Eingebracht am 15.10.2025
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Parlamentarische Materialien

 

ENTSCHLIESSUNGSANTRAG

 

der Abgeordneten Süleyman Zorba, Freundinnen und Freunde

 

betreffend Cybersicherheits-Richtlinie NIS 2 unverzüglich umsetzen

 

 

 

 

BEGRÜNDUNG

 

Die NIS-2-Richtlinie der EU ist von zentraler Bedeutung für die Cybersicherheit in Europa und in Österreich.[1] Die Richtlinie legt europaweit einheitliche Mindeststandards für die Cybersicherheit kritischer Sektoren (etwa Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung etc) sowie wesentlicher und wichtiger Einrichtungen fest. Ziel ist es, die Widerstandsfähigkeit gegenüber Cyberangriffen deutlich zu stärken und ein hohes gemeinsames Sicherheitsniveau in der EU zu schaffen. Die Richtlinie erweitert den Anwendungsbereich deutlich im Vergleich zur Vorgängerversion (NIS-1) – betroffen sind nun deutlich mehr Sektoren und Unternehmen. Mit NIS-2 wird Cybersicherheit zur Pflichtaufgabe – inklusive klarer Anforderungen an Risikomanagement, Meldepflichten und Unternehmensführung.

 

Die NIS-2-Richtlinie wäre bis 17. Oktober 2024 umzusetzen gewesen. Ein Gesetzesentwurf wurde in der türkis-grünen Regierungszeit ausgearbeitet. Dennoch hat bis heute keine Umsetzung stattgefunden, ein überarbeiteter Entwurf wurde wiederholt angekündigt, ist aber bis heute nicht vorgelegt worden. Im November 2024 hat die EU bereits ein Vertragsverletzungsverfahren gegen Österreich eingeleitet[2], aber weder das noch jüngste Cybersicherheitsvorfälle in österreichischen Ministerien können die Bundesregierung offenbar dazu bewegen, den Turbo in Sachen Cybersicherheit einzulegen. Dabei wäre das angesichts der wachsenden Bedrohungslage und auch der hybriden Kriegsführung Russlands dringend nötig.

 

Erst Ende August 2025 wurde ein Hackerangriff (eines mutmaßlich staatlichen Akteurs) auf das BMI bekannt, bei dem rund 100 Outlook-Postfächer kompromittiert wurden und Server offline genommen werden mussten.[3] Neben den massiven Angriffen auf Ministerien, wie dem BMI oder dem BMEIA sehen wir auch sonst, dass sich die Bedrohungslage in Quantität und Qualität ständig verschärft:

-       Im 2. Quartal 2025 gab es durchschnittlich 1.717 Cyberangriffe pro Woche auf österreichische Organisationen – ein Anstieg um 6% gegenüber dem Vorquartal.[4]

-       In den letzten fünf Jahren war jedes dritte österreichische Unternehmen Ziel eines erfolgreichen Cyberangriffs.[5]

-       Mehr als jeder 4. Angriff (28 Prozent) ist auf staatlich unterstützte Akteure zurückzuführen.[6]

 

Die NIS-2-Richtlinie ist ein dringend notwendiger Schutzschild. Ihre vollständige Umsetzung ist für Unternehmen, Institutionen und unsere kritische Infrastruktur existenziell.

 

Zuletzt hatte Innenminister Karner anlässlich des Cybersicherheitsvorfalls im BMI Anfang September erklärt, der Gesetzesentwurf sei bereits überarbeitet und in Abstimmung mit SPÖ und NEOS.[7] Am „Tag der kritischen Infrastruktur“, einem Vernetzungstreffen von Vertretern der kritischen Infrastruktur und Sicherheitsexperten Mitte September erklärte der Innenminister, es liefen bereits „intensive Gespräche mit der Opposition“.[8] Im Widerspruch zu diesen Presse-Statements wurde aber bis heute kein überarbeiteter Gesetzesentwurf vorgelegt. Auf der WKO-Website ist von einem „NISG 2026“ die Rede[9] – offenbar plant die Regierung also mit ihrer Säumigkeit bei Cybersicherheit ins nächste Jahr zu gehen.

 

Die unterfertigenden Abgeordneten stellen daher folgenden

 

 

ENTSCHLIESSUNGSANTRAG

 

 

Der Nationalrat wolle beschließen:

 

Die österreichische Bundesregierung wird aufgefordert, die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) unverzüglich umzusetzen.

 

 

In formeller Hinsicht wird die Zuweisung an den Ausschuss für Wissenschaft, Forschung und Digitalisierung vorgeschlagen.