Ende 2018 ist das Netz- und Informationssicherheitssystemgesetz (NISG – »Cybersicherheitsgesetz«) in Kraft getreten, mit welchem die europäische NIS-Richtlinie in österreichisches Recht umgesetzt wurde. [...]
Ziel ist die Prävention gegen Sicherheitsvorfälle, sowie die Gewährleistung einer raschen und professionellen Reaktion im Falle eines tatsächlichen Vorfalles. Vom NISG prinzipiell betroffen sind Unternehmen der Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur, sowie Anbieter digitaler Dienste (wie etwa Online-Marktplätze, Online-Suchmaschinen oder Cloud-Computing Dienste) und Einrichtungen der öffentlichen Verwaltung.
Nicht jedes Unternehmen, das in den aufgezählten Sektoren tätig ist, wird jedoch vom NISG erfasst sein. Vielmehr kommt es darauf an, ob ein »wesentlicher Dienst« (Beurteilung aufgrund Nutzerzahl, Marktanteile des Unternehmens, geografische Ausbreitung des Gebiets, das von einem Sicherheitsvorfall betroffen sein könnte, Auswirkungen von Sicherheitsvorfällen auf wirtschaftlich oder gesellschaftliche Tätigkeiten oder die öffentliche Sicherheit) betrieben wird. Diese Unternehmen werden in naher Zukunft behördlich ermittelt und per Bescheid des Bundeskanzlers informiert.
In Bezug auf Anbieter digitaler Dienste stellt sich die Frage, ob auch Unternehmen die »lediglich« einen Online-Vertrieb anbieten, unter die Bestimmungen des NISG fallen. Nach der Definition des NISG ermöglichen Online-Marktplätze Verbrauchern oder Unternehmern, Online-Kauf- oder Dienstleistungsverträge entweder auf der Website des Online-Marktplatzes selbst oder auf der Website eines Unternehmens, die von dem Online-Marktplatz bereitgestellte Rechendienste verwendet, abzuschließen. Ausgeschlossen laut EU-Kommission sind jedenfalls Klein (weniger als 50 Beschäftigte und max. Jahresumsatz von 10 Millionen Euro)- und Kleinstunternehmen (weniger als 10 Beschäftigte und max. Jahresumsatz von 2 Millionen Euro).
Wesentliche Pflichten der dem NISG unterworfenen Unternehmen sind u.a. die Implementierung geeigneter Sicherheitsvorkehrungen aus technisch-organisatorischer Sicht sowie Meldepflichten bei Sicherheitsvorfällen (jegliche Beeinträchtigung von Netz- und Informationssystemen mit erheblichen Auswirkungen).
Aufgrund unklarer und auslegungsbedürftiger Begriffsdefinitionen, insbesondere in Bezug auf Anbieter digitaler Dienste, sollten sich zumindest Unternehmen oberhalb der definierten Umsatzgrenze aktiv mit diesen regulatorischen Bedingungen befassen. Die weiteren Entwicklungen hinsichtlich konkreter Abgrenzungskriterien werden sich in Zukunft wohl aus der Rechtsprechung herauskristallisieren.
*Andreas Schütz ist Anwalt bei Taylor Wessing.
Be the first to comment