Posted: 05 Jan. 2024 3 min. read

NIS-2 und der Datenschutz

Vor dem Hintergrund immer häufiger werdender Cyberattacken gelten für zahlreiche Unternehmen ab Herbst dieses Jahres neue Spielregeln. Diese gehen auch einher mit datenschutzrechtlichen Pflichten.

Hintergrund

 

Wie aktuelle Zahlen belegen, nehmen Cyberangriffe auch auf österreichische Unternehmen derzeit stark zu. Auch die Qualität der Angriffe ist in den letzten Monaten stetig gestiegen. So lässt sich Ransomware oftmals nur schwer entfernen und sinkt die Erfolgsrate bei der Wiederherstellung kompromittierter Daten. Dies bedeutet nicht selten für Unternehmen, dass der Betrieb mitunter länger stillsteht und Angriffe somit teils empfindliche Umsatzeinbußen verursachen.

Vor diesem Hintergrund ist die Cybersicherheitsrichtlinie NIS-2 (Netz- und Informationssicherheit) zu sehen, die Anfang dieses Jahres in Kraft getreten ist und bis Mitte Oktober 2024 in nationales Recht umgesetzt werden muss. Ziel von NIS-2 ist die Vereinheitlichung des Sicherheitsniveaus innerhalb der EU, die Stärkung der Widerstandsfähigkeit und die Verbesserung der Reaktion auf Sicherheitsvorfälle.

 

Bedeutung für österreichische Unternehmen

 

In Österreich betrifft NIS-2 voraussichtlich mehr als 3.000 Unternehmen, welche in bestimmten Sektoren tätig sind. Für diese Unternehmen gilt es, umfassende Maßnahmen für das Risikomanagement zu setzen. Dazu zählen ua Maßnahmen betreffend Sicherheits- und Risikokonzepte, das Vorfalls- und Krisenmanagement, die Sicherheit der Lieferkette, Schulungen, Verschlüsselung, Zugangskontrolle, Authentifizierung und die Notfallkommunikation. Bei schwerwiegenden Sicherheitsvorfällen müssen innerhalb kurzer Zeit Frühwarnungen und detaillierte Berichte erfolgen.

Besonders heikel aus Sicht der Leitungsorgane der betroffenen Unternehmen: Sie sind dafür verantwortlich, die vollständige Umsetzung der Sicherheitsmaßnahmen nach NIS-2 zu überwachen, und haften bei Verstößen persönlich. Überdies drohen bei Verstößen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes.

 

Auswirkungen auf den Datenschutz

 

Damit einhergehend hat NIS-2 auch direkte Auswirkungen auf die datenschutzrechtlichen Anforderungen der Unternehmen. Nach der DSGVO sind nämlich technische und organisatorische Maßnahmen zur Datensicherheit zu setzen, die dem aktuellen Stand der Technik entsprechen. Wie dieser Stand der Technik definiert wird, ist oft nicht klar. Die neuen NIS-2-Mindestsicherheitsstandards werden aber in der Praxis zumindest als Anhaltspunkte dafür dienen. Im Hinblick darauf werden viele Unternehmen bei ihren gesetzten Maßnahmen nachschärfen müssen.

In der Regel bedeuten Cyberattacken aber auch eine Verletzung des Schutzes personenbezogener Daten. Daher ist neben der NIS-2-Meldepflicht meistens auch eine Meldung an die Datenschutzbehörde und womöglich auch an die betroffenen Personen zu erstatten. In Vorbereitung auf in diesem Zusammenhang mögliche Nachfragen oder gar Ermittlungen der Datenschutzbehörde sollte bereits jetzt der DSGVO-Implementierungsgrad kritisch geprüft und allenfalls verbessert werden. Denn oft wurden nach den 2018 in vielen Fällen hastig gesetzten Erstmaßnahmen keine Folgeschritte gesetzt. Insbesondere schwierige Themen, wie die Implementierung eines faktisch funktionierenden rechtlichen und technischen Löschkonzepts, sind meistens nicht weiterverfolgt worden.

 

Fazit

 

NIS-2 wird für Unternehmen mit einem nicht unerheblichen Umsetzungsaufwand verbunden sein, wie dies auch bereits bei der DSGVO der Fall war. Angesichts der immensen Strafandrohungen und im Hinblick auf die im Angriffsfall entscheidende Aufrechterhaltung der Betriebsfähigkeit sollte dies keinesfalls unterschätzt werden. Auch bei einem beabsichtigten Abschluss einer Cyber-Versicherung ist zu beachten, dass Versicherungen dafür eine detaillierte Prüfung der implementierten Sicherheitsmaßnahmen vornehmen. Diese werden sich erwartungsgemäß an den NIS-2-Sicherheitsmaßnahmen orientieren.

Für die Vorbereitung auf gerade sehr reale Cyber-Risiken ist NIS-2 daher eine notwendige, aber auch wertvolle Gelegenheit, die von Unternehmen genutzt werden sollte.

 

Anmeldung zum Erhalt von Informationen und Newslettern

Ihr Kontakt

Mag. Sascha Jung

Mag. Sascha Jung

Deloitte Legal | Jank Weiler Operenyi RA

Sascha Jung ist Partner bei Jank Weiler Operenyi Rechtsanwälte (JWO), dem österreichischen Mitglied des globalen Anwaltsnetzwerkes Deloitte Legal, und leitet das IP/IT, Data Protection Team. Durch seine langjährige Berufs- und Beratungspraxis verfügt er über ein umfangreiches sowie praxisbezogenes Verständnis für Datenschutzrecht und IP/IT. Im Jahr 2017 schloss er sich JWO als Partner an. Vor JWO war Sascha Jung als Rechtsanwalt für die renommierte IP/IT Kanzlei Höhne, In der Maur & Partner sowie als Trade Mark Attorney für Red Bull tätig. Neben seiner anwaltlichen Tätigkeit trägt Sascha Jung als Lektor für IP/IT-Recht an der IMC Fachhochschule Krems vor und publiziert regelmäßig zu seinen Fachgebieten.

Mag. Christian Kern

Mag. Christian Kern

Deloitte Legal | Jank Weiler Operenyi RA

Christian Kern ist Rechtsanwalt im IP/IT, Daten Protection Team von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal. Seine Schwerpunkte liegen in den Bereichen Datenschutzrecht, Informationstechnologierecht und Arbeitsverfassungsrecht. Er ist Autor zahlreicher Publikationen im Bereich des Datenschutzes.