2582 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVII. GP

 

Bericht

des Ausschusses für Forschung, Innovation und Digitalisierung

über die Regierungsvorlage (2552 der Beilagen): Bundesgesetz zur Einrichtung einer nationalen Behörde für die Cybersicherheitszertifizierung (Cybersicherheitszertifizierungs-Gesetz – CSZG)

Am 27. Juni 2019 ist die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (IKT) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), ABl. Nr. L 151 vom 17.04.2019 S. 15, (CELEX: 32019R0881) auf Englisch „Cybersecurity Act“ (kurz CSA), in Kraft getreten. Der CSA verpflichtet die Mitgliedstaaten zur Benennung von nationalen Behörden für die Cybersicherheitszertifizierung zur Aufsicht und Durchführung des CSA und der sich aus diesem ableitenden europäischen Schemata für die Cybersicherheitszertifizierung. Mit dem vorliegenden Gesetzesvorhaben werden die innerstaatlichen Maßnahmen zur Durchführung des CSA erlassen. Aufgrund der Verbote der speziellen Transformation, der inhaltlichen Präzisierung und der inhaltlichen Wiederholung von EU-Verordnungen wird nur das unionsrechtlich zwingend Erforderliche geregelt.

Der CSA schafft u.a. einen europäischen Zertifizierungsrahmen für die Cybersicherheit. Dieser legt einen Mechanismus fest, mit dem europäische Schemata für die Cybersicherheitszertifizierung geschaffen werden. In weiterer Folge soll der europäische Zertifizierungsrahmen für die Cybersicherheit bescheinigen, dass IKT-Produkte, -Dienste und -Prozesse, die nach einem solchen Schema bewertet wurden, den festgelegten Sicherheitsanforderungen genügen. Anbieter und Hersteller können sich zukünftig freiwillig zu einer Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen entscheiden. Doch zeichnen sich verpflichtende Zertifizierungen in anderen derzeit auf EU-Ebene befindlichen Rechtsakten ab, etwa bei der Brieftasche für die Europäische Digitale Identität. Ein Cybersicherheitszertifikat wird EU-weit anerkannt. Durch den Nachweis, dass ein Produkt oder Dienst die angegebenen Sicherheitsfunktionen erfüllt oder bestimmte Sicherheitsanforderungen einhält, kann Cybersicherheitszertifizierung wesentlich dazu beitragen, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu stärken und damit das ordnungsgemäße Funktionieren des digitalen Binnenmarktes gewährleisten.

Die Hauptgesichtspunkte sind im Einzelnen:

-       Mit dem gegenwärtigen Gesetzesentwurf wird der CSA umgesetzt und eine nationale Behörde für die Cybersicherheitszertifizierung beim Bundeskanzler eingerichtet.

Zuständigkeit des Bundes

Die Zuständigkeit des Bundes für die Erlassung und Vollziehung dieses Bundesgesetzes beruht auf dem Kompetenztatbestand „Maß- und Gewichts-, Normen- und Punzierungswesen“ gemäß Art. 10 Abs. 1 Z 5 B-VG. Mit „Normen“ im Sinne des Kompetenztatbestands „Normenwesen“ sind nicht unmittelbar verbindliche (insbesondere technische) Standards auf allen Gebieten der Wirtschaft gemeint (vgl. etwa Attlmayr/Bellina-Freimuth, bbl 2000, 91; N. Raschauer in Kneihs/Lienbacher Art. 10 Abs. 1 Z 5 2. Tb Rz 7 ff; Muzak, ÖZW 2016, 150). Da die Europäischen Cybersicherheitszertifikate darauf abzielen gleichwertige technische Standards zu etablieren, die Cybersicherheitszertifizierung selbst aber freiwillig ist, kann der Gesetzesentwurf auf den gegenständlichen Kompetenztatbestand gestützt werden.

 

Der Ausschuss für Forschung, Innovation und Digitalisierung hat die gegenständliche Regierungsvorlage in seiner Sitzung am 6. Juni 2024 in Verhandlung genommen. An der Debatte beteiligten sich außer dem Berichterstatter Abgeordneter Mag. Peter Weidinger die Abgeordneten Dipl.-Ing. Gerhard Deimek, MMag. Michaela Schmidt, Douglas Hoyos-Trauttmansdorff und Mag. Dr. Martin Graf sowie die Staatssekretärin im Bundeskanzleramt Claudia Plakolm.

Bei der Abstimmung wurde der in der Regierungsvorlage enthaltene Gesetzentwurf mit Stimmenmehrheit (dafür: V, S, G, N, dagegen: F) beschlossen.

Als Ergebnis seiner Beratungen stellt der Ausschuss für Forschung, Innovation und Digitalisierung somit den Antrag, der Nationalrat wolle dem von der Bundesregierung vorgelegten Gesetzentwurf (2552 der Beilagen) die verfassungs­mäßige Zustimmung erteilen.

Wien, 2024 06 06

                          Mag. Peter Weidinger                                                Christian Hafenecker, MA

                                  Berichterstattung                                                                          Obmann