354 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVIII. GP

 

Bericht

des Ausschusses für innere Angelegenheiten

über die Regierungsvorlage (308 der Beilagen): Bundesgesetz, mit dem das Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2026 – NISG 2026) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden

Hauptgesichtspunkte des Entwurfs:

Mit diesem Bundesgesetz sollen das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) erlassen und das Telekommunikationsgesetz 2021 (TKG 2021), BGBl. I Nr. 190/2021, und das Gesundheitstelematikgesetz 2012 (GTelG 2012), BGBl. I Nr. 111/2012, geändert werden.

Die zunehmende Durchdringung nahezu aller Bereiche der Gesellschaft und des täglichen Lebens mit digitaler Technologie bietet erhebliche Chancen und Möglichkeiten. Gleichzeitig wird die Gesellschaft dadurch aber auch angreifbarer und abhängiger von der Vertraulichkeit, Verfügbarkeit und Integrität von digital verarbeiteten und gespeicherten Informationen, mit anderen Worten: von der Sicherheit im Cyberraum. Staaten, Gruppierungen, aber auch kriminellen Akteuren eröffnen sich immer neue Wege, die digitale Vernetzung für Spionage, Sabotage oder andere kriminelle Aktivitäten nutzbar zu machen. Dabei können schon die Fähigkeiten einzelner krimineller Individuen genügen, um Cyberangriffe mit im Vorfeld nicht abschätzbaren Folgen für die Sicherheit Österreichs durchzuführen. Immer mehr österreichische Unternehmen wurden in den vergangenen Jahren Opfer von Cyberattacken, wie insbesondere von Datenverschlüsselungsangriffen (Ransomware-Attacken) und Angriffen auf die Verfügbarkeit ihrer IT-Systeme (DDoS-Attacken) (für eine nähere Darstellung der Cyberlage im Jahr 2022 siehe den Bericht Cybersicherheit für das Jahr 2022). Im Lichte dieser Entwicklungen wird deutlich, dass moderne Demokratien ein entsprechendes organisatorisches, personelles und finanzielles Fundament benötigen, um die wachsende Bedeutung von Cybersicherheit gesamtstaatlich abbilden zu können.

Aufgrund der seit Jahren rapide zunehmenden Bedeutung von Cybersicherheit hat die Europäische Union (EU) mehrere Rechtsakte erlassen, die der unionsweiten Erhöhung der Cybersicherheit dienen. Mit der Verordnung (EU) 2021/887 zur Einrichtung des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich der Cybersicherheit und des Netzwerks nationaler Koordinierungszentren, ABl. Nr. L 202 vom 08.06.2021 S. 1, wird das Europäische Kompetenzzentrum für Industrie, Technologie und Forschung im Bereich der Cybersicherheit eingerichtet und sieht in diesem Zusammenhang die Benennung von nationalen Koordinierungszentren durch die Mitgliedstaaten vor. Mit der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 ABl. Nr. L 333 vom 27.12.2022 S. 80, CELEX-Nr.: 32022L2555, (im Folgenden: NIS-2-Richtlinie), welche am 16. Jänner 2023 in Kraft getreten ist, wird unter anderem eine erhebliche Steigerung der zu beaufsichtigenden Einrichtungen sowie eine erhebliche Ausweitung des Aufgabenspektrums der NIS-Behörden vorgesehen.

Das NISG 2026 errichtet das nationale Koordinierungszentrum für Cybersicherheit gemäß der Verordnung (EU) 2021/887 und setzt die NIS-2-Richtlinie um.

Aufbau des Entwurfs des Art. 1 (Netz- und Informationssystemsicherheitsgesetz 2026):

Zum 1. Hauptstück:

Das 1. Hauptstück enthält allgemeine Bestimmungen, einschließlich einer Verfassungsbestimmung betreffend die Kompetenz des Bundes für die in diesem Bundesgesetz geregelten Angelegenheiten. Ferner werden in diesem Hauptstück Gegenstand und Ziel des Gesetzes und die Begriffsbestimmungen festgelegt.

Zum 2. Hauptstück:

Das 2. Hauptstück definiert die Strukturen zur Schaffung und Aufrechterhaltung eines hohen Cybersicherheitsniveaus, die Einrichtung einer dem Bundesminister für Inneres unmittelbar nachgeordneten Cybersicherheitsbehörde und die Aufgaben der Cybersicherheitsbehörde, der Computer-Notfallteams (CSIRTs), der unabhängigen Stellen und der unabhängigen Prüfer. Ferner werden die nationalen Koordinierungsstrukturen, die nationale Cybersicherheitsstrategie, das Management von Cybersicherheitsvorfällen großen Ausmaßes, die national eingesetzten IKT-Lösungen sowie die Zusammenarbeit auf nationaler und internationaler Ebene geregelt.

Zum 3. Hauptstück:

Das 3. Hauptstück definiert wesentliche und wichtige Einrichtungen (als zentrale Normadressaten) und legt ihre sowie die Pflichten von Einrichtungen, die Domänennamenregistrierungsdienste erbringen, einschließlich der Aufsicht und Durchsetzung dieser Pflichten durch die Cybersicherheitsbehörde, fest. Darüber hinaus wird der rechtliche Rahmen für den freiwilligen Informationsaustausch zur Erhöhung der Cybersicherheit geschaffen.

Zum 4. Hauptstück:

Das 4. Hauptstück schafft die Grundlage der Datenverarbeitung und -übermittlung und begrenzt diese durch eine klare Definition der Zwecke und Modalitäten der Verarbeitung.

