NIS2 Update Cybersicherheitsgesetzgebung NISG 2024 Initiativantrag

Nach dem Ende der Begutachtungsfrist zum NISG2024 wurde im parlamentarischen Gesetzgebungsverfahren ein Initiativantrag eingebracht, der am 19.6.2024 den Innenausschuss im Nationalrat passiert hat: Initiativantrag

Inkrafttreten § 51:

Statt 17. Oktober 2024 – wie von der EU gefordert – soll das Gesetz erst mit 1. Juni 2025 in Kraft treten. Ob dieser neue Termin tatsächlich hält, ist schwer abzuschätzen.

Konzern Größenberechnung § 25 Abs. 4

Bei der Größenberechnung im Konzern müssen die Mitarbeiter:innenzahl und Jahresumsatz/-bilanz von Partner- oder verbundenen Unternehmen nicht hinzugerechnet werden, wenn die Einrichtung in Bezug auf die Netz- und Informationssysteme, die sie bei der Erbringung ihrer Dienste nutzt, sowie unter Berücksichtigung der Beschaffenheit, des Betriebs und der Sicherheit ihrer Netz- und Informationssysteme organisatorisch, technisch und operativ unabhängig von ihren Partner- oder verbundenen Unternehmen ist.

Rechenzentren, die ausschließlich von der betroffenen Einrichtung betrieben und benutzt werden, fallen nicht in den Anwendungsbereich. (Anlage 1 Z. 8)

Leitungsorgane § 31

Die explizite Regelung, wonach Leitungsorgane der Einrichtung gegenüber für schuldhafte NIS2-Verstöße haften, wurde zwar aus dem Gesetz gestrichen – die Materialien stellen aber klar, dass die schadenersatzrechtliche Haftung aufrecht bleibt, insofern keine Änderung.

Auch an der Vorgabe von Schulungen für die Leitungsorgane hat sich nichts geändert.

Beschwerdeverfahren § 41

Die „nicht-aufschiebende“ Wirkung wird nicht mehr thematisiert, sodass die allgemeinen Regeln zur Anwendung kommen.

Unabhängige Stellen und Prüfer § 7

Im Zulassungsverfahren für unabhängige Stellen und unabhängige Prüfer gibt es einige Änderungen.

Beginn Dreijahres-Frist für Überprüfungen für Betreiber wesentlicher Dienste § 51 Abs 7 (gestrichen)

Die Bestimmung, wonach die 3-jährige Frist für Betreiber wesentlicher Dienste nach („NIS1“) , die auch wesentliche Einrichtungen nach NIS2 sind, ab dem letzten Zeitpunkt des letzten Nachweises beginnt, wurde gestrichen.

Sektor Lebensmittel

Anlage 2 Z 4 (Produktion, Verarbeitung und Vertrieb von Lebensmittel) hat sich die Formulierung von „…die im Großhandel oder in der industriellen Produktion und Verarbeitung tätig sind“ auf „die im Großhandel und in der industriellen Produktion und Verarbeitung tätig sind“ geändert. Nach den neuen Erläuterungen ist jedoch weiterhin klar, dass entweder Großhandel oder Produktion ausreicht, um in den Anwendungsbereich zu fallen.

Verwaltungsstrafen:

Für bestimmte Verstöße gibt es einen niedrigeren Strafrahmen von bis zu EUR 50.000 bis zu EUR 100.000 im Wiederholungsfall. Dies betrifft ua die nicht fristgerechte Registrierung, sowie die nicht fristgerechte Selbstdeklaration

(Wir empfehlen unbedingt, spätestens jetzt mit den Vorbereitungen zu beginnen und trotz vorliegendem Initiativantrag auch mit einem früheren Inkrafttreten zu rechnen.)

Wichtiger Hinweis:

Es können sich im parlamentarischen Gesetzgebungsverfahren weiterhin noch Änderungen ergeben bzw. ist angesichts der innenpolitischen Situation nicht sicher, ob das NISG2024 noch vor den Nationalratswahlen beschlossen wird.

Die Beschlussfassung erfordert eine Zweidrittelmehrheit, letzte Möglichkeit der Beschlussfassung vor der Sommerpause ist die erste Juliwoche.