Cybersicherheit: Zweidrittelmehrheit für NIS-2-Umsetzung im Nationalrat

Wien (PK) – Nachdem die Umsetzung der "Network and Information Security Directive" der EU (NIS-2) in der vergangenen Legislaturperiode an der erforderlichen Zweidrittelmehrheit im Nationalrat scheiterte, nahm sie diese parlamentarische Hürde in der heutigen Plenarsitzung. ÖVP, SPÖ, NEOS und Grüne gaben dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) samt flankierenden Änderungen im Telekommunikations- und im Gesundheitstelematikgesetz grünes Licht. Dieses orientiert sich weitestgehend an der Version von 2024, sieht jedoch Adaptierungen etwa bei den Berichtspflichten, den Übergangsfristen und der institutionellen Ausgestaltung der Cybersicherheitsbehörde vor. Die Richtlinie soll generell die Cyber- und Informationssicherheit von systemrelevanten Unternehmen und Institutionen unionsweit regeln und enthält Bestimmungen, wie sich diese auf potenzielle Cyberattacken vorzubereiten bzw. mit erfolgten Cybercrime-Vorfällen umzugehen haben.

Koalition und Grüne betonten die Notwendigkeit einheitlicher europäischer Cybersicherheitsstandards angesichts einer komplexer werdenden Bedrohungslage und verwiesen auf Verbesserungen gegenüber dem Entwurf von 2024 – etwa bei Datenschutz, Berichtspflichten und der Ausgestaltung der Cybersicherheitsbehörde. Sie sahen im NISG 2026 einen zentralen Schritt zur Stärkung der Resilienz kritischer Infrastruktur. Die FPÖ kritisierte das Gesetz auf allen Ebenen, warnte vor zusätzlicher Bürokratie für rund 4.000 Unternehmen, vor überhöhten Strafdrohungen. Zudem kritisierte sie eine aus ihrer Sicht problematischen Machtkonzentration im Innenressort sowie vor Zielkonflikten zwischen Cybersicherheit und Überwachungsbefugnissen.

Einstimmigkeit erzielte hingegen ein gemeinsamer Antrag von ÖVP, SPÖ, NEOS und Grünen auf eine stärke Missbrauchsprävention bei Überwachungsmaßnahmen. Demnach solle die operative Anwendung der jüngst beschlossenen Gefährder-Überwachung nicht vor einer adäquaten strafrechtlichen Flankierung erfolgen. Die Bundesregierung wird daher daran erinnert, ihre im Ministerratsvortrag zu Gefährder-Überwachung eingegangene Selbstbindung einzuhalten und entsprechende Grundlagen vorzubereiten.

Am Ende der heutigen Debatten hat sich der Nationalrat einstimmig für die Auslieferung von ÖVP-Abgeordneten Wolfgang Gerstl ausgesprochen.

Karner und Leichtfried betonen Notwendigkeit einheitlicher Cybersicherheitsstandards

"Sehr lange und intensiv" sei der Gesetzesvorschlag mit allen wesentlichen Stakeholdern debattiert worden, erklärte Innenminister Gerhard Karner im Plenum. Dessen wichtigstes Ziel sei es, einheitliche Sicherheitsstandards europaweit festzulegen, sodass innerhalb der Union "aufeinander Verlass" sein könne. Dem sei ein "breiter Einbindungsprozess" vorausgegangen, in dem sich etwa die Bundesländer, die Wirtschaftskammer oder die Industriellenvereinigung einbracht hätten. Karner sei bewusst, dass die neuen Vorgaben für die betroffenen Unternehmen und Einrichtungen sowohl einen zeitlichen als auch finanziellen Aufwand bedeuteten. Es sei aber ebenso klar, dass diese Maßnahmen auch für den Selbstschutz der Unternehmen notwendig seien. Dabei werde dem Grundsatz "Beraten statt Strafen" gefolgt. Im Vergleich zur Version von 2024 sei im NISG 2026 etwa die Unabhängigkeit der Cybersicherheitsbehörde gestärkt worden. Eine Weisungsbefugnis für Karner sei jedoch trotzdem vorgesehen, da der "Innenminister sich zu seiner Verantwortung bekennen muss", so Karner.