Zum 5. Hauptstück:

Das 5. Hauptstück legt Rahmenbedingungen zur Verhängung von Geldstrafen sowie die konkreten Verwaltungsstraftatbestände fest.

Zum 6. Hauptstück:

Das 6. Hauptstück enthält einerseits klarstellende Bestimmungen zu den personenbezogenen Bezeichnungen innerhalb des Gesetzes sowie zu den mit diesem Gesetz umgesetzten Rechtsakten der Europäischen Union und zu den im Gesetz verwendeten Verweisungen und regelt andererseits die Vollziehung des Gesetzes sowie das Verhältnis zum Netz- und Informationssystemsicherheitsgesetzes (NISG), BGBl. I Nr. 111/2018, einschließlich das Inkrafttreten des Gesetzes, das Außerkrafttreten des NISG samt Übergangsbestimmungen.

Kompetenzgrundlage:

Die Zuständigkeit des Bundes zur Gesetzgebung und Vollziehung beruht auf den Kompetenztatbeständen:

-       „Börsewesen“ gemäß Art. 10 Abs. 1 Z 5 des Bundes-Verfassungsgesetzes (B-VG), BGBl. Nr. 1/1930,

-       „Bankwesen“ gemäß Art. 10 Abs. 1 Z 5 B-VG,

-       „Angelegenheiten des Gewerbes und der Industrie“ gemäß Art. 10 Abs. 1 Z 8 B-VG,

-       „Verkehrswesen bezüglich der Eisenbahnen“ gemäß Art. 10 Abs. 1 Z 9 B-VG,

-       „Verkehrswesen bezüglich der Luftfahrt“ gemäß Art. 10 Abs. 1 Z 9 B-VG,

-       „Verkehrswesen bezüglich der Schifffahrt“ bzw. „Strom- und Schifffahrtspolizei“ gemäß Art. 10 Abs. 1 Z 9 B-VG,

-       „Fernmeldewesen“ gemäß Art. 10 Abs. 1 Z 9 B-VG,

-       „Starkstromwegerecht, soweit sich die Leitungsanlage auf zwei oder mehrere Länder erstreckt“ gemäß Art. 10 Abs. 1 Z 10 B-VG),

-       „Wasserrecht“ gemäß Art. 10 Abs. 1 Z 10 B-VG,

-       „Bergwesen“ gemäß Art. 10 Abs. 1 Z 10 B-VG und

-       „Gesundheitswesen“ gemäß Art. 10 Abs. 1 Z 12 B-VG.

Die Zuständigkeit des Bundes zur Gesetzgebung beruht, neben der Kompetenzdeckungsklausel im vorgesehenen § 1, auf den Kompetenztatbeständen

-       „Straßenpolizei“ gemäß Art. 11 Abs. 1 Z 4 B-VG und

-       „Binnenschifffahrt hinsichtlich der Schifffahrtsanlagen“ sowie „Strom- und Schifffahrtspolizei auf Binnengewässern“ gemäß Art. 11 Abs. 1 Z 6 B-VG.

Die Zuständigkeit des Bundes zur Grundsatzgesetzgebung beruht auf den Kompetenztatbeständen

-       „Heil- und Pflegeanstalten“ gemäß Art. 12 Abs. 1 Z 1 B-VG und

-       „Elektrizitätswesen, soweit es nicht unter Art. 10 fällt“ gemäß Art. 12 Abs. 1 Z 2 B-VG.

In jenen Bereichen, in denen die Länder zur (Ausführungs-)Gesetzgebung und/oder Vollziehung zuständig sind, beruht die Zuständigkeit des Bundes auf der in § 1 des Gesetzesentwurfs geschaffenen Kompetenzgrundlage.

Besonderheiten des Normerzeugungsverfahrens:

Der Entwurf kann im Hinblick auf die §§ 1, 46 Abs. 2 und § 51 Abs. 1 des Artikels 1 gemäß Art. 44 Abs. 1 B-VG vom Nationalrat nur in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen beschlossen werden und bedarf überdies im Hinblick auf § 1 Abs. 1 des Artikels 1 gemäß Art. 44 Abs. 2 B-VG der in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen zu erteilenden Zustimmung des Bundesrates.

 

Der Ausschuss für innere Angelegenheiten hat die gegenständliche Regierungsvorlage in seiner Sitzung am 5. Dezember 2025 in Verhandlung genommen. An der Debatte beteiligten sich außer dem Berichterstatter Abgeordneten Mag. Friedrich Ofenauer die Abgeordneten Mag. Gernot Darmann, Süleyman Zorba, Ines Holzegger und Maximilian Köllner, MA sowie der Bundesminister für Inneres Mag. Gerhard Karner.

 

Ein im Zuge der Debatte vom Abgeordneten Mag. Gernot Darmann eingebrachter Vertagungsantrag fand keine Mehrheit (dafür: F, dagegen: V, S, N, G).

 

Bei der Abstimmung wurde der in der Regierungsvorlage enthaltene Gesetzentwurf mit Stimmenmehrheit (dafür: V, S, N, G, dagegen: F) beschlossen.

Als Ergebnis seiner Beratungen stellt der Ausschuss für innere Angelegenheiten somit den Antrag, der Nationalrat wolle dem von der Bundesregierung vorgelegten Gesetzentwurf (308 der Beilagen) die verfassungsmäßige Zustimmung erteilen.

Wien, 2025 12 05

                       Mag. Friedrich Ofenauer                                                      Mag. Ernst Gödl

                                  Berichterstattung                                                                          Obmann