NISG 2024 im Nationalrat nicht beschlossen
Unternehmen müssen sich dennoch rechtzeitig vorbereiten
Lesedauer: 1 Minute
Bei der Abstimmung im Parlament zum Netz- und Informationssicherheitsgesetz 2024 am 3.7. fand sich keine notwendige Zweidrittelmehrheit für das NISG 2024. Das Gesetz wurde daher vorerst nicht beschlossen.
>> Zur Parlamentskorrespondenz
Was bedeutet das?
Die NIS2-Richtlinie würde eine Umsetzung der Mitgliedstaaten bis 17. Oktober 2024 vorsehen. Diese Vorgabe richtet sich jedoch an die Mitgliedstaaten. (Eine unmittelbare Anwendbarkeit von Richtlinien gibt es nur in Ausnahmefällen.)
Die Regelungen, die in der NIS2-Richtlinie vorgesehen sind, müssen – unabhängig von der zeitlichen Komponente – jedenfalls in österreichisches Recht umgesetzt werden. Durch die Nationalratswahlen wird es höchstwahrscheinlich aber zu einer entsprechenden Verzögerung bei der Umsetzung in nationales Recht kommen. Die Regelungen gelten für die betroffene Einrichtungen erst, wenn das NISG 2024 in Kraft tritt.
Was bedeutet das für betroffene Einrichtungen?
Auch wenn der Zeitpunkt des Inkrafttretens eines neuen NIS-Gesetzes noch unklar ist: Die Regelungen sind von den Mitgliedstaaten verpflichtend umzusetzen und werden kommen!
Es ist daher dringend zu empfehlen die „Verzögerung“ zu nutzen und die Umsetzung der von der NIS2-Richtlinie geforderten Maßnahmen dennoch voranzutreiben, da dies durchaus monatelang im Unternehmen dauern kann und damit zu rechnen ist, dass es bei einem (späteren) Inkrafttreten des NISG kaum Aufschub für die geforderten Maßnahmen (insbesondere Risikomanagementmaßnahmen und Meldepflichten) gibt.
>> Info: Wie fange ich am Besten bei der Umsetzung an?
Woran können sich betroffene Einrichtungen bei der Umsetzung orientieren?
Die NIS2-Richtlinie ist in Kraft, die darin vorgesehenen Risikomanagementmaßnahmen sind Mindestvorschriften, die jedenfalls Teil eines neuen NISG sein werden.
Auch wenn der NIS-Gesetzesentwurf nun nicht die Hürde im Parlament geschafft hat, ist damit zu rechnen, dass sich bei einer späteren Beschlussfassung insbesondere die die Unternehmen betreffenden Vorgaben nicht wesentlich ändern werden.
Zur Orientierung dienen daher folgende Vorschriften:
- NIS2-Richtlinie (insbesondere Kapitel IV)
- Begutachtungsentwurf zum NISG 2024 (insbesondere Risikomanagementmaßnahmen-Bereiche in der Anlage 3 des Begutachtungsentwurfs, die noch in einer Verordnung spezifiziert werden müssen)
- Für große Bereiche der digitalen Infrastruktur gibt es auf EU-Ebene Entwürfe zu Durchführungsrechtsakten
Was gilt in Bezug auf „NIS1“ für Betreiber wesentlicher Dienste?
Für Betreiber wesentlicher Dienste nach dem bestehenden NISG (diese haben einen Bescheid erhalten), gilt bis zum Inkrafttreten der neuen Rechtslage weiterhin die jetzige Rechtslage mit dem bestehenden NISG.
Insbesondere gelten auch die Bestimmungen betreffend die Überprüfungen durch qualifizierte Stellen weiter bis zum Inkrafttreten des neuen NISG.