Mehr Gewicht sei im NISG 2026 auch auf den Datenschutz, die Entlastung der Unternehmen und die Berichtspflichten gelegt worden, ergänzte Staatssekretär Jörg Leichtfried. Die Bedrohungslage für Österreich sei in den letzten Jahren deutlich "komplexer und anspruchsvoller" geworden. Als Antwort darauf bedeute das Gesetz einen wichtigen Schritt, erklärte Leichtfried.

FPÖ übt Kritik auf allen Ebenen

Niemand habe etwas gegen mehr Cybersicherheit einzuwenden, schickte FPÖ-Abgeordneter Gernot Darmann voraus. Seine Fraktion spreche sich allerdings "vehement" dagegen aus, wie dies sichergestellt werden soll. So würden nun etwa rund 4.000 Unternehmen in Österreich unter Androhung von überhöhten Strafen mit neuer Bürokratie belastet. Über die Strafen sollen laut Darmann Bezirkshauptmannschaften entscheiden, die dafür auch über genügend Personal und "höchste Cyberkompetenz" verfügten, wie er ironisch anmerkte. Zudem müssten mit dem Gesetz "hochsensible Daten" an das Innenministerium übermittelt werden, dass nun für die Schließung von Cybersicherheitslücken verantwortlich sei und gleichzeitig ein Interesse daran habe, diese für die Anwendung der Gefährder-Überwachung offen zu halten. Darmann sprach von einem "haarsträubenden Zielkonflikt".

Unter anderem die "Machtkonzentration" im Innenressort hätten vor einem Jahr auch SPÖ und NEOS noch kritisiert und daher dem Gesetzesvorschlag nicht zugestimmt, ergänzte Irene Eisenhut (FPÖ). Diese behaupteten nun, dass so wesentliche Änderungen stattgefunden hätten, das sie ihre Meinung revidieren und nun zustimmen könnten. Ihr Koalitionspartner ÖVP erkläre jedoch, dass es keine wesentlichen Änderungen gebe und man daher auch kein neues Begutachtungsverfahren brauche, sprach Eisenhut die aus ihrer Sicht widersprüchlichen Haltungen innerhalb der Koalition an.

Ihr Fraktionskollege Reinhold Maier erklärte sich diese damit, dass SPÖ und NEOS "für ein paar Regierungssessel im Liegen umgefallen" seien. Er stieß sich vor allem an der neuen Cybersicherheitsbehörde, die bis 2029 auf 172 Planstellen aufwachsen solle. Dies gehe sowohl personell als auch budgetär auf Kosten der Basis-Polizei, die gleichzeitig unter einem massiven Sparzwang leide. Die Bundesregierung beweise hier eine "falsche und unverantwortliche" Prioritätensetzung, so Maier.

Grüne sehen Beginn einer neuen, europäischen Cybersicherheitsarchitektur

Das NISG 2026 sei mit der Version von 2024 "nahezu ident" erklärte auch Süleyman Zorba (Grüne). Er könnte daher "genüsslich" auf der "Wendung" von SPÖ und NEOS "herumreiten" und auch die gleichen Argumente der beiden Parteien gegen das Gesetz von 2024 vorbringen. Der parteipolitische "Hickhack" sei jedoch angesichts der Bedeutung des Schutzes der kritischen Infrastruktur "fehl am Platz". Europa ziehe bei der Cybersicherhit nun an "einem Strang" und Österreich sei "endlich Teil davon". Das NISG 2026 stelle den "Beginn einer neuen Sicherheitsarchitektur im Cybersicherheitsbereich" dar, erklärte Zorba, und das "Ende der Fahnenstange" sei damit noch nicht erreicht. Nun gelte es etwa, in die Ausbildung der notwendigen Fachkräfte zu investieren.

Man solle sich nicht der Illusion hingeben, "immer vor allem geschützt" sein zu können, gab Agnes Sirkka Prammer (Grüne) zu bedenken. Es sei jedoch wichtig, die bestmöglichen Sicherheitsstandards einzuhalten. Im Bereich physischer Bedrohungen, wie durch Drohnen, sei die Gefahr für jeden gut vorstellbar, im Bereich der Datensicherheit sei dies jedoch nicht der Fall, so Prammer. Sie zeigte Verständnis dafür, dass die durch das NISG 2026 entstehenden Aufwände für viele Unternehmen "nicht angenehm" seien. Doch Kinder würden es auch nicht mögen, wenn sie "Schwimmflügel angezogen bekommen" und für die Gesamtgesellschaft stelle Cybersicherhit eine Notwendigkeit dar.

