Neu im Innenausschuss

Wien (PK) – Aufgrund der seit Jahren rapide zunehmenden Bedeutung von Cybersicherheit hat die EU im Anschluss an vorausgegangene Rechtsakte zu diesem Bereich die NIS-2-Richtlinie (Network an Information Security Directive) erlassen. Sie soll die Cyber- und Informationssicherheit von systemrelevanten Unternehmen und Institutionen unionsweit regeln und enthält Bestimmungen, wie sich diese auf potenzielle Cyberattacken vorzubereiten bzw. mit erfolgten Cybercrime-Vorfällen umzugehen haben.

Dies betrifft sowohl Gebietskörperschaften, Vereine als auch tausende Unternehmen, die künftig bestimmte Sicherheitsmaßnahmen vornehmen und Vorfälle in der IT-Sicherheit melden sollen. Ziel ist die Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen vor dem Hintergrund der digitalen Transformation und den gestiegenen Bedrohungen im Cyberraum.

Die Richtlinie ist am 16. Jänner 2023 in Kraft getreten und muss von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. ÖVP und Grüne haben daher einen Initiativantrag vorgelegt, mit dem das Informationssystemsicherheitsgesetz 2024 (NISG 2024) erlassen und das Telekommunikations- sowie das Gesundheitstelematikgesetz geändert werden sollen (4129/A). Da der Entwurf in einigen Teilsektoren in den Kompetenzbereich der Bundesländer fällt, bedarf es der Begründung einer Kompetenz des Bundes in diesen Bereichen und damit einer Verfassungsänderung. Damit ist zum Beschluss des vorgeschlagenen Gesetzes eine Zweidrittelmehrheit im Parlament notwendig.

Cybersicherheitsbehörde

Eine zentrale Rolle bei der Umsetzung des Gesetzes soll die Einrichtung einer Cybersicherheitsbehörde beim Bundesministerium für Inneres (BMI) spielen, die für die Koordination der Maßnahmen zur Sicherstellung der Cybersicherheit verantwortlich ist. Sie soll als zentrale Anlaufstelle agieren, die Meldung sowie Behandlung von Sicherheitsvorfällen übernehmen und sowohl auf nationaler als auch internationaler Ebene für den Informationsaustausch zuständig sein. Zu ihren Aufgaben soll auch die Koordination der Erstellung der durch NIS-2 vorgeschriebenen Österreichischen Strategie für Cybersicherheit (ÖSCS) zählen, sowie die Beratung und Unterstützung der betroffenen Einrichtungen bei der Implementierung der Sicherheitsmaßnahmen und die Überwachung von deren Einhaltung. Unabhängige Stellen und Prüfer sollen zusätzlich die Einhaltung der Sicherheitsvorschriften überwachen und Bewertungen durchführen, um die Wirksamkeit der Maßnahmen zu gewährleisten.

Die Cybersicherheitsbehörde soll auch die Funktionen des in der NIS-2-Richtlinie vorgesehenen nationalen Koordinierungszentrums für Cybersicherheit übernehmen. Als Schnittstelle zwischen dem öffentlichen und dem privaten Sektor soll dieses etwa verschiedene Aufgaben im Bereich der Bewusstseinsbildung und Prävention wahrnehmen, um einen wesentlichen Beitrag zur gesamtstaatlichen Resilienz zu leisten.

Computer-Notfallteams

Um Cybersicherheitsvorfälle, Cyberbedrohungen und Risiken zu verhüten, zu erkennen, darauf zu reagieren und um ihre Auswirkungen abzuschwächen sowie um eine effiziente Zusammenarbeit auf Unionsebene zu gewährleisten, sind laut Gesetzesvorschlag unter der Aufsicht des BMI ein oder mehrere Computer-Notfallteams bzw. CSIRTs (Cybersecurity Incident Response Teams) einzurichten. Ihre Aufgaben sollen die Erkennung und Analyse von Cyberbedrohungen, die Koordination von Maßnahmen zur Schadensbegrenzung sowie die Unterstützung der betroffenen Einrichtungen bei der Wiederherstellung ihrer Systeme umfassen. Zusätzlich soll ihnen die Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Cybersicherheitsvorfällen, die Erhebung und Analyse forensischer Daten sowie die Ausgabe von Warnungen oder Alarmmeldungen obliegen. Die technischen und organisatorischen Anforderungen an die CSIRTs werden durch die NIS-2-Richtlinie vorgegeben.

Als zentrales, strategisch-planendes Organ ist außerdem die Einrichtung einer Cyber Sicherheit Steuerungsgruppe (CSS) vorgesehen, die unter anderem bei der Entwicklung des ÖSCS mitwirken und dessen Umsetzung überwachen soll. Sie soll sich aus je einem/einer fachkundigen Vertreter:in der dem Nationalen Sicherheitsrat angehörenden Minister:innen sowie der für Telekommunikation und Digitalisierung zuständigen Minister:innen zusammensetzen.

