Neues tschechisches Gesetz zur Cybersicherheit in Kraft

Die wichtigste Neuerung des neuen Cybersicherheitsgesetzes ist die erhebliche Ausweitung der Rechtsträger, für die die entsprechenden Verpflichtungen nunmehr gelten. Während bisher vor allem ausgewählte Betreiber kritischer Infrastrukturen und öffentliche Organisationen betroffen waren, werden es nunmehr rund sechstausend Subjekte aus verschiedenen Wirtschaftssektoren sein, die als Anbieter bzw. Betreiber regulierter Dienste bezeichnet werden.

​

Der erste Schritt besteht also darin, auf Grundlage der gesetzlich festgelegten Kriterien zu prüfen, ob Ihre Organisation in den Geltungsbereich des neuen Gesetzes fällt. Dabei handelt es sich um drei Arten an Kriterien: Sind Sie in einem regulierten Sektor tätig? (es handelt sich um ausgewählte Schlüsselsektoren wie Energiewesen, Gesundheitswesen, Verkehr oder digitale Dienste usw.); Wenn ja - erbringen Sie tatsächlich eine regulierte Dienstleistung? Wenn auch diese Frage bejaht wird, erfüllt Ihre Organisation die so genannten Bedingungen der Wesentlichkeit für einen Anbieter regulierter Dienste (insbesondere die Größe des Unternehmens)? Die konkreten Kriterien sind in den Verordnungen zum Gesetz festgelegt - bei Erfüllung derselben unterliegen Sie einem von zwei Pflichtenkatalogen, die strengere oder weniger strenge Anforderungen vorsehen. In jedem Fall müssen Anbieter, die unter die beiden Regelungen fallen, ihre regulierten Dienste bereits jetzt an die Nationale Behörde für Cybersicherheit der Tschechischen Republik (Národní úřad pro kybernetickou bezpečnost, NÚKIB) melden. 

Als Nächstes müssen Schritte eingeleitet werden, um den Anforderungen der gegenständlichen Vorschriften Genüge zu tun, was innerhalb von 12 Monaten geschehen muss. Dazu ist es ratsam, zunächst Prioritäten zu setzen - es darf nicht vergessen werden, dass es bei der Cybersicherheit nicht nur um die Erfüllung gesetzlicher Verpflichtungen geht, sondern vor allem um die Vermeidung von Risiken, die im Falle eines Cyberangriffs oder eines anderen Sicherheitsvorfalls ganz erhebliche Auswirkungen haben könnten.

Eines der wichtigsten neuen Elemente des Gesetzes ist die direkte Haftung der obersten Führungsebene einer Organisation für die Gewährleistung der erforderlichen Cybersicherheit. Das Management muss Sicherheitsrichtlinien genehmigen, aber auch seine Qualifikation und ein Bewusstsein für Cyberrisiken nachweisen. Die Regelung sieht vor, dass ein bestimmtes Mitglied der Geschäftsleitung für den Bereich Cybersicherheit verantwortlich ist.

Organisationen sind verpflichtet, eine Reihe von technischen und organisatorischen Maßnahmen umsetzen, die unter anderem Folgendes umfassen:

Es sollte daher betont werden, dass es sich nicht nur um eine „technische“ Frage für die IT-Abteilung handelt, sondern um eine komplexe strategische und rechtliche Verantwortung auf kontinuierlicher Basis. Organisationen sollten über ein internes Managementsystem für Cybersicherheit verfügen, dieses regelmäßig überprüfen und alle durchgeführten Schritte dokumentieren. Bei Verletzungen von Verpflichtungen drohen empfindliche Strafen von bis zu 250 Millionen CZK oder 2 Prozent des weltweiten Jahresnettoumsatzes.

Wir beraten Sie gerne und umfassend nicht nur in Bezug auf die Cybersicherheit, sondern auch in allen anderen Bereichen der digitalen Welt.

​