Neu im Innenausschuss
Regierung legt Maßnahmenpaket zur Erhöhung der Cybersicherheit in Österreich vor
Wien (PK) – Die Regierung schlägt ein ganzes Maßnahmenbündel vor, um die Cybersicherheit in Österreich zu erhöhen. Neben der Entwicklung einer Strategie für die Sicherheit von Netz- und Informationssystemen ist unter anderem die Schaffung von Koordinierungs- und Anlaufstellen sowie die Einrichtung von Computer-Notfallteams geplant. Zudem werden wichtige Infrastrukturanbieter, digitale Dienstleister und öffentliche Stellen verpflichtet, angemessene Sicherheitsvorkehrungen zum Schutz ihrer Netze zu treffen und etwaige Sicherheitsvorfälle zu melden. Österreich setzt damit auch eine entsprechende EU-Richtlinie um.
Verankert sind die Maßnahmen im so genannten "Netz- und Informationssicherheitsgesetz" (369 d.B. ), wobei die Aufgaben zwischen dem Bundeskanzler und dem Innenminister aufgeteilt werden. Da das Gesetz auch Vorgaben für Bereiche enthält, die grundsätzlich in die Zuständigkeit der Länder fallen, ist für einen Beschluss sowohl im Nationalrat als auch im Bundesrat eine Zweidrittelmehrheit erforderlich. Die Kosten der geplanten Maßnahmen werden von der Regierung auf jährlich rund 5,5 bis 6,5 Mio. € geschätzt, dazu kommen Zusatzaufwendungen für Unternehmen im mittleren sechsstelligen Eurobereich.
Computer-Notfallteams als erste Anlaufstelle
Konkret betrifft die gesetzliche Verpflichtung zur Sicherstellung eines hohen technischen Sicherheitslevels der Netz- und Informationssysteme und zu organisatorischen Sicherheitsvorkehrungen "Betreiber wesentlicher Dienste" in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur. Dazu gehören etwa Stromanbieter, Kreditinstitute, Flug- und Bahnunternehmen sowie Krankenhäuser. Gleiches gilt für alle Anbieter digitaler Dienste wie Betreiber von Online-Suchmaschinen, Cloud-Computing-Diensten und Online-Marktplätzen, die eine gewisse Größe überschreiten, sowie für Einrichtungen des Bundes. Zudem steht es den Bundesländern offen, die Bestimmungen des Gesetzes auch für Einrichtungen von Ländern und Gemeinden für anwendbar zu erklären.
Gemeldet werden müssen etwaige Sicherheitsvorfälle an so genannte Computer-Notfallteams, wobei daran gedacht ist, neben einem nationalen Computer-Notfallteam und einem Notfallteam der öffentlichen Verwaltung (GovCERT) auch sektorenspezifische Teams einzurichten. Diese Notfallteams sollen auch Risiken beobachten und analysieren, Frühwarnungen aussprechen, Handlungsempfehlungen abgeben und eine erste allgemeine technische Unterstützung bei Sicherheitsvorfällen anbieten. Ebenso können sie freiwillige Meldungen über Risiken und Sicherheitsvorfälle von nicht unter das Gesetz fallende Unternehmen und Einrichtungen entgegennehmen.
Verwaltungsstrafen bis 50.000 €
Darüber hinaus wird beim Innenministerium eine zentrale Anlaufstelle für die Sicherheit von Netz- und Informationssystemen (SOPC) eingerichtet, bei der alle Fäden zusammenlaufen sollen und die auch für die operative grenzüberschreitende Zusammenarbeit zuständig sein wird. Weiters soll dem Innenministerium die Überprüfung der von den Unternehmen und Diensten zu setzenden Sicherheitsvorkehrungen und Meldepflichten, die Durchführung allgemeiner Analysen, die Bereitstellung eines technischen Melde- und Analysesystems sowie die Koordinierung konkreter Maßnahmen im Falle einer Cyberkrise obliegen.
Im Zuge der Kontrolltätigkeit wird es dem Innenministerium auch gestattet sein, "Einschau" in die Netz- und Informationssysteme der betroffenen Dienste und Unternehmen zu nehmen, wobei diese auf "das unbedingt erforderliche Ausmaß" zu beschränken ist und unter möglichster Schonung der Rechte der betroffenen Einrichtung und Dritter zu erfolgen hat. Unternehmen und Dienste, die den Nachweis angemessener Sicherheitsvorkehrungen nicht erbringen, angeordneten Sicherheitsvorkehrungen nicht Folge leisten, Meldepflichten verletzten oder Überprüfungen verweigern, droht eine Geldstrafe von 50.000 € bzw. im Wiederholungsfall von 100.000 €.
Bundeskanzler nimmt strategische Aufgaben wahr
Dem Bundeskanzler wird mit dem Gesetzentwurf unter anderem die Aufgabe zugewiesen, eine Strategie und einen jährlichen Bericht zur Sicherheit von Netz- und Informationssystemen zu erstellen. Zudem soll das Bundeskanzleramt Österreich in EU- und internationalen Gremien vertreten, private Computer-Notfallteams zertifizieren und das Notfallteam der öffentlichen Verwaltung betreiben. Auch die Unterrichtung der Öffentlichkeit über ernste Sicherheitsvorfälle, die mehrere Sektoren betreffen, fällt in seine Zuständigkeit.
Weitere Gremien sind laut Gesetzentwurf ein "Innerer Kreis der Operativen Koordinierungsstruktur ("IKDOK"), der sich aus VertreterInnen des Bundeskanzlers, des Innenministeriums, des Verteidigungsministeriums und des Außenministeriums zusammensetzt, sowie eine Operative Koordinationsstruktur ("OpKoord"), zu der – je nach Risikolage bzw. Sicherheitsvorfall – auch VertreterInnen von Betreibern wesentlicher Dienste, digitaler Dienste und von Einrichtungen der öffentlichen Verwaltung beigezogen werden können. Sie dienen insbesondere der Erörterung aktueller Lagebilder und dem Austausch von Informationen. Im Fall einer Cyberkrise soll außerdem ein Koordinationsausschuss, dem jedenfalls der Generaldirektor für die öffentliche Sicherheit, der Generalstabschef des Verteidigungsministeriums und die Generalsekretäre des Bundeskanzleramts und des Außenministeriums angehören, tätig werden. (Schluss) gs