NEU im #ConfareBlog
Rainer Knyrim, Rechtsanwalt, NIS2 bringt neue Haftungsrisiken und drakonische Strafen: Warum schnelles Handeln gefragt ist
Die NIS2-Richtlinie bringt erhebliche Änderungen für Unternehmen in der EU mit sich, insbesondere im Bereich der Cybersicherheit. Rechtsanwalt Rainer Knyrim erläutert die Auswirkungen dieser neuen Verordnung und gibt Einblicke in den aktuellen Entwurf des österreichischen Netz- und Informationssystemsicherheitsgesetzes 2024. Im Interview wird deutlich, warum Unternehmen dringend handeln sollten, um den neuen Anforderungen gerecht zu werden und hohe Strafen zu vermeiden.
Wie groß sind denn die Veränderungen, die NIS2 mit sich bringt in der Praxis?
Es werden viel mehr Unternehmen als unter NIS1 unter die neuen NIS2 – Regeln fallen. Für jene Unternehmen, die bisher nicht darunter gefallen sind, ist NIS2 natürlich eine Umstellung. Man muss die Führungskräfte und Mitarbeiter in Cybersecurity schulen und muss Risikomanagementmaßnahmen umsetzen.
Im österreichischen Entwurf für die Umsetzung der NIS2 – Richtlinie, dem Netz- und Informationssystemsicherheitsgesetz 2024 (kurz NISG2024) gibt es eine Anlage 3, in der die Risikomanagement-Bereiche, mit denen sich die Unternehmen befassen müssen, im Überblick zusammengefasst sind. Liest man diese, wird man aber feststellen, dass es dabei um Fragen der Informationssicherheit geht. Hat man sich bisher schon seriös mit Informationssicherheit und technisch-organisatorischem Datenschutz, der ja auch in Artikel 32 DSGVO gefordert ist, befasst, dann sollten einem diese Themen alle bekannt sein.
Fraglich ist nur, wie weit man sie bisher tatsächlich umgesetzt und vor allem auch dokumentiert hat. Das NISG2024 sieht hohe Strafen (siehe unten) vor, wenn man die Risikomanagementmaßnahmen nicht umsetzt oder deren Umsetzung nicht nachweisen kann. Der Fokus sollte daher in den nächsten Monaten nicht nur auf die Umsetzung, sondern auch auf deren Dokumentation gelegt werden.
Mehr rund um Compliance und Cybersecrurity erfahren Sie auf dem wichtigsten IT-Management Treffpunkt Österreichs, dem Confare #CIOSUMMIT Wien mit mehr als 120 hochkarätigen Vortragenden aus Top-Unternehmen, über 700 Besuchern und etwa 70 spannenden und innovativen Ausstellern. Sichern Sie jetzt Ihr Ticket.
Woran erkennt man denn wirklich, dass man betroffen ist?
Das ist etwas mühsam: Der Entwurf des NISG2024 enthält in Anlage 1 und 2 eine lange Liste an Sektoren mit hoher Kritikalität oder sonstigen kritischen Sektoren, wobei die Definitionen dort meist auf eine oder mehrere andere gesetzliche Definitionen in sektorspezifischen Gesetzen verweisen.
Erst wenn man diese Verweise auch herausgesucht und gelesen hat weiß man, ob man darunter fällt oder nicht. In der Praxis erleben unserer Erfahrung gerade Konzerne dabei öfters „böse Überraschungen“, weil sie übersehen hatten, dass einzelne Konzerngesellschaften Tätigkeiten erbringen, die ihnen zunächst selbst nicht so geläufig waren, aber unter eine der Definitionen fallen.
Welche Unabwägbarkeiten gibt es denn noch in der Gesetzgebung? Kann man trotzdem loslegen?
Leider ist der Entwurf des NISG2024 vor dem Sommer im Parlament „durchgefallen“ und es ist daher nicht sicher, ob sich dieser materiell noch ändert, insbesondere die besonders relevanten Anlagen. Da die Zeit mehr als drängt, sollte man aber jedenfalls loslegen, wenn schon aus den Anhängen 1 und 2 der NIS2-Richtlinie selbst klar ist, dass man unter diese fällt.
