strengere Strafen bei Nichteinhaltung: Erfüllt die Führungsriege im Unternehmen nicht ihre Aufgabe, drohen im Ernstfall Strafen in Millionenhöhe.
Geregelt wird all das im neuen Netz- und Informationssystemsicherheitsgesetz (NISG 2024). ÖVP und Grüne verhandelten wochenlang über einen Entwurf, bald soll er in Begutachtung gehen. profil liegt das Dokument samt Erläuterungen und budgetärer Einschätzungen vor. Das Gesetz enthält nicht nur weitreichende Änderungen für Unternehmen und öffentliche Stellen, sondern auch Pläne für eine neue, große Cybersicherheitsbehörde – mit 204 Stellen.
Das NIS-Gesetz konkretisiert eine neue EU-Richtlinie. Schon jetzt gilt in Österreich die „NIS1“-Richtlinie, die auch strikte Regeln im Umgang mit Cybersicherheit vorschreibt – allerdings nur für einige wenige, essenzielle Unternehmen und Behörden. Das soll sich nun ändern: „Mit der NIS-2-Richtlinie wird der Anwendungsbereich auf einen größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten“, steht in den Erläuterungen zu dem Entwurf. Die dokumentierten Anzeigen wegen Cyber-Attacken werden Jahr für Jahr mehr, die EU-Mitgliedsländer wollen mit der Richtlinie die Sicherheit in dem Land erhöhen.
Bis zu 6000 öffentliche Stellen und Firmen werden von den Änderungen betroffen sein, heißt es in dem Dokument. Der Entwurf unterscheidet zwischen „wesentlichen Einrichtungen“, für die die strengsten Vorgaben gelten, und „wichtige Einrichtungen“, bei denen die Vorgaben lockerer sind. Die Einteilung ist kompliziert und hängt unter anderem von der Größe, dem Umsatz und der Relevanz der Stellen ab. Ein Ministerium oder großes Telekommunikationsunternehmen hat also andere Verpflichtungen als ein – vergleichsweise – kleineres Unternehmen, das am Markt kein Alleinstellungsmerkmal hat. Als Bereiche, die von NIS2 betroffen sind, werden im Papier zum Beispiel das Bankwesen, der Energiesektor, Abwasser, Post und Forschung (ohne Bildungsinstitute), aber auch der Vertrieb und die Produktion von Lebensmitteln erwähnt.
All diese Unternehmen müssen ein Risikomanagement erfüllen. Je nach ihrer Exponiertheit, Größe und wirtschaftlichen Relevanz sollen sie präventive Maßnahmen gegen Cyberangriffe ergreifen. Welche das genau sind, legt der Innenminister – derzeit Gerhard Karner von der ÖVP – fest. Und noch eine Neuerung: Cybersicherheit wird jedenfalls zur Verantwortung der Führungsebene gemacht: „Die Richtlinie verfolgt das Ziel, Cybersicherheit zu einer der zentralen Agenden der Leitung und Geschäftsführung zu machen“, heißt es in der Erläuterung. Chefinnen und Chefs sollen zum Beispiel selbst Schulungen machen, sie ihren Teams ermöglichen – und tragen die Verantwortung dafür, wenn das nicht passiert. Gibt es einen Cyberangriff, sind Firmen verpflichtet, das zu melden.
Wie hoch die Strafen sein können
Außerdem müssen sich Unternehmen von einer unabhängigen Stelle als cybersicher zertifizieren lassen und Prüfberichte erstellen. Wobei wichtige Einrichtungen, die weniger strikte Kategorie, nur dann die Umsetzung ihres Risikomanagements nachweisen müssen, wenn Zweifel daran besteht. Zum Beispiel, wenn es Medienberichte oder eine anonyme Meldung aus dem Unternehmen gibt.
Wer gegen all diese Regeln verstößt, dem drohen heftige Strafen. Auch hier unterscheidet der Gesetzesvorschlag zwischen den beiden Kategorien. Bei wesentlichen Einrichtungen drohen den Verantwortlichen Strafen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vergangenen Geschäftsjahres – je nachdem, was höher ist. Bei wichtigen Einrichtungen sind es sieben Millionen Euro oder 1,4 Prozent des Umsatzes.
Registrieren sich die Stellen nicht, wie im Gesetzesentwurf vorgesehen, bei einer Datenbank, werden maximal 50.000 Euro Strafe fällig oder, bei Wiederholung, bis zu 100.000 Euro. Außerdem kann der zuständigen Führungsebene auch untersagt werden, die Verantwortung über bestimmte Bereiche zu übernehmen, bis den Anforderungen nachgekommen wird. Im schlimmsten Fall können sogar die Dienste ausgesetzt werden.
Neue Stelle mit 204 Posten
Die Koordinierung, der Informationsaustausch, die Prüfung der Zertifikationsstellen: Dafür soll eine Cybersicherheitsbehörde zuständig sein, die im Innenministerium neu geschaffen wird. Die Republik muss wohl eine Personaloffensive starten: 204 Stellen sind dafür vorgesehen, bis 2028 ist ein Budget von einer Million Euro vorgesehen. Diese Behörde soll einer der Punkte gewesen sein, über die länger verhandelt wurden. Die Grünen wollten nicht, dass Aufgabenbereiche aus der öffentlichen Hand gelangen.
Gut möglich, dass es noch einige Änderungswünsche an diesem Gesetzesentwurf gibt. ÖVP und Grüne sind auch auf Verhandlungspartner angewiesen. Für das Gesetz braucht es eine Zweidrittelmehrheit, entweder SPÖ oder FPÖ müssen also zustimmen. Im Oktober sollen die neuen Regelungen in Kraft treten.
