Sehr geehrte Damen und Herren,

 

in Bezug auf den Entwurf zum NISG möchten wir uns ausdrücklich für die Übermittlung der Information zum Entwurf bedanken.

 

Auf folgende drei Punkte möchten wir kurz Bezug nehmen:

 

1. ad § 9 Abs 1: Vorgesehen sind gewisse technische Einrichtungen oder Sensoren, um Cyberangriffe frühzeitig erkennen zu können. - Nach § 12 Abs 3 soll es den sektorspezifischen Computer-Notfallteams erlaubt sein, daraus gewonnene Informationen zu analysieren; nach § 9 Abs 1 gebührt dem Bund für die Teilnahme an diesen Einrichtungen ein Pauschalbetrag.

 

Wir möchten hierbei vorschlagen, die Möglichkeit zu schaffen, statt Bundeseinrichtungen auch direkt Einrichtungen zu verwenden, die das jeweilige sektorspezifische CERT selbst etabliert. Die Vorteile liegen auf der Hand:

 

(a) - Das CERT könnte den Informationsbedarf und die Möglichkeiten zur Informationserlangung direkt mit seinem Sektor koordinieren, und so können derlei Sensoren spezifischer und maßgeschneiderter festgelegt werden, was die Effektivität der Gegenmaßnahmen bei einem Angriff erhöht.

 

(b) - Die Kooperation und die Vertrauensbasis zwischen dem Sektor und seinem CERT würde gestärkt werden, da schon die (routinemäßige) Evaluierung und Implementierung der Sensoren gemeinsam durchgeführt würde, und entsprechender Informationsbedarf im Sektor durch direkten Kontakt gedeckt werden könnte; insbesondere im Bereich Bankwesen erwarten wir, dass hier eine sensible Herangehensweise an die Bedürfnisse der Kreditinstitute für eine effektive Verteidigung sinnvoll wäre.

 

(c) - Insgesamt kommt es zu einer Kostenersparnis für alle Beteiligten: für den Bund, insoweit als er sich die Etablierung der betreffenden Sensoren zu ersparen vermag; und für die Entitäten im Sektor sowie dem sektorspezifischen Computer-Notfallteam - denn hier fiele der Aufwand weg, allgemeine Informationen an die spezifischeren Bedürfnisse anzupassen.

 

(d) - Unberührt bleibt selbstverständlich die uneingeschränkte Pflicht zur Kooperation des CERTs mit den anderen CERTs und Behörden.

 

2. ad § 17:

 

Wir gehen davon aus, dass die Weiterleitung von Meldungen nach ZaDiG 2018 entsprechend § 17 Abs 2 sowie die Festlegungen nach § 17 Abs 1 - also insgesamt: zu den leges speciales - auch zu einer Ausnahme von den Verwaltungsstrafen nach § 23 NISG für den Anwendungsbereich der leges speciales führen. Dies bedeutet also, dass in besagtem Anwendungsbereich Verwaltungsstrafen zwar weiter nach den besonderen Materiegesetzen möglich wären, nicht aber nach NISG. Wir bitten um kurze Bestätigung dieser Sichtweise.

 

3. ad § 4:

 

Darüber hinaus sei als Kleinigkeit noch angemerkt: § 4 hat einen Abs 1, aber keine sonstigen Absätze - vermutlich sollte er aufgrund seiner strukturellen Ähnlichkeit zu § 5 gar keine Absätze haben.

 

Wir würden uns freuen, bald von Ihnen zu hören. Für weitere Fragen oder Anmerkungen stehen wir Ihnen selbstverständlich jederzeit gern zur Verfügung.

 

Mit freundlichen Grüßen,

 

 

Christian Wiesener          Nino Ivanov

 

 

 

Austrian Reporting Services GmbH
Pottendorfer Straße 23-25/5.3-1, 1120 Wien

Tel.: +43 1 347 97 806

Mail: nino.ivanov@aurep.at

Firmenbuchnummer: 396303z

Firmenbuchgericht: Handelsgericht Wien