Insbesondere mittlere und große Unternehmen sollten im Zusammenhang mit dem entstehenden Cybersicherheitsgesetz aufpassen. Sie werden nämlich demnächst dazu aufgefordert sein. Der Sinn des Gesetzes ist die Verbesserung der Widerstandsfähigkeit der digitalen Infrastruktur gegen die steigenden Cyberangriffe, und zwar innerhalb der ganzen Europäischen Union. Das entstehende Gesetz, dass Mitte 2024 in Kraft treten soll, geht von der europäischen Verordnung NIS2 aus, die die Subjekte im Rahmen der EU verpflichtet die Sicherheit ihrer Netze und Informationssysteme zu gewährleisten.
Im Dezember 2022 wurde vom Europäischen Parlament die Richtlinie NIS2 verabschiedet, die die minimalen Anforderungen an Cybersicherheit festlegt und die Subjekte innerhalb der EU verpflichtet, die Sicherheit ihrer Netze und Informationssysteme zu sichern. Das Ziel der Verordnung ist es die Widerstandsfähigkeit der digitalen Infrastruktur gegen Cyberangriffe zu verbessern und zu sichern, dass die EU-Subjekte auf diese Angriffe vorbereitet und imstande sind, auf diese zu reagieren. Die NIS2-Verordnung umfasst die Verabschiedung und Umsetzung des neuen Cybersicherheitsgesetzes, dessen Inkrafttreten für Mitte 2024 vorgesehen ist.
Das entstehende Cybersicherheitsgesetz, das bereits debattiert wird, vereinigt die bisherige zersplitterte Regelung mehrerer Arten von Pflichtpersonen in eine einzige zusammen zu fassen – Gewährender des regulierten Dienstes. Die Gewährenden unterliegen ferner der Verordnung über regulierte Dienstleistungen. Diese unterteilt sie nach der Art der Erfüllung der gesetzlichen Pflichten in Gewährende im niedrigeren und im höheren Modus.
Das neue Kriterium für regulierte Dienstleistungen ist die Größe der Organisation. Die Anzahl der Pflichtpersonen erweitert sich bei einer Gesamtanzahl von 400 Organisationen dramatisch auf geschätzte 6.000. Die gesetzlichen Anforderungen müssen Organisationen erfüllen, die im Anhang der Verordnung über regulierte Dienstleistungen genannt sind und die als mittlere oder große Unternehmen gelten. Es ist auch wichtig zu erwähnen, dass die Regel für die Berechnung der Unternehmensgröße angepasst wurde. Ist eine kleine Gesellschaft Bestandteil einer Holding, kann sie im Handumdrehen zu einer großen Gesellschaft werden. Der Entwurf des tschechischen Gesetzes sieht vor, dass ihm einige Subjekte je nach der Art der erbrachten Dienstleistungen ohne Rücksicht auf deren Größe unterliegen sollen. Das Gesetz erfüllt somit die Pflichtanforderungen der Verordnung, aber wird ferner deutlicher spezifiziert. Das heißt in Wirklichkeit, dass wenn Ihre Organisation laut der NIS2-Verordnung nicht von der Regelung betroffen sein sollte, kann es sein, dass sie ihr gemäß dem tschechischen Gesetz trotzdem unterliegen wird.
In der Praxis wird es für die Unternehmen u.a. heißen, dass sie ein Cybersicherheitsmanagement einführen und Sicherheitsmaßnahmen ergreifen, Cybersicherheitsinzidente melden und ihre Kunden informieren, Gegenmaßnahmen einleiten, ein Sicherheitsmanagement für Lieferketten (im Falle der Gewährenden im höheren Pflichtmodus) implementieren oder sich den Prüfungen von Inspektoren oder einer Aufsichtsbehörde unterwerfen müssen.
Werden die Kriterien für die Identifizierung erfüllt, hat die Organisation selbst eine Beurteilung und nachfolgende Registrierung vorzunehmen, im Falle der Kriterien für die Bestimmung führt das Nationalamt für die Cybersicherheit mit ihr ein Bestimmungsverwaltungsverfahren.
Bei der Nichteinhaltung der gesetzlichen Pflichten droht den Firmen ein Bußgeld bis zu 230 Mio. CZK.
Wir unterstützen Sie gerne
Sie können sich an uns wenden, sofern Ihre Firma den Selbstidentifikationsprozess durchmachte und Sie bereits wissen, dass die Novellierung des Cybersicherheitsgesetzes auch Ihr Unternehmen betrifft. Oder auch dann, wenn Sie Unterstützung mit dem gesamten Prozess benötigen. Wir haben unser Team gestärkt und wir sind bereit unsere Mandanten bei der Erzielung des Einklangs mit dem Gesetz zu unterstützen. Alles basiert auf der GAP-Anfangsvergleichbarkeitsanalyse, im Rahmen deren wir die aktuelle Lage Ihres Unternehmens was das novellierte Gesetz angeht, feststellen. Wir stehen Ihnen auch bei der Beratung mit der Implementierung der entworfenen Änderungen bei der Erzielung des Einklangs Ihrer Organisation mit der Regelung sowie bei der Vermeidung von nicht unerheblichen Geldbußen infolge dieser Regelung zur Verfügung.