Ausblick: Richtlinie für Netzwerk- und Informationssicherheit und Cyber Sicherheitsgesetz

Am 7. Februar .2013 veröffentlichte die Europäische Kommission eine gemeinsame Mitteilung der Kommission und der Hohen Vertreterin der Union für Außen- und Sicherheitspolitik zur "Cybersicherheitsstrategie der Europäischen Union – ein offener, sicherer und geschützter Cyberraum", sowie begleitend dazu den Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informations-sicherheit (NIS-RL) in der Union. Ziel der NIS-RL ist es, EU-weit eine hohe Sicherheit der Netzwerk- und Informationssysteme zu erreichen. Vor diesem Hintergrund soll die Zusammenarbeit zwischen den Mitgliedstaaten in strategischer und operationeller Hinsicht gestärkt sowie bestimmte, wichtige (private und öffentliche) Anbieter zu angemessenen Sicherheitsmaßnahmen und zur Meldung gröberer Störfälle verpflichtet werden. Die inhaltlichen Verhandlungen konnten Ende 2015 abgeschlossen und ein gemeinsamer Kompromisstext gefunden werden. Es ist mit einer Annahme der NIS-RL im Februar/März 2016 zu rechnen. Ab Inkrafttreten haben die Mitgliedstaaten dann 21 Monate Zeit, die NIS-RL in nationales Recht umzusetzen.

Ein Cyber Sicherheitsgesetz für Österreich

Das Cyber Sicherheitsgesetz soll künftig die Österreichische Strategie für Cyber Sicherheit (ÖSCS) mit der NIS-RL zusammenführen und im Zuge dessen den Rahmen der nationalen und zwischenstaatlichen Zusammenarbeit definieren.

In Österreich wurde zur Vorbereitung dazu bereits im Juni 2013 – kurz nach Veröffentlichung des ersten Vorschlags der NIS-Richtlinie der EU-Kommission – die Arbeitsgruppe Ordnungspolitischer Rahmen eingesetzt. Diese hat den Auftrag, den bestehenden Rechtsrahmen in Österreich zu erfassen und mit den kommenden Anforderungen in Verbindung mit der Richtlinie abzugleichen. Ferner hat das Kuratorium "Sicheres Österreich" (KSÖ) gemeinsam mit dem Bundesministerium für Inneres und dem Bundeskanzleramt Rechts- und Technologiedialoge zu diesem Thema abgehalten, mit dem Ziel einer Diskussion mit allen Stakeholdern zur Erarbeitung von Leitthemen für das geplante österreichische Cyber Sicherheitsgesetz.

Hauptpfeiler des österreichischen Cyber Sicherheitsgesetzes wird die vom BKA verhandelte NIS-RL sein, angereichert um Elemente aus den Handlungsfeldern im Rahmen der Umsetzung der Österreichischen Strategie für Cyber Sicherheit, den Endbericht der Arbeitsgruppe Ordnungspolitischer Rahmen sowie dem Endbericht des KSÖ ebenso wie Ergebnisse aus verschiedenen Arbeitstreffen mit VertreterInnen aus Wirtschaft und Wissenschaft. Zur Ausarbeitung des Cyber Sicherheitsgesetzes wird eine interministerielle, legistische Arbeitsgruppe unter Vorsitzführung des BKA eingerichtet.

Inhalte der Richtlinie für Netzwerk- und Informationssicherheit

Mit der NIS-Richtlinie soll einerseits EU-weit eine hohe Sicherheit der Netzwerk- und Informationssysteme erreicht sowie die Zusammenarbeit zwischen den Mitgliedstaaten verbessert werden, andererseits sollen bestimmte Anbieter kritischer Infrastrukturen zu angemessenen Sicherheitsmaßnahmen und zur Meldung von Störfällen verpflichtet werden.

Des Weiteren verpflichten sich die Mitgliedstaaten zur Erarbeitung einer nationalen NIS-Strategie, die strategische Ziele, Prioritäten und Maßnahmen enthält, um ein hohes Sicherheitslevel der Netzwerk- und Informationssysteme zu erreichen. Jeder Mitgliedstaat hat im Zuge dessen auf nationaler Ebene auch mindestens ein Computer Security Incident Response Team (CSIRT), ein oder mehrere NIS-Behörden, sowie einen Single Point of Contact (SPOC) einzurichten. Auf EU-Ebene werden außerdem eine Kooperationsgruppe sowie ein CSIRT-Netzwerk eingerichtet.

