Cybersicherheit
NIS-2: Sind auch Gemeinden und Gemeindeverbände erfasst?
NIS steht für „Network and Information Security“. Die Richtlinie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten diese in nationales Recht überführen.
Der derzeitige Entwurf des österreichischen Umsetzungsgesetzes zur NIS-2-Richtlinie, des NISG 2024, sieht vor, dass „Gemeinden“ und „Gemeindeverbände“ nicht als „Einrichtungen im Sektor der öffentlichen Verwaltung“ anzusehen sind, die den gesetzlich definierten Cybersicherheitsstandards entsprechen müssen. Diese Ausnahme legt nahe, dass das NISG 2024 auf österreichische Kommunen nicht zur Anwendung gelangt.
Wann sind Gemeinden betroffen?
Vom NIS-2-Cybersicherheitsrecht sind Gemeinden und Gemeindeverbände allerdings nur insoweit ausgenommen, als sie eben nicht in den Sektor „Öffentliche Verwaltung“ fallen. Sofern sie eine Tätigkeit in einem anderen von der NIS-2-Richtlinie bzw. dem NISG 2024 adressierten Sektor – wie Abwasser oder Abfallbewirtschaftung — ausüben, werden sie von der NIS-2-Richtlinie bzw. vom NISG 2024 erfasst.
Die NIS-2-Pflichten können für Gemeinden und Gemeindeverbände damit über die „Hintertür“ ihrer Regiebetriebe schlagend werden. Diese sind für die Zwecke des NIS-2-Cybersicherheitsrechts als „Unternehmen“ anzusehen. Entfalten Regiebetriebe ihre Tätigkeit in einem der von NIS-2 erfassten Sektoren (etwa Elektrizität, Fernwärme und Fernkälte, Trinkwasser, Abwasser oder Abfallbewirtschaftung), gelangt die NIS-2-Richtlinie bzw das NISG 2024 auf die betreffenden Gemeinden und Gemeindeverbände zur Anwendung. Das NISG 2024 verpflichtet dabei die Gemeinden und Gemeindeverbände selbst, weil den Regiebetrieben keine rechtliche Eigenständigkeit zukommt.
Was ist zu tun?
Gemeinden und Gemeindeverbände sind in derartigen Fällen verpflichtet, sich bei der NIS-Behörde zu registrieren, ihre gesamte IT im Sinne des All-Hazards-Approaches umfassend (auch gegen physische Gefahren wie Diebstahl, Feuer oder Stromausfälle) zu schützen, ihre Leitungsorgane (Bürgermeister bzw. Vorstände oder Geschäftsführer von Gemeindeverbänden etc.) und Mitarbeiter zu schulen und Prozesse festzulegen, um bei Eintritt eines Cybersicherheitsvorfalls rechtzeitig Meldung an die Behörde zu erstatten.
Aufgrund der weitreichenden organisatorischen Anforderungen der NIS-2-Richtlinie, die insbesondere eine Letztverantwortung der Entscheidungsträger vorsieht, werden Gemeinden und Gemeindeverbände dabei neben der technischen auch die rechtliche Seite der NIS-2-Compliance genau im Auge behalten müssen.
Überschreiten der maßgeblichen Größenschwellen
Das NIS-2-Cybersicherheitsrecht erfasst Gemeinden und Gemeindeverbände allerdings nur, sofern diese die maßgeblichen Größenschwellen überschreiten. Konkret heißt das, dass die fragliche Gemeinde oder der fragliche Gemeindeverband zumindest 50 Mitarbeiter beschäftigt oder einen „Umsatz“ von über zehn Millionen Euro erzielt und eine „Bilanzsumme“ von über zehn Millionen Euro aufweist.
Im Ergebnis kann es – bei Überschreiten der Größenschwellen – dazu kommen, dass auch Gemeinden die NIS-2-Cybersicherheitspflichten erfüllen müssen.
Wie Gemeindeverbänden Mitarbeiter und Finanzkennzahlen ihrer Mitgliedsgemeinden zuzurechnen sind, ist noch weitgehend unklar. Hier bleibt zu hoffen, dass zukünftige Leitfäden der Behörde Rechtssicherheit schaffen.
Mögliche unmittelbare Wirkung ab 18. Oktober 2024
Die NIS-2-Richtlinie legt fest, dass die Mitgliedstaaten das NIS-2-Cybersicherheitsrecht ab dem 18. Oktober 2024 anwenden. Das österreichische Umsetzungsgesetz – das NISG 2024 – konnte den Nationalrat allerdings bislang noch nicht passieren. Zudem sieht der derzeitige Entwurf des NISG 2024 sein Inkrafttreten erst mit 1. Juni 2025 vor.
Für Gemeinden und Gemeindeverbände könnten einzelne Pflichten der NIS-2-Cybersicherheitsregeln jedoch bereits deutlich früher zur Anwendung gelangen, nämlich ab dem in der Richtlinie vorgesehenen Umsetzungstermin (18. Oktober 2024).
Im Sinne der Rechtsprechung des Europäischen Gerichtshofs sind Richtlinien bei verspäteter Umsetzung zulasten des Staats (Gemeinden und Gemeindeverbände gelten als staatlich) unmittelbar anzuwenden, wenn ihre Bestimmungen hinreichend konkret sind. Davon ist zumindest für einzelne Pflichten der NIS-2-Richtlinie auszugehen – wie der Pflicht zur Setzung von Risikomanagementmaßnahmen oder den Schulungspflichten.