Was wird in diesem Land nicht alles über die Gefahren im Internet, über die Sicherheit im Digitalen Universum, über die Risiken von Künstlicher Intelligenz (KI) diskutiert. Bei den Regelungen rund um die KI stilisieren uns so manche Volksvertreterin und Volksvertreter sogar zu Europameistern. Allein es fehlt an den Taten.
Jüngstes Beispiel für die Strategie „Viel geredet, wenig umgesetzt“ ist das österreichische Cyber-Security-Gesetz. Bis Mitte Oktober sollte, müsste es ein solches nationales Gesetz geben. Die EU verlangt das mit ihrer NIS-2-Richtlinie. Seit dem 18. Oktober ist Österreich vertragsbrüchig. Denn die Regierung hat die EU-Vorgaben noch immer nicht in nationales Recht gegossen. Bis zum 17. Oktober hätte das passieren müssen. Es gab zwar einen entsprechenden Entwurf, doch der scheiterte Anfang Juli im Parlament, verpasste die erforderliche Zweidrittelmehrheit.
Jetzt droht Österreich ein Vertragsverletzungsverfahren seitens der EU. Ein möglicher Strafrahmen erstreckt sich bis zu zehn Millionen Euro.
NIS steht für die Sicherheit der Netz- und Informationssysteme. NIS 1 aus dem Jahr 2016 wurde in Österreich auch in einem eigenen NIS-Gesetz umgesetzt. Die NIS1-Vorgaben betreffen vorwiegend Unternehmen und Einrichtungen mit kritischer Infrastruktur sowie Anbieter digitaler Services wie Online-Marktplätze, Suchmaschinen und Cloud-Services. Das trifft in Österreich auf eine überschaubare Anzahl von Firmen zu. Bisher wurde als Richtgröße meist 100 Unternehmen genannt.
Mit NIS 2 soll allerdings das Niveaus der Cyber-Sicherheit massiv angehoben, auf neue Sektoren und Einrichtungen ausgedehnt werden. Die betroffenen Unternehmen werden demnach über ihre gesamten Prozesse und Lieferketten hinweg für das Thema Cyber-Security verantwortlich gemacht. NIS 2 betrifft in Österreich mehrere Tausend Unternehmen, die in 18 von der neuen EU-Richtlinie klar definierten Sektoren aktiv sind. Betroffen wären aber auch Dienstleister und Lieferanten der jeweiligen Unternehmen und Organisationen.
Bleibt als Entschuldigung für das bisherige Versäumnis der österreichischen Legislative, dass die NIS-2-Richtlinie in mehr als der Hälfte der 27 EU-Mitgliedsstaaten noch nicht in nationales Recht überführt wurde. Dennoch sollten sich heimische Unternehmen intensiv damit befassen und sich auf NIS 2 vorbereiten, wenn die Regelungen auf sie zutreffen sollten. Denn beispielsweise müssen die entsprechenden Anforderungen auch dann erfüllt werden, wenn NIS 2 in einem anderen EU-Land bereits Gesetz ist oder wird und österreichische Unternehmen dorthin exportieren. Beispielsweise ist Deutschland – Österreichs wichtigster Handelspartner – bei NIS 2 bereits ein deutliches Stück weiter, mit einer Umsetzung wird Anfang 2025 gerechnet. Während in Österreich nicht zuletzt wegen der laufenden Regierungsverhandlungen noch in den Sternen steht, wann NIS 2 tatsächlich Realität wird.
Strafen wird es für Österreich höchstwahrscheinlich, auch wegen der Trägheit der EU-Bürokratie, und glücklicherweise nicht hageln.
P.S. Als fundierteste Anlaufstelle rund um NIS 2 in Österreich gilt aktuell die Wirtschaftskammer, die auf ihrer Website nicht nur aktuell diverse Info-Videos und Texte anbietet, sondern auch Webinare und andere Informations-Veranstaltungen ankündigt.
