Am 25. April 2025 hat die Abgeordnetenkammer in dritter Lesung den Gesetzentwurf der Regierung zur Cybersicherheit angenommen, über dessen Vorbereitung wir Sie bereits informiert haben. Der Gesetzentwurf wird nun dem Senat zur Prüfung vorgelegt.

Ziel des Gesetzentwurfs ist die Umsetzung der europäischen Richtlinie NIS 2,^[1] , um die Anforderungen an die Cybersicherheit zu vereinheitlichen und die Cybersicherheit der Tschechischen Republik durch Präventivmaßnahmen gegen Cyberbedrohungen zu stärken. Diese Maßnahmen müssen von obligatorischen Einrichtungen umgesetzt werden, deren Anzahl durch die Verabschiedung des Gesetzentwurfs im Vergleich zur aktuellen Gesetzgebung erheblich erweitert wird.

Der Gesetzentwurf führt neue Verpflichtungen für so genannte regulierte Diensteanbieter ein. Zu den regulierten Diensten gehören Dienstleistungen, die für den Schutz wichtiger sozialer oder wirtschaftlicher Aktivitäten oder für die Sicherheit in einem von insgesamt 15 ausgewählten Sektoren wichtig sind, darunter: verarbeitendes Gewerbe, Lebensmittelindustrie, Abfallwirtschaft, digitale Infrastruktur und Dienstleistungen, Finanzmarkt, Gesundheit, Post- und Kurierdienste oder Energie.

Neben der Erbringung von regulierten Diensten sieht das Gesetz eine weitere Voraussetzung für die Anwendung der Vorschriften auf Unternehmen vor, nämlich einen bestimmten Quantifizierer. Der Quantifizierer ist fast immer die Größe des Unternehmens selbst, da das Gesetz auf mittlere oder große Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Anwendung findet. Nach dieser Empfehlung ist ein mittleres Unternehmen ein Unternehmen mit höchstens 250 Beschäftigten, einem Umsatz zwischen 10 und 50 Mio. EUR und einer Bilanzsumme von höchstens 43 Mio. EUR; ein großes Unternehmen ist ein Unternehmen, das die genannten Grenzen überschreitet.

Weitere Quantifizierungsmerkmale sind die Durchführungsbestimmungen des Gesetzes, z.B. die gesamte installierte Energiekapazität des Stromerzeugers oder die Tatsache, dass der Chemikalienhändler eine Menge gefährlicher Stoffe vertreibt, die in Anhang 1 des Gesetzes zur Verhütung schwerer Unfälle in Spalte 3 der Tabelle I oder II aufgeführt sind.

Die neuen Verpflichtungen gelten auch für regulierte Diensteanbieter, die zwar die oben genannten Kriterien nicht erfüllen, aber für die Sicherheit wichtiger sozialer oder wirtschaftlicher Aktivitäten oder für die Sicherheit der Tschechischen Republik von Bedeutung sind, wobei das Nationale Büro für Cyber- und Informationssicherheit (NUCSIS) die Befugnis erhält, solche regulierten Diensteanbieter zu benennen und ihnen Verpflichtungen nach dem Gesetz aufzuerlegen

Der Gesetzentwurf unterscheidet zwischen zwei Regelungsebenen, nämlich der niedrigeren und der höheren Verpflichtungsebene, wobei in der höheren Verpflichtungsebene natürlich höhere Anforderungen an die Verpflichteten gestellt werden.^[2] Der Gesetzentwurf unterscheidet auch zwischen zwei Kategorien von Sicherheitsmaßnahmen, nämlich organisatorischen und technischen Maßnahmen. Zu den neuen Verpflichtungen gehören beispielsweise die Schulung von Führungskräften, die Einführung von Vermögens- und Risikomanagementsystemen, die Sicherheit der Humanressourcen und die Verwendung kryptographischer Algorithmen.

Bei der Beurteilung des Umfangs der Verpflichtungen spielt es nicht immer eine Rolle, ob der regulierte Dienst die einzige oder eine wichtige Tätigkeit des betreffenden Unternehmens ist. So wird beispielsweise ein großes Unternehmen, das über eine Stromerzeugungslizenz verfügt, unabhängig von der gesamten installierten Energiekapazität der höheren Verpflichtungsregelung unterworfen, während ein mittelgroßes Unternehmen, das über dieselbe Lizenz verfügt, der niedrigeren Verpflichtungsregelung unterworfen wird. Dies gilt selbst dann, wenn seine Haupttätigkeit in einem völlig anderen Marktsegment liegt, das nicht als regulierte Dienstleistung eingestuft wird. Entscheidend ist hier, dass es sich um einen lizenzierten Stromerzeuger einer bestimmten Größe handelt. Stromerzeugungslizenzen werden jedoch häufig von Unternehmen erworben, für die beispielsweise eine Photovoltaikanlage auf dem Dach eine Lösung zur Deckung des beträchtlichen Eigenverbrauchs darstellt und der mögliche Verkauf von Überschüssen im Vergleich zum Kerngeschäft des Unternehmens eine Randaktivität ist. Ähnliche Lösungen gibt es z.B. auch für Stromhändler, Aggregatoren und Betreiber von Batteriespeichern.

Es wird erwartet, dass der Gesetzentwurf am 1. Januar 2026 in Kraft treten wird. Verpflichtete Unternehmen müssen sich selbst identifizieren und sich innerhalb von 60 Tagen nach Erfüllung der Bedingungen für die Registrierung eines regulierten Dienstes bei der NUCIB registrieren lassen. Die Unternehmen müssen den neuen Verpflichtungen spätestens ein Jahr nach Erhalt des Registrierungsbeschlusses nachkommen.

[1] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Union und zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148.

[2] Die Aufteilung der Anbieter in Abhängigkeit von den angebotenen regulierten Dienstleistungen wird von der NUCIB per Dekret festgelegt.

…

Dieses Material dient nur der allgemeinen Information über aktuelle Themen, es handelt sich um keine Rechtsberatung. Es berücksichtigt keine besonderen Umstände, finanziellen Situationen oder speziellen Anforderungen der Adressaten. Die Empfänger sollten daher stets geeignete professionelle Dienste für die bereitgestellten Informationen in Anspruch nehmen. Unabhängig von der sorgfältigen Zusammenstellung dieses Materials können bpv Braun Partners s.r.o. advokáti, seine Partner, verbundene Unternehmen oder kooperierende Anwälte und Steuerberater nicht für die Exaktheit oder Vollständigkeit der hierin enthaltenen Informationen garantieren und übernehmen keine Verantwortung für Handlungen oder Unterlassungen die auf der Grundlage der in diesem Material enthaltenen Informationen unternommen wurden.