Die Aufgabe der Computer Security Incident Response Teams besteht vorwiegend darin, auf akute Sicherheitsbedrohungen zu reagieren, Warnungen und Informationen an betroffene Personenkreise auszugeben, Bewusstsein für IKT-Sicherheit zu schaffen und als Kontaktpunkt für sicherheitsrelevante IKT-Ereignisse aufzutreten. In Österreich betreibt das Bundeskanzleramt seit 2008 das GovCERT Austria in Kooperation mit nic.at für den öffentlichen, sowie CERT.at für den privaten Sektor. Daneben etablieren sich weitere Branchen-CERTs, wie z.B. das Austrian Energy CERT für den Energiesektor. Im österreichischen Cyber Sicherheitsgesetz soll etwa vorgesehen werden, dass Meldungen aufgrund der NIS-RL an das jeweils zuständige CERT im Sektor zu richten sind.

Österreich bei Netzwerk- und Informationssicherheit führend

Durch die hierzulande bereits seit etlichen Jahren erfolgreich umgesetzte und laufend verbesserte Zusammenarbeit im Cyber Sicherheitsbereich ist Österreich im Hinblick auf die Implementierung der NIS-Richtlinie bereits jetzt bestmöglich aufgestellt und gilt als europaweites Best-practice Beispiel in diesem Bereich. Der Ausbau weiterer Branchen-CERTs (wie dem zuvor genannten Austrian Energy CERT für den Energiesektor) sowie bereits seit mehreren Jahren erfolgreich bestehende sektorübergreifende Kooperationen wie etwa der Austrian Trust Circles (ATC) bestätigen dies.

Bei den Austrian Trust Circles handelt es sich um Cyber Security Information Exchanges in verschiedenen Sektoren der strategischen Infrastruktur. Dies erlaubt den praxisnahen Austausch führender VertreterInnen kritischer Infrastrukturen (z.B. Banken, Energie- oder Telekommunikationsbetreiber) zu aktuellen Sicherheitsthemen – und gilt dadurch auch international als angesehenes Musterbeispiel für mehr Informationsaustausch im Bereich Cyber Sicherheit.

Seine hohe Umsetzungs- und Lösungskompetenz im Fall von Cyber Sicherheitsvorfällen demonstriert Österreich außerdem regelmäßig im Rahmen von nationalen wie auch internationalen Übungen. Bei diesen werden verschiedene Ernstfälle bzw. Szenarien simuliert und vor allem die länder- und sektorenübergreifende Zusammenarbeit trainiert – wie etwa anlässlich einer von der Europäischen Verteidigungsagentur (EVA) organisierten Cyber Übung, die 2015 unter österreichischer Anleitung stattfand. Die Schwerpunkte lagen im Übungsbereich dabei verstärkt auf technischer, operationeller sowie strategisch-politischer Ebene.

Breiter Dialog zur Klärung der offenen Fragen

In Bezug auf das geplante Cyber Sicherheitsgesetz sind derzeit noch viele Fragen offen, die im Laufe der kommenden Wochen und Monate im Rahmen eines intensiven Dialogs aller betroffenen Stakeholder unter Koordination des Bundeskanzleramts geklärt werden sollen. Dies gilt insbesondere im Hinblick auf die geplanten Meldepflichten und den zugrunde liegenden Diensten bzw. Betreibern. Die Beschlussfassung des Gesetzes wird noch im Laufe der aktuellen Legislaturperiode angepeilt. Nachdem die NIS-Richtlinie viele unterschiedliche Bereiche und Materiengesetze berührt, haben ein gut funktionierender Koordinationsmechanismus und ein intensiver Dialog mit den Stakeholdern im Cyber Sicherheitsbereich im Rahmen der Erarbeitung des Gesetzes jedenfalls höchste Priorität.





<< Vorige Nächste >>