Warum tun sich die nationalen Gesetzgeber denn so schwer mit der Umsetzung?
In Österreich dürfte der Grund, warum der Entwurf das Parlament nicht passiert hat, darin liegen, dass sämtliche NIS2 – Kompetenzen beim Innenministerium gebündelt sind und anscheinend das Verteidigungsministerium völlig „außen vor“ gelassen wurde, zu dessen missfallen.
Was ist denn aus Sicht von internationalen Unternehmen und Konzernen zu beachten?
Die NIS2-Richtlinie und auch der Entwurf des NISG2024 enthalten keine expliziten Regelungen für Konzerne, sodass etwa nicht ganz klar ist, ob IT-Konzerngesellschaften, die Rechenzentrumsdienstleistungen im Konzern anbieten, unter NIS2 fallen, auch wenn sonst keine anderen Konzerngesellschaften darunter fallen. Zu beachten ist weiters, dass auch dann der Anwendungsbereich der NIS-2-RL eröffnet ist, wenn ein Unternehmen nur einen ganz untergeordneten Teil seiner Geschäftstätigkeit in einem der regulierten Sektoren ausübt, da die NIS-2-RL und auch der Entwurf des NISG2024 keine dahingehende Einschränkung vorsehen.
Auch für das Vorliegen von Nebentätigkeiten gilt, dass diesfalls der Anwendungsbereich der NIS-2-RL eröffnet sein kann. Wir haben zu dieser Konzernproblematik gerade einen Artikel in „Datenschutz konkret“ publiziert (für RDB-User abrufbar unter Dako 2024/39: NIS-2: die Anwendung im Konzern (Rainer Knyrim / Stephanie Briegl): RDB Rechtsdatenbank (manz.at)).
Zu beachten ist weiters, dass die NIS2-RL in jedem Mitgliedstaat potentiell etwas anders umgesetzt werden wird. Konzerne, die in mehreren EU-Mitgliedstaaten tätig sind, müssen sich daher mit der jeweiligen nationalen Umsetzung befassen. Der „Teufel“ liegt dabei im Detail.
Mehr rund um das Thema IT-Recht und Maßnahmen, die Sie treffen können, um NIS-2 erfolgreich zu meistern, finden Sie im Confare IT-Seminar IT-Recht am 12. November 2024.
Wie kann man mit der ungeheuren Vielfalt an Regulierungen und der steigenden Komplexität richtig umgehen?
In der Tat ist die Regelungsflut, die in den letzten 4 Jahren aus Brüssel über uns hereingebrochen ist, kam noch zu durchblicken. Neben NIS2 sind es unter anderem der AI Act, der Data Act, der Digital Markets Act, der Data Governance Act und zahlreiche sektorspezifische Regelungen, die auf private und öffentliche Organisationen bereits oder in den nächsten 1 ½ Jahren anwendbar sein werden, ganz abgesehen von zusätzlichen Aufgaben wie dem Barrierefreiheitsgesetz, nach dem künftig auch Webseiten, die Dienste anbieten, barrierefrei gestaltet sein müssen.
Wer einen Überblick darüber haben möchte, was die letzte EU-Kommission seit 2020 in ihrer Digitalstrategie alles umgesetzt hat, kann sich die Zeitleiste der Kommission dazu ansehen – sie enthält über 60 einzelne Ereignisse (Ein Europa für das digitale Zeitalter – Europäische Kommission). Abarbeiten kann man diese Flut nur dadurch, dass man sich entweder interne rechtliche Kompetenz schafft, oder diese extern zukauft.
Was verändert sich im Bereich Haftung?
Fast alle der oben aufgezeigten neuen Rechtsakte sehen drakonische Strafen in Millionenhöhe oder von mehreren Prozent vom Umsatz vor. So auch, das NIS2-Gesetz, das bis zu EUR 20 Mio oder 2% des weltweiten Jahresumsatzes und in Summe 26 mögliche Delikte vorsieht, etwa Nichtschulung der Leitungsorgane und Mitarbeiter, Unterlassung von Meldungen an die Cybersicherheitsbehörde, Nichtübermittlung der geforderten Selbstdeklaration etc.