Cybersicherheitsgesetz verzögert sich

Strategisch wichtige Unternehmen des Energie-, Verkehrs-, Banken- und Gesundheitsbereichs oder auch Internetsuchmaschinen und Cloud-Anbieter werden künftig nachweisen müssen, dass sie sich gegen Hacker-Angriffe ausreichend schützen. Das sieht die EU-Richtlinie vor, die in Österreich mit einem "Cybersicherheitsgesetz" umgesetzt werden soll - doch das lässt noch auf sich warten.

Umsetzung verpflichtend

Angekündigt war ein Entwurf für das Cybersicherheitsgesetz bis Ende 2016, doch das sei sich nicht wie geplant ausgegangen, heißt es aus dem Innenministerium, das gemeinsam mit dem Bundeskanzleramt und dem Verteidigungsministerium an dem Gesetz arbeitet. Der neue Zeitplan sieht nun die Fertigstellung des Entwurfs in der ersten Jahreshälfte 2017 vor. In der zweiten Jahreshälfte soll es begutachtet werden und dann fristgerecht bis Mai 2018 in Kraft treten, erklärte ein Sprecher des Innenministeriums auf APA-Anfrage.

Die entsprechende EU-Richtlinie zur Netz- und Informationssicherheit (NIS) gibt es bereits seit dem 8. August 2016. Die Mitgliedstaaten müssen sie nun bis 9. Mai 2018 in nationales Recht umsetzen. Ebenfalls im Mai 2018 wird die EU-Datenschutzgrundverordnung direkt anwendbar sein. Nach Angaben der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) führen technische Ausfälle und Angriffe auf Informationssysteme zu jährlichen Verlusten zwischen 260 und 340 Mrd. Euro.

Vorfälle müssen gemeldet werden

Für Unternehmen, die "kritische" Dienste anbieten, bedeutet das, dass sie künftig den nationalen Behörden ernsthafte Sicherheitsvorfälle bzw. größere Angriffe melden müssen. "In Österreich sind es rund 400 Unternehmen, die kritische Infrastruktur sind", so der IT-Sicherheitsexperte Markus Robin, geschäftsführender Gesellschafter des IT-Sicherheitsberaters SEC Consult. Allerdings werden auch deren Sublieferanten von den neuen Regeln betroffen sein - wobei KMU mit weniger als 50 Mitarbeitern von der Meldepflicht für Hackerangriffe nicht betroffen sein werden, wie man in der Wirtschaftskammer erklärt. Details des Cybersicherheitsgesetzes sind bisher noch nicht bekannt.

"Bei der Datenschutz-Grundverordnung geht es im Wesentlichen darum, die Sicherheit und Privatheit der persönlichen Daten von EU-Bürgern zu schützen", erklärte Robin. Hier sei auch der Gesetzgeber gefordert, für entsprechende Schutzmechanismen zu sorgen, "mit einer großen Implikation auf die Internet-Wirtschaft". Neben dem juristischen Aspekt habe die Datenschutz-Grundverordnung auch einen klaren Fokus darauf, "was es technisch und organisatorisch bedeutet, den Schutz der Daten zu gewährleisten".

Höhere Vorgaben

Für die Unternehmen bedeute das unter anderem, dass die Strafandrohung für die Nichteinhaltung der entsprechenden Vorgaben etwa zum Schutz von Kundendaten von derzeit maximal 25.000 Euro auf das Vierhundert- oder Achthundertfache steige. Für Datensicherheitsthemen liege die Strafdrohung dann bei 10 Mio. Euro oder zwei Prozent des globalen Umsatzes des Unternehmens. "Zum Vergleich: Jahres-IT-Budgets bei Unternehmen sind unter diesen 2 Prozent", erklärte Robin.

Für die IT-Sicherheitsbranche werde das eine verstärkte Nachfrage mit sich bringen. "Die Faustregel ist, das man etwa 5 bis 10 Prozent des IT-Budgets in IT-Sicherheit investieren sollte." Betroffen seien im Prinzip alle Unternehmen, die personenbezogene Daten verarbeiten. Wesentlich sei, dass man die getroffenen Schutzmaßnahmen - Risikoanalyse, Implementierung - gegenüber den Behörden auch dokumentieren und nachweisen kann.