Klassifizierung und Pflichten der betroffenen Einrichtungen

Das vorgeschlagene NISG 2024 definiert eine klare Einteilung zwischen wesentlichen und wichtigen Einrichtungen, um den unterschiedlichen Sicherheitsanforderungen gerecht zu werden. Die grundsätzlich bestimmenden Faktoren für die Einstufung sollen die Unternehmensgröße und der Sektor sein, auf dem die Einrichtung bzw. das Unternehmen tätig ist. Wesentliche Einrichtungen spielen demnach eine kritische Rolle für die Aufrechterhaltung der staatlichen Funktionen. Dazu gehören insbesondere Einrichtungen in Bereichen wie der Energieversorgung, Wasserversorgung, Gesundheitsdienste, Verkehr und öffentliche Verwaltung. Als wichtige Einrichtungen gelten etwa jene in den Bereichen Post- und Kurierdienste, Abfallbewirtschaftung oder Anbieter digitaler Dienste. Für beide Kategorien sieht das Gesetz umfassende Pflichten vor.

Neben der Registrierungspflicht für betroffenen Unternehmen binnen drei Monaten nach Inkrafttreten des NISG 2024 haben diese unter anderem Risikomanagementsysteme zu implementieren. Sie sollen verpflichtet werden, regelmäßige Gefährdungsanalysen durchzuführen, die Wahrscheinlichkeit und potenziellen Auswirkungen von Risiken zu bewerten und entsprechende Maßnahmen zur Risikominderung festzulegen. Die technischen Schutzmaßnahmen umfassen die Netzwerk- und Datensicherheit sowie die Systemüberwachung. Konkret werden etwa der Einsatz von Firewalls, Antivirus-Software, Verschlüsselungstechniken und Intrusion Detection Systems (IDS) genannt, die den Schutz der Netzwerke und Daten gewährleisten sollen. Auf organisatorischer Ebene sollen klare Sicherheitsrichtlinien erstellt und durchgesetzt, Mitarbeiter regelmäßig geschult sowie Notfall- und Wiederherstellungspläne entwickelt werden.

Eine weitere vorgesehene Pflicht ist die unverzügliche Meldung von Sicherheitsvorfällen an die Cybersicherheitsbehörde, um eine schnelle und koordinierte Reaktion und eine möglichst wirkungsvolle Schadensbegrenzung zu ermöglichen.Diese Meldungen sollen detaillierte Informationen über den Vorfall, die betroffenen Systeme und die ergriffenen Sofortmaßnahmen enthalten.Zusätzlich dazu sind Unternehmen aufgefordert, aktiv am Informationsaustausch über aktuelle Bedrohungen und Schwachstellen teilzunehmen und mit anderen Akteuren und der Cybersicherheitsbehörde zusammenzuarbeiten, um die kollektive Sicherheitslage zu verbessern. Dazu sollen regelmäßige externe Sicherheitsüberprüfungen sowie Berichtspflichten an die Cybersicherheitsbehörde kommen.

Bestimmungen zu IKT-Produkten und weitere Regelungen

Ein weiteres zentrales Element des NISG 2024 sind Regelungen für Informations- und Kommunikationstechnologie (IKT)-Produkte, die von besonderer Bedeutung für Cybersicherheit sind. Diese Produkte müssen laut Begründung spezifische Sicherheitsanforderungen erfüllen, um verwendet oder vertrieben werden zu dürfen. So sollen Hersteller etwa sicherstellen müssen, dass IKT-Produkte bereits während ihrer Entwicklung unter Berücksichtigung von Sicherheitsaspekten konzipiert werden. Dies umfasst die Integration von Sicherheitsmechanismen wie Verschlüsselung, Zugangskontrollen und Schutzmaßnahmen gegen Manipulation und Malware. Die Sicherheitsanforderungen sollen für den gesamten Lebenszyklus eines IKT-Produkts gelten, das gegebenenfalls auch einer Sicherheitszertifizierung unterzogen werden soll. Zudem sieht das NISG 2024 eine Verpflichtung der Hersteller zur Bereitstellung von regelmäßigen Sicherheitsupdates und von Sicherheits-Patches für jene IKT-Produkte vor, die wesentliche Schwachstellen aufweisen.

Weitere Regelungen des NISG 2024 betreffen unter anderem die Koordinierungsstruktur sowie den nationalen und internationalen Austausch zur Cybersicherheit, Datenschutzmaßnahmen, Übergangsbestimmungen, Spezifikationen zur Einstufung der betroffenen Einrichtungen und Unternehmen, deren Registrierung sowie Bestimmungen zur Sanktionierung im Falle von Verstößen. (Schluss) wit