- Das Gesetz über Cybersicherheit tritt am 1. November 2025 in Kraft.
- Es basiert auf der europäischen Richtlinie NIS2.
- Es erweitert den Kreis der regulierten Unternehmen von einigen Hundert auf Tausende.
- Es betrifft ein breites Spektrum von Branchen – Energie, Gesundheitswesen, Verkehr, Industrie, digitale Dienste usw.
- Organisationen müssen prüfen, ob sie unter die neue Regelung fallen, und sich auf die neuen Anforderungen vorbereiten.
Am 1. November 2025 tritt das seit langem angekündigte Gesetz über Cybersicherheit in Kraft, das Änderungen auf der Grundlage der europäischen Richtlinie NIS2 in das tschechische Rechtssystem einführt. Es handelt sich um eine grundlegende Änderung, die den Kreis der regulierten Unternehmen von einigen Hundert auf mehrere Tausend in der gesamten Tschechischen Republik erweitert, von der Energiewirtschaft über das Gesundheitswesen bis hin zu Produktionsunternehmen und Anbietern digitaler Dienste. Wo sollten Unternehmen also mit der Vorbereitung auf die neuen Anforderungen beginnen?
Beurteilung, ob ein Unternehmen unter die neue Regelung fällt
Der erste Schritt ist ein Prozess namens Selbstidentifizierung, bei dem bewertet wird, ob die neue Gesetzgebung überhaupt für die Organisation gilt. Damit ein Unternehmen als Anbieter einer regulierten Dienstleistung gilt, muss es die folgenden drei Kriterien erfüllen:
- Es ist in einem regulierten Sektor tätig – beispielsweise in der Energieversorgung, im Gesundheitswesen, im Verkehrswesen, in der Wasserwirtschaft, in der Industrie oder in der digitalen Infrastruktur.
- Es erbringt eine bestimmte regulierte Dienstleistung, die in der Verordnung über regulierte Dienstleistungen aufgeführt ist. Es reicht also nicht aus, in der Branche selbst tätig zu sein – entscheidend ist, welche Dienstleistung die Organisation tatsächlich erbringt.
- Sie erreicht eine bestimmte Größe oder Bedeutung – typischerweise handelt es sich um mittlere und große Unternehmen (50 und mehr Mitarbeiter oder ein Umsatz von über 10 Millionen Euro) oder um Organisationen, deren Tätigkeit Auswirkungen auf die Erbringung wesentlicher staatlicher Dienstleistungen haben kann.
Das Gesetz gilt hingegen nicht für kleine und Kleinstunternehmen sowie für Unternehmen außerhalb der regulierten Branchen. Jede Organisation muss diese Kriterien jedoch selbstständig prüfen. In der Praxis bedeutet dies, dass sie ihre Tätigkeiten und erbrachten Dienstleistungen bewerten und feststellen muss, ob einige davon zu den regulierten Dienstleistungen gehören.
Ein hilfreiches Instrument für eine vorläufige Bewertung kann der Online-Rechner sein, der auf der Website des NÚKIB-Portals verfügbar ist.
Registrierungspflicht
Wenn eine Organisation die oben genannten Kriterien erfüllt, wird sie je nach Bedeutung der erbrachten Dienste in eines von zwei Systemen eingestuft:
- Das niedrigere System – umfasst grundlegende Sicherheitsmaßnahmen, die in der Verordnung über Sicherheitsmaßnahmen für das niedrigere System festgelegt sind.
- Höheres Regime – gilt für Schlüsselbereiche (z. B. Energieversorgung, Gesundheitswesen, Telekommunikation) und sieht strengere Anforderungen vor, die in der Verordnung über Sicherheitsmaßnahmen für das höhere Regime festgelegt sind.
Dabei gilt der Grundsatz, dass, wenn eine Organisation mehrere regulierte Dienste in verschiedenen Regimen erbringt, immer das höhere Regime maßgeblich ist.
Anschließend müssen die erbrachten regulierten Dienste über das NÚKIB-Portal formell gemeldet werden. Die Organisationen haben ab Inkrafttreten des Gesetzes 60 Tage Zeit für die Registrierung, also bis zum 31. Dezember 2025.
Nach der Registrierung beginnt eine einjährige Übergangsfrist für die Einführung aller erforderlichen organisatorischen und technischen Maßnahmen. Die Unternehmen müssen somit ihre Verpflichtungen spätestens bis Ende 2026 erfüllen.
Warum es sich lohnt, schon jetzt zu beginnen
Das neue Gesetz über Cybersicherheit dient nicht nur der Erfüllung von Verpflichtungen gegenüber der Regulierungsbehörde.
Sein Ziel ist es, sicherzustellen, dass Unternehmen, die in wirtschaftlich, gesellschaftlich oder sicherheitspolitisch wichtigen Branchen tätig sind, zumindest einen grundlegenden Standard für den Cyberschutz einführen.
Eine rechtzeitige Vorbereitung hilft nicht nur, die gesetzlichen Anforderungen zu erfüllen, sondern auch das Risiko von Ausfällen, Datenverlusten oder Reputationsschäden zu verringern.
Unternehmen sollten daher mindestens Folgendes tun:
- das aktuelle Sicherheitsniveau bewerten und mit den Anforderungen des neuen Gesetzes vergleichen,
- eine Bestandsaufnahme der Vermögenswerte und eine Risikoanalyse durchführen
- und Prozesse zur Umsetzung der erforderlichen Sicherheitsmaßnahmen einleiten.