Cyber-Gesetz: Bei unsicherem Passwort droht Millionenstrafe

Ab Herbst 2024 wird das neue Netz- und Informationssystemsicherheitsgesetz Vorgaben für die Prävention von Cyberangriffen verschärfen. Sollten die Vorgaben von Firmen nicht eingehalten werden, drohen teils Strafen in Höhe mehrere Millionen, so das Magazin "profil", dem der entsprechende Gesetzesentwurf vorliegt. 

Der Entwurf soll bald in die Begutachtung gehen und konkretisiert eine Richtlinie der EU. Die "NIS1"-Richtlinie gilt hierzulande bereits, die "NIS2"-Richtlinie soll aber die Regelungen im Umgang mit Cybersicherheit ausweiten. 

• Mehr lesen: Hacker-Angriff auf Niederösterreich: Spur führt nach Moskau

Tausende Firmen und Stellen betroffen 

Laut "profil" sollen bis zu 6.000 öffentliche Stellen und Unternehmen von den neuen Regeln betroffen sein. Strengere Vorgaben gelten für im Entwurf als "wesentliche Einrichtungen" deklarierte Unternehmen oder öffentliche Stellen. Das hänge etwa von der Größe, dem Umsatz und der Relevanz ab. 

Die Ausgestaltung der Regeln obliegt dem Innenministerium. Derzeit ist das noch Gerhard Karner (ÖVP). Im Zuge der Nationalratswahl im Herbst 2024 könnte diese Aufgabe aber seine/n Nachfolger/in übertragen werden. 

• Mehr lesen: Superwahljahr 2024 - Wer wann zur Urne muss

Cybersicherheit fällt laut Entwurf jedenfalls in den Verantwortungsbereich der Führungsriege. So sollen sie selbst Schulungen für ihr Team machen, so "profil". 

Nichteinhaltung könnte Millionen kosten 

Wer gegen die Regelungen verstößt, dem drohen hohe Strafen. Für "Wesentliche Einrichtungen" können Strafen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vergangenen Geschäftsjahres anfallen. "Wichtigen Einrichtungen", die weniger strengen Vorgaben unterliegen, drohen bei Nichteinhaltung Strafen von bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes. 

Unternehmen müssen sich auch von einer unabhängigen Stelle als "cybersicher" prüfen lassen. 

• Mehr lesen: Cybercrime nimmt extrem zu

Für die Koordination, den Informationsaustausch und die Prüfung der Zertifikationsstellen soll zudem eine neue Cybersicherheitsbehörde geschaffen werden. Sie soll dem Innenministerium unterstellt sein. 204 Stellen seien laut "profil" dafür vorgesehen. 

ÖVP und Grüne verhandeln nun schon seit längerer Zeit über die Gesetzesvorlage. Änderungen der derzeit im Entwurf beschriebenen Regelungen könnten noch in Erwägung gezogen werden. Für das Gesetz braucht es eine Zweidrittelmehrheit. Entweder SPÖ oder FPÖ müssen also zustimmen.