Cyber-Bedrohungen in der Slowakei und anderen EU-Ländern haben in den letzten Jahren zugenommen und werden immer raffinierter. Das neue Jahr hat noch nicht einmal begonnen, und wir haben bereits beispiellose Cyber-Angriffe auf die IT-Systeme unseres Staates erlebt. Die Antwort muss eine wirksame Kombination aus legislativen, organisatorischen und strategischen Maßnahmen sein, die die Sicherheit der Slowakei stärken. Die Novelle des Cyber-Sicherheitsgesetzes, die am 1. Januar 2025 in Kraft trat, ist eine Teilreaktion auf moderne Bedrohungen. Sie stärkt die Sicherheitsanforderungen und die Aufsicht strategischer Sektoren. Wir sprachen mit der Energie-Rechtsexpertin Barbora Balunová von der Anwaltskanzlei L/R/P advokáti, s.r.o. über die Auswirkungen der Änderungen auf den Energiesektor.

Die Notwendigkeit, die Cyber-Sicherheit zu stärken

Am Anfang des Jahres erlebte die Slowakei einen der schwersten Cyber-Angriffe ihrer Geschichte. Hacker griffen das Amt für Geodäsie, Kartographie und Kataster der Slowakischen Republik an, was führte dazu, dass die Kataster Dienste lahmgelegt wurden und schwerwiegende Folgen nicht nur für Bürger, sondern auch für Institutionen und lokale Behörden hatte. Der Cyber-Angriff löste einen Dominoeffekt aus – die Nichtverfügbarkeit von Kataster-Diensten verlangsamte den Immobilienmarkt erheblich, Banken ohne Zugang zu aktuellen Daten haben Hypothekendarlehen „einfrieren lassen“, Städte und Gemeinden waren ohne die notwendigen Informationen gleichermaßen lahmgelegt. Dieser Vorfall verdeutlichte die Verwundbarkeit kritischer staatlicher Systeme und die Notwendigkeit, die Cyber-Sicherheit in der Slowakei zu stärken.

Die jüngste Änderung des Gesetzes Nr. 69/2018 Slg. über Cyber-Sicherheit erhöht das erforderliche Cyber-Sicherheitsspiegel erheblich und integriert die Grundsätze der Richtlinie 2 über Netz- und Informationssicherheit (NIS2) in nationales Recht. Zu den Hauptzielen der NIS2-Richtlinie gehört die Ausweitung des Anwendungsbereichs der Cyber-Sicherheit auf weitere Branchen und Organisationstypen. Die Europäische Union setzt sich seit langem für die Einführung strengerer Sicherheitsanforderungen und -maßnahmen zum Schutz der IT-Infrastruktur sowie für eine verstärkte Überwachung ihrer Einhaltung ein. Mögliche Cyber-Angriffe, beispielsweise auf die Energieinfrastruktur, könnten verheerende Folgen für die Wirtschaft, aber auch für die Menschen in der Union haben. „Daher sollten die EU-Länder bei der Bewältigung von Cyber-Vorfällen nun einheitlich vorgehen und enger und effektiver zusammenarbeiten“, sagt Barbora Balunová, Expertin für Energierecht und -regulierung.

In der Praxis soll die Novelle die mit der rasanten technologischen Entwicklung und Digitalisierung verbundenen Risiken verringern und die allgemeine Cyber-Sicherheit in den einzelnen Schlüsselsektoren unserer Wirtschaft erhöhen. Die geänderte Regelung der Cyber-Sicherheit und der Widerstandsfähigkeit wichtiger Unternehmen und ganzer Sektoren gegenüber aktuellen Cyber-Bedrohungen wird durch die Gesetzesänderung vom europäischen ins slowakische Recht übertragen.

Wen betreffen die Änderungen?

Die Schlüsseländerungen der Gesetzesnovelle schließen die Ausweitung des Geltungsbereichs auf neue Unternehmen, die Identifizierung regulierter Unternehmen anhand ihrer Branchenzugehörigkeit, die Anpassung der Berichterstattung von Vorfällen, die Anwendung von Sicherheitsmaßnahmen auf Grundlage von Risikoanalysen, die Anpassung der Sicherheit von Lieferketten, die koordinierte Offenlegung von Schwachstellen sowie die Prüfung und Selbstbewertung bzw. Zertifizierung der IKT-Sicherheit von Produkten und Dienstleistungen, ein.

Die Novelle erweitert die Pflichten für Unternehmen der Energiebranche erheblich. „Zu den Energieunternehmen, die von der Zulassungspflicht betroffen sein können, zählen beispielsweise Händler und Lieferanten von Strom und Gas, einschließlich LNG, Wärmeerzeuger, MDS-Anbieter, Aggregatoren sowie Betreiber von Erdgasspeichern und LNG-Anlagen. Genaue Listen der Unternehmen der Energiebranche und anderer Sektoren mit scharfer Kritik finden sich in den jeweiligen Anhängen der Novelle“, so Balunová.

