Land

Security Blog

NIS Richtlinie: Österreichischer Gesetzesentwurf in Begutachtung

Verspätet und umstritten: Der Entwurf für die Umsetzung der EU Netz- und Informationssicherheits-Richtlinie sieht eine neue, dezentrale Aufteilung von Zuständigkeiten vor

Der Frühling 2018 stand ganz im Zeichen der neuen EU-Datenschutz-Grundverordnung (DSGVO). Diese EU-weite Richtlinie mit dem Ziel einer Vereinheitlichung im Umgang mit persönlichen Daten sorgte für viel Aufmerksamkeit und viele Fragen auf Seiten der Verbraucher und Unternehmen. Im Schatten der DSGVO ging ein weiterer Prozess zur Verbesserung der Cybersicherheit innerhalb der EU medial beinahe unter: Die Netz- und Informationssicherheits-Richtlinie (NIS) zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus, die ebenfalls im Mai wirksam werden sollte.

Die drei wesentlichen Inhalte der NIS-Richtlinie

Der Fokus der Richtlinie liegt in der Sicherstellung der Souveränität der EU im Rahmen der fortschreitenden Technologie und Digitalisierung. Erreicht werden soll das durch eine bessere Koordination und Abstimmung aller Beteiligten auf gesamteuropäischer Ebene:

  • Maßgebliche Cyber-Security Vorkommnisse treten über Länder hinweg auf und kennen keine Grenzen. Durch bessere Zusammenarbeit und effektive, übergreifende Kommunikation soll dem entgegengesteuert werden. Diese Aufgabe sollen nationale Computer-Notfall-Teams (CSIRTs, Computer Security Incident Response Teams) übernehmen, die Informationen sammeln, auswerten und national sowie EU-weit weiterleiten und auch gegebenenfalls auch Unterstützung anbieten können.
  • Unternehmen, die wichtige Dienste für die Allgemeinheit zur Verfügung stellen, müssen angemessene Sicherheitsmaßnahmen nach dem „Stand der Technik“ nachweislich auch umsetzen. Damit soll eine grundlegende Erhöhung des Schutzes gegen Cyberkriminalität erreicht werden. Dies zielt auf Unternehmen im Bereich Energie, Verkehr, Finanz, Gesundheitswesen, Wasserversorgung sowie digitale Infrastruktur ab. Als Kriterium soll auch die Marktreichweite des Unternehmens herangezogen werden. Die Vorgaben setzen sich hierbei aus einer Kombination von technischen sowie organisatorischen Maßnahmen zusammen.
  • Die Erkennung und schnellere Reaktion auf Vorkommnisse werden optimiert. Durch eine Verpflichtung zur Meldung von signifikanten Störfällen sollen Daten zur Analyse rechtzeitig zur Verfügung stehen. Die Möglichkeit zur freiwilligen Meldung von Vorkommnissen und Verteilung von präventiven Informationen sollen ein effektives Netzwerk zur Früherkennung und Eingrenzung schaffen.

Österreich ist in EU mit Verzögerung nicht allein

Für die Cyber-Sicherheitsstrategie der Union nimmt die Richtlinie einen sehr hohen Stellenwert ein. Mit der Schaffung einheitlicher Regeln sollen die Auswirkung von Sicherheitsvorfällen eingedämmt und wirtschaftliche sowie finanzielle Schäden verhindert werden. Die Umsetzung der Richtlinie hätte am 9. Mai 2018 durch die lokalen Regierungen der Mitgliedsstaaten erfolgen sollen. Mit dem Versäumnis dieser Frist ist Österreich nicht allein: Erst sechs EU-Mitgliedsstaaten haben im Mai entsprechende Gesetze umgesetzt. Der Kurs der Österreichischen Regierung könnte widersprüchlicher nicht sein. Während in vielen Ländern umfassende Maßnahmen geplant und eigene, autonome Einrichtungen geschaffen wurden, ist in Österreich die Abteilung zur Cyberabwehr des Bundesheers wegen Sparmaßnahmen zurückgestuft und aufgeteilt worden.

Neue, dezentrale Aufteilung von Zuständigkeiten

Der Gesetzesentwurf der Österreichischen Regierung ist unter Fachleuten nicht unumstritten. Das Bundesheer, welches in den letzten Jahren Kompetenzen im Bereich Cyber Security aufbaute, spielt keine wesentliche Rolle mehr. Die Hauptaufgaben der Strategie und der operativen Umsetzung der Richtlinie werden nun zwischen Bundeskanzleramt und Innenministerium aufgeteilt. Letzteres soll bei Bedarf darüber entscheiden, wann ein "Vorfall" vorliegt und wie dieser zu bearbeiten ist.

Der Entwurf ist noch bis Ende Oktober in der Begutachtungsfrist. Werden keine Einwände erhoben, ist mit der Formalisierung in dieser Art und Weise zu rechnen.