Koalition sieht klare Verbesserungen zu vorangegangenem Gesetzesentwurf

Österreich sei im Bereich der Cybersicherheit von zwei Seiten "unter Druck geraten", führte Friedrich Ofenauer (ÖVP) aus.

So drohe einerseits ein Vertragsverletzungsverfahren seitens der EU und andererseits sei Europa hybriden Angriffen ausgesetzt. Deren Bedrohungspotenzial sei genau so hoch wie jenes von kinetischen Angriffen, so Ofenauer, weshalb man dringend widerstandsfähiger werden müsse. Die dafür notwendige Cybersicherheitsbehörde werde zwar im Innenministerium angesiedelt, jedoch außerhalb der Generaldirektion für die öffentliche Sicherheit, hielt er der FPÖ entgegen. Um einen "Schnellschuss" handle es sich beim NISG 2026 nicht, da bereits 2024 ein Begutachtungsverfahren stattgefunden habe.

Von einer "vielfältigen Bedrohungslage" aus und Angriffen, die von überall auf der Welt kommen könnten sprach Maximilian Köllner (SPÖ). Cyberkriminalität habe keine nationalen Grenzen. Gegenüber dem Entwurf von 2024 hätte sich insbesondere etwas bei den Berichtspflichten und dem Datenschutz geändert. Der Innenminister könne der Cybersicherheitsbehörde zwar Weisungen erteilen, jedoch nur auf schriftlichem Wege und mit Berichterstattung an das Parlament entgegnete Köllner der FPÖ. Die Zustimmung zum NISG 2026 der SPÖ sei kein "Jubelakt", sondern Ausdruck staatspolitischer Verantwortung, erklärte Robert Laimer (SPÖ). Österreich könne es sich nämlich "nicht erlauben", bei der Cybersicherheit "länger zuzuwarten".

Verständnis für die "Ungeduld" der Wirtschaft angesichts des langen Gesetzwerdungsprozesses zeigte Ines Holzegger (NEOS). Nun werde jedoch "endlich Klarheit" geschaffen. Auch laut ihr habe sich im Vergleich zum Entwurf des Vorjahres "einiges geändert" und es seien viele "wertvolle Stellungnahmen" in die Neufassung eingeflossen. Zudem werde zusätzliche Bürokratie möglichst vermieden, indem etwa Zertifikate im Bereich der Cybersicherheit anerkannt würden, über die ohnehin schon viele Unternehmen verfügen würden, so Holzegger.

Abänderungsantrag zum NISG 2026

Im Plenum brachten die Koalitionsparteien zum NISG 2026 noch einen Abänderungsantrag ein, in dem die vorgesehenen Berichts- bzw. Veröffentlichungspflichten dahingehend präzisiert werden, dass diesen spätestens sechs Monate nach Ende des jeweiligen Berichtszeitraums nachzukommen ist. Das von der geplanten Cybersicherheitsbehörde zu führende Register der betroffenen Einrichtungen und Unternehmen soll regelmäßig, längstens jedoch alle zwei Jahre zu überprüfen und bei Bedarf anzupassen sein. Weiters wird klargestellt, dass der von der Cybersicherheitsbehörde alle drei Monate an die ENISA (Agentur der EU für Cybersicherheit) zu übermittelnde Bericht über erhebliche Cybersicherheitsvorfälle und -bedrohungen lediglich aggregierte und anonymisierte Daten enthalten soll. Außerdem sollen Änderungen in den Angaben, die betroffene Einrichtungen und Unternehmen bei der Cybersicherheitsbehörde zu übermitteln haben – etwa bezügliche der Mitgliedstaaten in denen sie Dienste erbringen - spätestens zwei Wochen ab dem Tag der Änderung der Behörde mitzuteilen sein.

Verschärfungen bei Missbrauch von Überwachungsmaßnahmen

ÖVP, SPÖ, NEOS und Grüne brachten den Antrag zur Missbrauchsprävention bei Überwachungsmaßnahmen im Innenausschuss auf Basis einer Initiative der Grünen mit ähnlicher Stoßrichtung ein. Konkret wird im gemeinsamen Antrag um einen Regelungsvorschlag im Strafgesetzbuch ersucht, um eine missbräuchliche Ausübung der Überwachungsbefugnisse angemessen bestrafen zu können. Der ursprüngliche Antrag der Grünen blieb in der Minderheit.

