Stellungnahme zu Ministerialentwurf
Stellungnahme zu dem Ministerialentwurf betreffend Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden
Bei den Stellungnahmen handelt es sich nicht um die Meinung der Parlamentsdirektion, sondern um jene der einbringenden Person bzw. Institution. Mehr Informationen finden Sie in den Nutzungsbedingungen.
Inhalt
Sehr geehrte Damen und Herren,
vielen Dank für die Bereitstellung des vorliegenden Ministerialentwurfs zum NISG 2024. Dazu möchte ich folgende Stellungnahme abgeben:
Ad Anlage 3 Risikomanagementmaßnahmen-Bereiche:
Das NISG 2024 stellt die nationale Umsetzung der EU Richtlinie 2022/2555 über „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ dar. Diese Richtlinie adressiert explizit die bisher unterschiedliche Auslegung und Umsetzung der bisherigen der Richtlinie 2016/1148 („NIS 1“) durch die Mitgliedstaaten und strebt in diesem Bereich eine Verbesserung für Einrichtungen an, die in mehreren EU-Ländern tätig sind.
Daher spezifiziert die neue Richtlinie in Artikel 21 Vorgaben auf hoher Ebene zu Risikomanagementmaßnahmen im Bereich der Cybersicherheit.
In Artikel 21 ist auch festgelegt, dass die Kommission bis zum 17. Oktober 2024 Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen in Bezug auf bestimmte Anbieter/Betreiber von IKT-Diensten erlässt. Diese liegen bisher nicht öffentlich vor.
Weiter ist auch festgelegt, dass die Kommission Durchführungsrechtsakte erlassen kann, in denen die technischen und methodischen Anforderungen [...] festgelegt werden. Bei der Ausarbeitung […] der Durchführungsrechtsakte orientiert sich die Kommission so weit wie möglich an europäischen und internationalen Normen sowie einschlägigen technischen Spezifikationen. Die Kommission tauscht sich mit der Kooperationsgruppe und der ENISA über die Entwürfe von Durchführungsrechtsakten […] aus und arbeitet mit ihnen zusammen.
Die bisher von anderen EU-Staaten veröffentlichten nationalen Durchführungsrechtsakten/Verordnungen zur Cybersicherheit gemäß NIS 2 Richtlinie zeigen jedoch, dass es bisher keine Einigung auf eine gemeinsame Struktur und Spezifikationstiefe gibt.
Aus meiner Sicht ist es daher zu früh, im Rahmen der Anlage 3 des NISG 2024 bereits konkrete Vorgaben zu machen, die weit über die Inhalte des Artikel 21 der NIS 2 Richtlinie hinausgehen und die in einigen Fällen auch keinen direkt erkennbaren Zusammenhang aufweisen. Die verwendete Taxonomie überdies veraltet.
Es besteht die Gefahr, dass die Entwicklung von zweckmäßigen Durchführungsvorgaben für Risikomanagementmaßnahmen durch die aktuell vorgeschlagene Taxonomie behindert bzw. eingeschränkt wird.
Mein Vorschlag lautet daher, auf Gesetzesebene (d.h. in der Anlage 3 des NISG) möglichst nahe an den Vorgaben der EU-Richtlinie 2022/2555 zu bleiben.