Am 25. März 2022 veröffentlichte das staatliche Gesetzgebungszentrum den siebten Entwurf einer Änderung des Gesetzes über das nationale Cyber-Sicherheitssystem. Der Inhalt der vorherigen Version des Entwurfs zur Änderung des Gesetzes vom 12. Oktober 2021 hat eine Reihe von Kontroversen im öffentlichen Bereich hervorgebracht – insbesondere die Vorschläge für das Verfahren zur Anerkennung des Lieferanten von Geräten und Software als risikoreiche Lieferanten und die Möglichkeit der Erteilung von Sicherheitsanweisungen, die es den nationalen Betreibern von Cybersicherheitssystemen ermöglichen, eine spezifische Verhaltensverpflichtung zu erlassen.

Die wichtigste Änderung gegenüber dem Änderungsentwurf vom Oktober 2021 ist der Vorschlag, elektronische Kommunikationsunternehmen in das nationale Cyber-Sicherheitssystem einzubeziehen. Das in dem Änderungsentwurf vom März vorgeschlagene Konzept eines elektronischen Kommunikationsbetreibers steht im Einklang mit der Definition eines elektronischen Kommunikationsbetreibers, die im Entwurf des Gesetzes über die elektronische Kommunikation von Telekommunikationsunternehmen und -Einrichtungen vorgeschlagen wird, die einen öffentlich zugänglichen, nummernfreien zwischenmenschlichen Kommunikationsdienst bereitstellen. Diese Einheiten sind gemäß dem Änderungsentwurf verpflichtet, die im Änderungsentwurf festgelegten Anforderungen an das Gesetz über das nationale Cyber-Sicherheitssystem anzuwenden.

Der neue Änderungsvorschlag versucht, einen Teil der Bestimmungen des Europäischen Kodex für elektronische Kommunikation über Netz- und Dienstsicherheit umzusetzen, was bedeutet, dass er neue Verpflichtungen für Unternehmen der elektronischen Kommunikation einführen wird, solche wie:

  1. Durchführung einer systematischen Einschätzung des Risikos einer bestimmten Bedrohung;
  2. auf ihren Websites Informationen über die potenziellen Risiken im Zusammenhang mit der Nutzung von elektronischen Kommunikationsdiensten durch Nutzer und die empfohlenen Vorsichtsmaßnahmen zu veröffentlichen;
  3. treffen technischer und organisatorischer Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der verarbeiteten Daten sowie ein angemessenes Maß an Cybersicherheit zu gewährleisten;
  4. behandeln von Telekommunikationsvorfällen, einschließlich der Meldung innerhalb von 24 Stunden nach Entdeckung.

Es sei darauf hingewiesen, dass Unternehmen im Bereich der elektronischen Kommunikation hohe Strafen verhängt werden könnten, die bis zu 3% der Einnahmen des Unternehmens im vorangegangenen Kalenderjahr ausmachen könnten, wenn die im Änderungsentwurf festgelegten Verpflichtungen nicht erfüllt werden.

Aufgrund der wachsenden öffentlichen Erwartung, die Revision kurzfristig anzunehmen, könnte die Arbeit an dem Änderungsvorschlag beschleunigt werden. Es scheint, dass parallel zu den Arbeiten an der Revision, der Entwurf eines Gesetzes über die elektronische Kommunikation angenommen werden sollte, angesichts der starken Verbindungen zwischen diesen Gesetzen. Gleichzeitig gibt es angesichts der langen Geschichte dieser Projekte keine Gewissheit, wann sie in Kraft treten werden und ob die endgültigen Versionen mit den Vorschlägen übereinstimmen, die jetzt vorgelegt wurden.