Die Gefährder-Überwachung habe dem Verfassungsschutz ein wichtiges Werkzeug in die Hand gegeben, um effizient und zeitgemäß gegen Bedrohungen vorgehen zu können, betonte Staatssekretär Jörg Leichtfried. Dabei gebe es viele Kontroll- und Absicherungsmechanismen. Die nun geforderte Stärkung der Regeln gegen Missbrauch sei bereits in Vorbereitung.

Es wäre besser gewesen, wenn es weder die Messenger-Überwachung noch die NIS-Gesetzgebung gegeben hätte, denn dies führe nur zu einem Überwachungsstaat und bringe keine Verbesserung der Sicherheit, kritisierte Gernot Darmann (FPÖ). Bei Missbrauch sei es wichtig, diesen hart zu bestrafen, erinnerte Darmann die Bundesregierung an ihr eigenes Versprechen.

Österreich habe einen "gefährlichen Blindfleck" gehabt und sei auf Hinweise ausländischer Dienste angewiesen gewesen, befürworte Thomas Elian (ÖVP) die Gefährder-Überwachung, die keine Massenüberwachung sei.

Im Gesetz seien umfangreiche Präventionsmaßnahmen gegen Missbrauch vorgesehen und dieser müsse streng geahndet werden, betonte Sabine Schatz (SPÖ). Dies schütze die Bevölkerung und stärke die Demokratie. Christian Oxonitsch (SPÖ) freute sich, dass die Forderung bereits in Umsetzung sei.

Die Gefährder-Überwachung sei kein leichtes Thema für die NEOS gewesen, sagte Sophie Marie Wotschke (NEOS). Deswegen sei es wichtig gewesen den größtmöglichen Rechtsschutz, engste Anwendungsgrenzen und harte Sanktionen zu verankern. Ein harter Strafrahmen werde ein Signal setzen, dass sich Missbrauch nicht lohne. Yannick Shetty (NEOS) betonte, dass eine anlasslose Massenüberwachung abzulehnen sei.

Ein "unglaubliches Missbrauchspotential" sah Süleyman Zorba (Grüne) in der Gefährder-Überwachung. Dies müsse daher im Strafgesetzbuch erfasst werden und es brauche für einen besseren Überblick eine Überwachungsgesamtrechnung.

Auslieferung von ÖVP-Mandatar Wolfgang Gerstl

Am Ende der heutigen Debatten hat sich der Nationalrat einstimmig für die Auslieferung von ÖVP-Abgeordneten Wolfgang Gerstl ausgesprochen. Konkret geht es um das Ersuchen der Staatsanwaltschaft Wien um Zustimmung zur behördlichen Verfolgung von Gerstl. Medienberichten zufolge stehe der Abgeordnete unter Verdacht, im Vorfeld der Wien-Wahl als Mitglied der Bezirkswahlbehörde das Amtsgeheimnis gebrochen zu haben.

Der Vorwurf der Staatsanwaltschaft sei "pikant", meinte demgegenüber Norbert Nemeth (FPÖ). Es sei dabei gegen Wahlverfahren in manipulativer Weise eingegriffen worden und Bürgerinnen und Bürgern hätte das passive Wahlrecht rund um die Gründung der Liste "Fair 1140 Wien" verweigert werden sollen. Bis zur Klärung der Vorwürfe solle Gerstl daher sein Amt in der Bundeswahlbehörde niederlegen, forderte Nemeth. Michael Schilchegger (FPÖ) mahnte ebenfalls politische Konsequenzen seitens Gerstl, aber auch von ÖVP-Klubobmann August Wöginger ein und urgierte die Einhaltung der eigenen Maßstäben der ÖVP. 

Christoph Zarits (ÖVP) erinnerte an Verfahren gegen Mandatarinnen und Mandatare der FPÖ. Er zeigte sich überzeugt, dass sich die Vorwürfe gegen Gerstl "rasch in Luft auflösen" würden. (Fortsetzung Nationalrat) wit/pst

HINWEIS: Sitzungen des Nationalrats und des Bundesrats können auch via Livestream mitverfolgt werden und sind als Video-on-Demand in der Mediathek des Parlaments verfügbar.