Stellungnahme zu Ministerialentwurf
Stellungnahme zu dem Ministerialentwurf betreffend Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden
Bei den Stellungnahmen handelt es sich nicht um die Meinung der Parlamentsdirektion, sondern um jene der einbringenden Person bzw. Institution. Mehr Informationen finden Sie in den Nutzungsbedingungen.
Inhalt
Stellungnahme Gesetzesentwurf NISG 2024
Bezugnehmend auf den Ministeralentwurf des Bundesgesetzes zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) folgt hiermit eine Stellungnahme aus Sicht eines Informationssicherheitsspezialisten.
Der vorliegende Entwurf nimmt Gemeinden als wesentliche Einrichtungen aus, was bedeutet, dass diese nicht zwingend einer Überprüfung umgesetzter Risikomanagementmaßnahmen unterzogen werden.
Diese verpflichtenden Überprüfungen wären aus meiner Sicht erforderlich, da Gemeinden eine Vielfalt an sensiblen Bürgerdaten verarbeiten, wie z.B. rassische und ethnische Herkunft, politische Meinungen im Zuge der Wahlunterstützung, religiöse Überzeugungen, biometrische Daten für Identifikationszwecke (allesamt besondere Kategorien von Daten nach der DSGVO), sowie Adressdaten von EinwohnerInnen einer Gemeinde.
Berichten der Agentur der Europäischen Union für Cybersicherheit (ENISA) zufolge, sind öffentliche Verwaltungen primäre Angriffsziele für Cyberkriminelle, wobei kleinere Gemeinden oft signifikante Sicherheitslücken aufweisen, darunter mangelnde Netzwerksegmentierungen und fehlende Systeme zur Erkennung und Reaktion auf Vorfälle. Zusätzlich zielen es Ransomware-as-a-Service-Gruppen, etwa LockBit und BlackCat, aufgrund von unzureichenden IT-Sicherheitsvorkehrungen meist auf kleine bis mittelständische Unternehmen ab.
Die erfolgreiche Infiltration einer Gemeindeverwaltung kann zu einem unautorisierten Datenabfluss führen, dessen Konsequenzen – wie Identitätsdiebstahl und Betrug – sowohl für die betroffenen BürgerInnen als auch für die öffentliche Sicherheit weitreichend sein können.
Angesichts der raschen Entwicklung der Bedrohungslandschaft und der Zunahme von Cyberangriffen (u.a. gestützt durch KI), insbesondere durch Ransomware und hochentwickelte Malware, ist es unerlässlich, dass auch Gemeinden adäquate Risikomanagementmaßnahmen etablieren.
Zusammenfassend scheint mir eine Klassifizierung von Gemeinden als wesentliche Einrichtung geboten als auch notwendig, um eine lückenlose Cybersicherheitsstrategie in Österreich zu gewährleisten und die Umsetzung durch die regelmäßige Überprüfung der Einhaltung von Risikomanagement- und Cybersicherheitsmaßnahmen sicherzustellen.
Mit freundlichen Grüßen,
Ing. Bernhard Lutz MSc.
Inhaber cyberLUTZ - information security consulting e.U.