Neues Gesetz: Unternehmen müssen Hackerangriffe den Behörden melden

08.Mai 2018

Ab 9. Mai 2018 wird EU-weit die neue Cybersicherheits-Richtlinie wirksam. Unternehmen werden verpflichtet, sich zu schützen, Hackerangriffe zu dokumentieren und größere Zwischenfälle den nationalen Behörden zu melden. Firmen mit weniger als 50 Mitarbeitern sind ausgenommen.

Alle EU-Staaten hatten zwei Jahre lang Zeit, die Richtlinie in nationale Gesetze umzuwandeln. In Österreich ist das Gesetz zur „Netz- und Informationssicherheit“ (NIS)  in Begutachtung, soll aber noch im Mai beschlossen werden – und tritt damit praktisch Zeitgleich mit der Datenschutzgrundverordnung in Kraft.

Schutz neuralgischer Punkte

Ziel der europäischen IT-Sicherheits-Richtlinie ist es, die kritische Infrastruktur EU-weit besser gegen Störungen und Angriffe abzusichern. Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) ist am 8. August 2016 in Kraft getreten.

Anbieter „wesentlicher Dienste“ müssen sofort melden

Die neuen EU-Vorschriften legen verbindliche Sicherheitsbestimmungen und Berichtspflichten für die „Betreiber wesentlicher Dienste“ fest. Betroffen sind vor allem kritische Infrastrukturen, etwa im Bereich Energie, Verkehr und Banken oder bei der Gesundheits- und Trinkwasserversorgung. Für diese Unternehmen aus dem Bereich „kritischer Infrastruktur“ wie etwa Verkehr, Banken oder Gesundheit gilt die NIS-Regelung ab 9.5.2018: Sicherheits- und Datenschutzpannen sowie IT-Angriffe auf die eigenen System müssen den Behörden gemeldet werden. Cyberattacken wurden bislang so weit wie möglich verschwiegen. Wie erwähnt: KMU mit weniger als 50 Mitarbeitern sind von den Bestimmungen ausgenommen.

Umsetzung noch unbestimmt

Mit der noch ausstehenden nationalen Umsetzung des Gesetzes zur Netz- und Informationssicherheit sind viele Fragen der Umsetzung noch offen. So ist noch nicht bekannt, welche Behörde in welcher Form zu imnformieren ist und welche Angaben dabei geliefert werden sollen. Ob die Meldepflicht für Unternehmen außerhalb der „wesentlichen Dienste“ vollumfänglich zutrifft, ist ebenfalls noch unklar. Der NEWSROOM berichtet.

 

Mehr zum Thema

WKO – Information und Consulting