Ein IT-Experte sitzt an einem Computer
Eine EU-Richtlinie verpflichtet Unternehmen zu stärkeren Maßnahmen gegen Hackerangriffe.
AFP/JEAN-CHRISTOPHE VERHAEGEN

Im Gastbeitrag erklären die Juristen Lukas Feiler und Silvia Grohmann, warum von den neuen Vorgaben mehr Unternehmen erfasst sind als gedacht.

Diese Woche hätte die nationale Umsetzung der Netzwerks- und Informationssicherheitsrichtlinie der EU (NIS2) vom Nationalrat beschlossen werden sollen. Der nicht angenommene Entwurf hätte unter anderem dem Innenministerium als Cybersicherheitsbehörde eine zentrale Rolle eingeräumt. Jedoch konnte die erforderliche Zweidrittelmehrheit nicht erreicht werden. Dessen ungeachtet wird das österreichische Umsetzungsgesetz (NISG 2024) spätestens nach der bevorstehenden Nationalratswahl beschlossen werden, sodass sich Unternehmen bereits jetzt mit den neuen Anforderungen auseinandersetzen müssen.

Die Bedrohungen für die Cybersicherheit von Unternehmen bestehen längst nicht mehr aus jugendlichen Freizeithackern, sondern primär aus hochprofessionell organisierten internationalen kriminellen Organisationen sowie aus feindlichen staatlichen Akteuren. Insbesondere das Phänomen der Ransomware, das heißt Schadsoftware, die Unternehmensdaten verschlüsselt und nur gegen Lösegeldzahlung wieder freigibt, ist zu einem hochlukrativen und stetig wachsenden Geschäftsbereich für kriminelle Organisationen geworden.

Diese Bedrohungen stellen nicht nur betriebswirtschaftliche Risiken für Unternehmen dar, sondern führen zu gesamtgesellschaftlichen Risiken, denke man zum Beispiel an den Ausfall eines Stromkraftwerkes oder den Zusammenbruch der medizinischen Versorgung in Folge von Cyberangriffen.

Die EU hat daher bereits 2016 den Bereich der Cybersicherheit für kritische Infrastrukturen reguliert. Die neue Cybersicherheitsrichtlinie NIS2 sollte den Anwendungsbereich der Regulierung um zusätzliche kritische Sektoren wie Abwasser, Weltraum, öffentliche Verwaltung, Abfallbewirtschaftung, Chemie, Post- und Kurierdienste, Lebensmittel, verarbeitende und herstellende Gewerbe, sowie IT-Dienstleistungen im Allgemeinen erweitern.

Regulierung nicht-kritischer Sektoren

Unternehmen, die sich in keinem der genannten kritischen Sektoren befinden, sind jedoch häufig dennoch reguliert. Denn die Regulierung ist derart verfasst, dass auch Gesellschaften, die ausschließlich innerhalb ihres Konzerns IT-Dienstleistungen erbringen, vollständig der Regulierung unterliegen. Erbringt die Konzernmuttergesellschaft IT-Dienstleistungen, wie dies in vielen Konzernen der Fall ist, so unterliegt daher die Konzernmuttergesellschaft zur Gänze der Regulierung.

Dies ist darauf zurückzuführen, dass die Regulierung keine Ausnahme für konzernintern erbrachte Dienste vorsieht. Eine Gesellschaft, die für andere Konzerngesellschaften IT-Dienstleistungen erbringt, unterliegt daher ebenso dem Anwendungsbereich der NIS2 beziehungsweise des NISG 2024 wie ein Unternehmen, das IT-Dienstleistungen am Markt gegenüber Kunden anbietet.

Derartige konzernintern erbrachte Dienstleistungen können im Betrieb von IT-Infrastruktur (Server, Cloud-Umgebung) oder auch in der schlichten Erbringung von IT-Support-Dienstleistungen bestehen. Dies insbesondere deshalb, weil die Regulierung auch die Erbringung von "verwalteten Diensten" erfasst und diese sehr breit definiert als "Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung, dies entweder in den Räumlichkeiten der Kunden oder aus der Ferne".

Erbringt daher die Konzernmuttergesellschaft auch nur IT-Supportdienstleistungen (zum Beispiel der Betrieb eines Help-Desk) für andere Konzerngesellschaften, so ist die Muttergesellschaft im vollen Anwendungsbereich der neuen Cybersicherheitsregulierung. Nach dem klaren Wortlaut der Regulierung gilt dies nicht nur für den Organisationsteil der Muttergesellschaft, der die IT-Dienstleistungen erbringt, sondern für die gesamte Muttergesellschaft. Dieses wenig befriedigende Ergebnis ist darauf zurückzuführen, dass der Unionsgesetzgeber die konzerninterne Erbringung von Dienstleistungen augenscheinlich nicht als regulatorische Herausforderung hinreichend durchblickt hat.

Kleine Konzerngesellschaften

Um einer Anwendung der Cybersicherheitsregulierung auf die Muttergesellschaft zu entgehen, könnte die Erbringung von IT-Services in eine eigene Tochtergesellschaft ausgegliedert werden. Diese dezidierte, konzerninterne IT-Servicegesellschaft hätte diesfalls typischerweise eine geringe Mitarbeiterzahl und allenfalls relativ niedrige Umsatzzahlen. Da die Regulierung grundsätzlich nicht für Kleinstunternehmen mit nicht mehr als 50 Mitarbeitern bzw. zehn Millionen Euro Umsatz gilt, stellt sich die Frage, ob derartige konzerninterne IT-Servicegesellschaften dem Anwendungsbereich der Regulierung gänzlich entkommen können. Der österreichische Gesetzgeber hat genau für diese Konstellation in der Tat eine Ausnahmeregelung geschaffen. Nach dem jüngsten Entwurf des NISG 2024 sollen bei der Berechnung des Umsatzes und der Mitarbeiterzahl verbundene Unternehmen außer Acht gelassen werden, wenn diese betreffend IT-Sicherheit "organisatorisch, technisch und operativ unabhängig" sind.

Für Konzernmuttergesellschaften, die aufgrund des Sektors, in dem sie tätig sind, grundsätzlich nicht dem NISG 2024 unterliegen würden, aber aufgrund der konzerninternen Erbringung von IT-Dienstleistungen dennoch in den Anwendungsbereich des NISG 2024 fallen, gilt daher Folgendes: Durch die Ausgliederung des IT-Betriebs in eine tatsächlich selbstständig agierende konzerninterne IT-Servicegesellschaft kann die Anwendung des NISG 2024 gänzlich verhindert werden.

Fazit

Die neue Cybersicherheitsregulierung durch NIS2 bzw. NISG 2024 findet auch Anwendung auf Gesellschaften in nichtkritischen Wirtschaftssektoren, wenn sie konzerninterne IT-Dienstleistungen erbringen, und zwar auf alle Organisationsteile der Gesellschaft und nicht nur jene, die IT-Dienstleistungen erbringen. Durch die gezielte Ausgliederung der Erbringung von konzerninternen IT-Dienstleistungen in eine dezidierte IT-Servicegesellschaft lässt sich die Anwendung der neuen Cybersicherheitsregulierung auf die Muttergesellschaft jedoch verhindern. (Lukas Feiler, Silvia Grohmann, 6.7.2024)