Netz- und Informationssicherheitsgesetz

Die fortschreitende Digitalisierung unserer Gesellschaft bedingt ein steigendes Risiko durch Angriffe auf die Informations- und IT-Sicherheit. Aus diesem Grund verabschiedete die Europäische Kommission am 7. Februar 2013 eine Mitteilung zur "Cybersicherheitsstrategie der Europäischen Union – ein offener, sicherer und geschützter Cyberraum" sowie einen Vorschlag für eine "Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" (EU 2016/1148) - kurz "NIS-Richtlinie" genannt.

In der Strategie werden die Vorstellungen der EU auf dem Gebiet der Cybersicherheit anhand von fünf Prioritäten dargelegt:

  • Widerstandsfähigkeit gegenüber Cyber-Angriffen.
  • Drastische Eindämmung der Cyber-Kriminalität.
  • Entwicklung einer Cyber-Verteidigungspolitik und von Cyber-Verteidigungskapazitäten im Zusammenhang mit der gemeinsamen Sicherheits- und Verteidigungspolitik (CSDP).
  • Entwicklung der industriellen und technischen Ressourcen für die Cybersicherheit.
  • Entwicklung einer einheitlichen Cyberraum-Strategie der EU auf internationaler Ebene und Förderung der Grundwerte der EU.

NIS-Richtlinie: Umsetzung aus österreichischer Sicht

Ziel der am 8. August 2016 in Kraft getretenen NIS-Richtlinie ist der EU-weite Aufbau eines hohen Sicherheitsniveaus der Netz- und Informationssysteme, die Schaffung eines einheitlichen Rechtsrahmens für den Aufbau nationaler Kapazitäten für die Informations- und IT-Sicherheit, sowie die Förderung einer stärkeren Zusammenarbeit der Mitgliedsstaaten. Die NIS-Richtlinie definiert aber auch Mindestanforderungen und Meldepflichten für die Betreiber kritischer Infrastruktur und Anbieter definierter digitaler Dienste.

Die NIS-RL verpflichtet die Mitgliedstaaten, eine nationale NIS-Strategie zu erarbeiten. Weiters haben bestimmte Unternehmen aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren adäquate Sicherheitsmaßnahmen einzuführen und gröbere Störfälle zu melden. Beinhalten sollte diese die strategischen Ziele, Prioritäten und Maßnahmen, um in den einzelnen Mitgliedstaaten ein hohes Sicherheitslevel der Netz- und Informationssysteme zu erreichen. Die NIS-Richtlinie befindet sich derzeit in Umsetzung in den Nationalstaaten.

Einrichtung von CSIRTs und NIS-Behörden in den Mitgliedsstaaten

Die NIS-Richtlinie hält auch fest, dass jeder Mitgliedstaat ein oder mehrere Computer Security Incident Response Teams (CSIRT) einzurichten hat, denen u.a. Aufgaben wie die mögliche Entgegennahme von Cyber Vorfallsmeldungen, die Ausgabe von Frühwarnungen, die Reaktion auf Sicherheitsvorfälle oder auch die dynamische Analyse von Risiken und Vorfällen zukommen. Österreich verfügt mit dem GovCERT und dem CERT des Energiesektors (Austrian Energy CERT) bereits jetzt über einige CSIRTs, welche im Sinne der NIS-Richtlinie als Meldestellen für freiwillige und verpflichtende Vorfallsmeldungen aus dem jeweiligen Sektor (öffentlicher Sektor für GovCERT, Energiesektor für AEC) fungieren.

Weiters sind in den Mitgliedstaaten eine oder mehrere nationale Behörden einzurichten, die unter anderem die Bewertung der Sicherheit von Netz- und Informationssystemen vornehmen und verbindliche Anweisungen zur Abhilfe bei festgestellten Mängeln erteilen können. Als Verbindungsstelle zwischen den Mitgliedstaaten, der Kooperationsgruppe und dem CSIRT-Netzwerk ist zudem in jedem Mitgliedstaat eine nationale, zentrale Anlaufstelle ("Single Point of Contact"; SPOC) einzurichten.

Wie auch auf Richtlinien-Ebene sind die obersten Ziele des nationalen Gesetzgebers die Prävention gegen Sicherheitsvorfälle, die Netz-und Informationssysteme betreffen, sowie die Gewährleistung einer raschen und professionellen Reaktion darauf. Zu diesem Zweck werden die (teilweise schon bestehenden) nationalen Strukturen samt Aufgabenzuteilungen und Befugnisse durch gesetzliche Regelungen festgelegt. Bei Erarbeitung der nationalen Umsetzung der Richtlinie wurde darauf geachtet, einen gut funktionierenden Koordinationsmechanismus zu schaffen, da die NIS-Richtlinie viele unterschiedliche Bereiche betrifft. Diese sind für Betreiber wesentlicher Dienste die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Trinkwasserversorgung, Gesundheitsdienste und Internetinfrastrukturen. Weiters sind von der Richtlinie auch bestimmte (größere) digitale Diensteanbieter betroffen, welche Online Marktplätze, Suchmaschinen oder Cloud Computing Dienste anbieten.

Es wurde ein Rechtsrahmen geschaffen, in dem sowohl Betreiber wesentlicher Dienste als auch digitale Diensteanbieter adäquate Sicherheitsmaßnahmen einführen und erhebliche Störfälle melden. Zudem wurde die Möglichkeit für den freiwilligen Austausch über Risiken, aktuelle Bedrohungen und Vorfälle der von einem Störfall betroffenen Einrichtungen untereinander , sowie mit den Computer-Notfallteams und staatlichen Stellen, auf der Basis gegenseitigen Vertrauens, geschaffen. Das vom Bundeskanzleramt in Form einer interministeriellen Arbeitsgruppe verfasste Netz- und Informationssystemsicherheitsgesetz befand sich bis 31.10. 2018 im Prozess der parlamentarischen Begutachtung.





<< Vorige Nächste >>