logo_klein
NISG 2024 – Entwurf zum Netz- und Informationssystemsicherheitsgesetz
NISG 2024 – Entwurf zum Netz- und Informationssystemsicherheitsgesetz

Am 3. April 2024 wurde der Gesetzesentwurf für das NISG 2024 mit Regelungen für Cybersicherheit von Netz- und Informationssystemen veröffentlicht. Das Gesetz geht nun in die Begutachtung. Nachfolgend fassen wir ein paar Eckpunkte des Entwurfs zusammen.

Für welche Unternehmen gilt das NISG 2024?

Das NISG 2024 wird für Unternehmen der kritischen Infrastruktur gelten. Diese gehen teilweise aus der RL (EU) 2022/2557 hervor, teilweise auch aus dem Gesetzesentwurf selbst (§ 24). Gehört ein Unternehmen einem bestimmten Sektor an (zB Telekomunikation, Bankwesen, Gesundheit), so unterfällt es dem Geltungsbereich der Regelungen unabhängig von der Unternehmensgröße .

Welche Pflichten haben betroffene Unternehmer nach dem NISG 2024?

Es wird eine Cybersicherheitsbehörde beim Innenministerium eingerichtet. Diese führt ein Register der betroffenen Unternehmer; die Registrierung hat nach § 29 Abs 2 NISG 2024 durch die Unternehmer selbst zu erfolgen. Die betroffenen Unternehmer müssen Risikomanagementrichtlinien und -prozesse implementieren. Details sind in der Anlage 3 des Gesetzes festgehalten.

Gemäß dem Gesetz müssen nun erhebliche Cybersicherheitsvorfälle gemeldet werden (§§ 34, 35 NISG 2024). Hierfür wird ein Computer-Notfallteam (CSIRT) geschaffen (§ 8 NISG 2024).

Bei Vorfällen sind - zeitlich gestaffelt - folgende Pflichten vorgesehen:

  1. Innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls muss der Meldepflichtige eine Frühwarnung übermitteln, einschließlich möglicher rechtswidriger Handlungen oder grenzüberschreitender Auswirkungen.
  2. Innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls muss der Meldepflichtige eine detaillierte Meldung erstatten, die eine erste Bewertung des Vorfalls sowie Kompromittierungsindikatoren enthält.
  3. Auf Anfrage des CSIRT oder der Cybersicherheitsbehörde muss ein Zwischenbericht über relevante Statusaktualisierungen übermittelt werden.
  4. Spätestens einen Monat nach der Meldung des Vorfalls muss der Meldepflichtige ein Abschlussbericht einreichen, der eine detaillierte Beschreibung des Vorfalls, Angaben zur Bedrohung und Ursachen sowie getroffene Abhilfemaßnahmen enthält.

Die Verpflichtungen erinnern an die Vorschriften zum Verhalten bei Datenschutzverletzungen, sind allerdings wesentlich umfangreicher.

Wie geht es weiter?

Das Gesetz geht nun in die Begutachtung. Stellungnahmen werden bis Anfang Mai eingeholt. Der Entwurf wird an einzelnen Stellen sicher noch adaptiert werden. Um die Umsetzungsfrist der Europäischen Union einzuhalten, sollte das Gesetz bis zum 17. Oktober in Kraft treten. Wir werden über die weiteren Entwicklungen in unserem Blog informieren.

Sie haben weitere Fragen zum Thema Cybersicherheit und Recht?

Sie haben weitere Fragen zum gegenständlichen Gesetzesentwurf oder wollen sich zu ähnlichen Rechtsfragen von einem Rechtsanwalt beraten lassen? Schauen Sie gerne bei unseren Services vorbei oder melden Sie sich per E-Mail unter office@geuer.at bzw telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Quelle:

Begutachtungsentwurf NISG 2024

Scroll to Top