Änderungen betreffen wichtige Akteure im Energiesektor

Die Gesetzesnovelle nennt ein breiteres Spektrum an Unternehmen, die in für das Funktionieren der Gesellschaft kritischen oder wichtigen Sektoren tätig sind. Zu den Sektoren mit hohem Maß an Kritizität zählen Energie, Verkehr, Finanzen, Gesundheitswesen, Wasser und Atmosphäre, digitale Infrastruktur, IKT-Dienstleistungsmanagement (zwischen Unternehmen), öffentliche Verwaltung und Weltraum. Die Novelle betrifft auch andere wichtige Wirtschaftszweige, wie etwa die Abfallwirtschaft oder die Produktion von Produkten, einschließlich technologischer Ausrüstung, die beispielsweise in Energieanlagen, Gasnetzen, Stromübertragung- und -verteilungssystemen oder der Wärmeverteilung verwendet werden.

„Die bedeutendste Änderung, die die Novelle des Cyber-Sicherheitsgesetzes einführt, ist die veränderte Vorgehensweise bei der Identifizierung von verpflichteten Unternehmen, sog. kritischen Unternehmen und Anbietern von Basisdiensten. Bei kritischen Unternehmen ist der Bewertungsprozess langwierig und anspruchsvoll und umfasst mehrere staatliche Behörden. Der Anbieter der Basisdienste durchläuft wiederum einen Prozess der sogenannten Selbstidentifizierung und ist anschließend verpflichtet, sich in das Anbieter Register des Nationalen Sicherheitsamts einzutragen“, erklärt Balunová.

Die Verordnung identifiziert Anbieter der Basisdienste nach bestimmten Kriterien, nämlich nach sektoralen Kriterien und basierend auf einer Größenbewertung. Auf der Website der NBÚ (Nationale Sicherheitsbehörde) ist ein informativer Fragebogen zu finden, wo es zu prüfen ist, ob ein Unternehmen gemäß dem geänderten Cyber-Sicherheitsgesetz in das Register der Anbieter von Basisdiensten aufgenommen werden kann. Ein Unternehmen, das die Kriterien für die Eintragung in das Register der Anbieter Basisdienste erfüllt, ist verpflichtet, dies innerhalb von 60 Tagen der Nationalen Sicherheitsbehörde zu melden, die es innerhalb von 30 Tagen registrieren muss.

Neue Pflichten nach der Registrierung bei der Nationalen Sicherheitsbehörde

Die Registrierung bringt verschiedene Aufgaben für den Anbieter mit sich, beispielsweise eine einjährige Frist zur Umsetzung der erforderlichen Sicherheitsmaßnahmen, die spätestens bis März 2026 abgeschlossen sein muss.

Die Anbieter wesentlicher Dienste sind zudem verpflichtet, schwerwiegende Sicherheitsvorfälle und Cyber-Bedrohungen unverzüglich zu melden. Ziel ist es, den Umfang und die Qualität des Informationsaustauschs zu verbessern und so die Meldung von Bedrohungen, Schwachstellen, in letzter Minute abgewendeten Ereignisse und Cyber-Sicherheitsvorfällen effizienter zu gestalten. Dies trägt zu einem stärkeren Bewusstsein für Cyber-Bedrohungen und der Fähigkeit der Unternehmen bei, diese zu verhindern.

Eine weitere Verpflichtung für Anbieter Basisdienste ist eine Wirtschaftsprüfung, wobei in einigen Fällen die Wirtschaftsprüfung auch durch eine sogenannte Selbstbewertung erfolgen. Die erste unabhängige Wirtschaftsprüfung muss innerhalb von 24 Monaten nach der Eintragung ins Register durchgeführt werden.

Abschreckende Sanktionen

Die Änderungen wirken sich auch auf den Sanktionsmechanismus aus, wobei die Durchsetzung von Bußgeldern effizienter gestalten und eine neue Form der Verwaltungssanktionen einführen sollen.

Vernachlässigt ein Unternehmen seine Meldepflicht, riskiert es eine deutlich höhere Sanktion von bis zu EUR 500.000,00. „Neben den abschreckend hohen rechtlichen Sanktionen sind die schwerwiegendsten negativen Folgen eines Cyber-Angriffs aufgrund von Pflicht- und Wachsamkeitsvernachlässigung – die Lähmung des Unternehmens, Rufschädigung, Sachschäden und auch mögliche Gefährdung von Leben und Gesundheit der Menschen“, so Balunová abschließend.

Der Artikel wurde im Slovak Spectator veröffentlicht:Neue Anforderungen an die Cyber-Sicherheit werden auf den Energiesektor übergreifen