Neues Resilienzgesetz für kritische Einrichtungen beschlossen

Am 24. September hat der österreichische Nationalrat mit 2/3 Mehrheit und den Stimmen von ÖVP, SPÖ, Neos und Grünen das RKEG beschlossen.

Pflichten für Unternehmen

Betroffene Unternehmen und Organisationen müssen u. a.:

• Regelmäßige Risikoanalysen durchführen (§ 14).

• Resilienzpläne erstellen und geeignete technische, organisatorische und personelle Maßnahmen umsetzen (§ 15).

• Zuverlässigkeitsüberprüfungen für sicherheitsrelevantes Personal veranlassen (§ 16).

Wenn Unternehmen sich generell an diesen Schritten der EU-Regeln halten würden, hätten sie kein Problem damit, wenn ein Unternehmen wie Microsoft seine Leistungen nicht mehr verlässlich anbieten würde. Dann gäbe es auch dafür eine Plan B.

IT-Ausfall = Geschäftsführerhaftung

Ich vermute, ihr habt alle den Artikel in der letzten PCNEWS gelesen?
Die dort beschriebenen Anforderungen gelten nicht nur für kritische Infrastrukturen, sondern auch für jedes Unternehmen nach dem UGB.

Wichtig:
Geschäftsführer haften innenrechtlich (also gegenüber der eigenen Gesellschaft) für Schäden, die durch Pflichtverletzungen als ordentlicher Geschäftsmann entstehen – und das bereits bei leichter Fahrlässigkeit.

Nach § 82 AktG bzw. § 22 GmbHG sind Unternehmen verpflichtet, ihre wesentlichen Risiken jährlich zu bewerten:

Eintrittswahrscheinlichkeit × möglicher Schaden = Risiko

Daraus sind angemessene Maßnahmen abzuleiten.

Und was passiert, wenn die gesamte IT – samt Cloud-Systemen – ausfällt?
In den meisten Fällen: ein katastrophales Risiko.

Auch wenn die Eintrittswahrscheinlichkeit gering ist, müssen Vorsorge- und Notfallmaßnahmen definiert sein, um im Krisenfall handlungsfähig zu bleiben.
Andernfalls kann die Geschäftsführerhaftung schlagend werden – und zwar zumindest wegen leichter, wenn nicht grober Fahrlässigkeit, wenn nichts unternommen wurde.