Was lange währt, wird endlich gut? Endlich wurden die wesentlichen Durchführungsverordnungen zum Netz- und Informationssystemsicherheitsgesetz ("NISG") erlassen. Erst durch sie wird geregelt, wer vom NISG tatsächlich betroffen ist. Für die Betreiber wesentlicher Dienste wird es daher ernst.
Zur Erinnerung: Wesentliche Dienste wie die Gesundheitsversorgung, der Zahlungsverkehr, die Versorgung mit Strom und Trinkwasser sowie der öffentliche Verkehr spielen in der heutigen Gesellschaft als kritische Infrastrukturen eine immer bedeutendere Rolle und werden gleichzeitig immer stärker von Netz- und Informationssystemen abhängig. Online-Banking, digitale Patientenakten oder digitalisierte Bestellvorgänge sind kaum mehr durch manuelle Prozesse zu ersetzen. Dazu haben neue digitale Dienste wie Cloud-Computing, Online-Suchmaschinen oder Online-Marktplätze zunehmend an Bedeutung gewonnen. Ihr Funktionieren und ihre Verfügbarkeit ist nicht konventionell, sondern durch Cyberangriffe und Cyberkriminalität bedroht.
Wir haben im Clarity Talk am 2.4.2019 bereits über die wichtigsten Inhalte und Auswirkungen des neuen Cybersicherheitsgesetzes, dem NISG informiert. Die neuen Rechtsinstrumente auf EU-Ebene und in Österreich dienen vor allem einem: der IT-Sicherheit. Bereits die NIS-Richtlinie legt auf EU-Ebene fest, dass Betreiber wesentlicher Dienste besondere Sicherheitsvorkehrungen treffen müssen und speziellen Meldepflichten unterliegen. Aus welchen Sektoren diese Betreiber stammen, wird schon in der Richtlinie geregelt: Es sind wie schon angedeutet Bereiche, die für das Funktionieren der Gesellschaft bzw die Aufrechterhaltung kritischer wirtschaftlicher Tätigkeiten eine bedeutende Rolle spielen und die immer stärker von Netz- und Informationssystemen abhängig sind, wie zB Energie, Verkehr, Bankwesen, Gesundheitswesen und Digitale Infrastruktur. Ziel des EU- und nationalen Gesetzgebers ist es, dem mit der fortschreitenden Digitalisierung steigenden Risiko durch Angriffe auf Netz- und Informationssysteme Rechnung zu tragen. Faktisch sind jedoch alle Ausfälle und Sicherheitsvorfälle innerhalb der Netz- und Informationssysteme unabhängig vom auslösenden Ereignis erfasst, weswegen auch sonstige Einwirkungen (zB Naturkatastrophen) Meldepflichten auslösen können.
Am 17.7.2019 ist nach langem Warten die Verordnung zur Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen nach dem Netz- und Informationssystemsicherheitsgesetz (Netz- und Informationssystemsicherheitsverordnung – kurz "NISV") erlassen worden. Diese konkretisiert das am 28.12.2018 kundgemachte NISG und stellt klar, wen die Verpflichtungen nach dem NISG wirklich treffen. Erst durch die NISV wurde daher klar, welche Unternehmen im Bereich der kritischen Infrastrukturen sich an die neuen Bestimmungen zu halten haben. Die Verordnung kommt reichlich spät, weil die Umsetzungsfrist für die NIS-Richtlinie bereits am 9.5.2018 (!), also vor mehr als einem Jahr, endete.
Die letzte Woche kundgemachte NISV enthält nunmehr die konkreten Schwellenwerte, die für eine Einstufung als "Betreiber wesentlicher Dienste" und damit die konkrete Anwendbarkeit der Pflichten aus dem NISG ausschlaggebend sind. Die NISV nimmt also faktisch die Konkretisierung des Anwendungsbereichs des NISG vor. Um einige Beispiele zu nennen und das greifbar zu machen:
- In der NISV wird beispielsweise festgelegt, dass im Sektor Bankwesen der Betrieb von Systemen zur Erbringung von Zahlungsdiensten als "wesentlicher Dienst" gilt. Der Begriff des "Sicherheitsvorfalls" ist im Sektor Bankwesen zB dann erfüllt, wenn eine öffentliche Berichterstattung über den Vorfall stattfand oder der Vorfall eine mögliche finanzielle Auswirkung von mehr als fünf Millionen Euro oder 0,1 % des harten Kernkapitals des Kreditinstituts hat.
- Im Sektor Verkehr, Teilsektor Schienenverkehr im Bereich der Infrastruktur gilt zB der Betrieb von Personenhauptbahnhöfen in Landeshauptstädten als "wesentlicher Dienst";
- Im Sektor Energie, Teilsektor Elektrizität, genauer: Stromerzeugung, zB der Betrieb einer Erzeugungsanlage, die mehr als 340 MW Engpassleistung hat.
Für Marktteilnehmer in den betroffenen Sektoren ist nun anhand der NISV zu überprüfen, ob sie aufgrund eines Überschreitens der Schwellenwerte oder Erfüllung der konkreten Anforderungen vom NISG erfasst sind. In einem zweiten Schritt sind die bereits bestehenden Sicherheitsvorkehrungen zu dokumentieren und überprüfen. Darüber hinaus sind die Prozesse zur Ermöglichung der Einhaltung der Meldepflichten bei Sicherheitsvorfällen umzusetzen, um die zum Teil kurze Fristen ("unverzügliche" Meldung) im Ernstfall auch tatsächlich einhalten zu können. Um umfassende Compliance gewährleisten zu können, ist zudem auch Bewusstseinsschaffung durch Schulungen und interne Information notwendig, ähnlich wie bei der Umsetzung und Implementierung der DSGVO.
Und zum Schluss eine gute Nachricht für die, die gerne mehr wissen möchten: Nachdem die wesentlichen Vorordnungen nun erlassen wurden, konnten wir diese Wochen die korrigierten Fahnen unseres NISG-Kommentar an den Verlag Manz schicken. Die Publikation richtet sich an betroffene Anbieter und Betreiber und beantwortet öffentlich-rechtliche sowie IT-spezifische Fragen praxisnah. Geplanter Erscheinungstermin ist Ende September 2019 (https://www.manz.at/list.html?isbn=978-3-214-09809-4).