Rechtsgrundlage
Netz- und Informationssicherheitsgesetz (NISG)
Netz- und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der heutigen Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind. Um dies zu gewährleisten, wurde mit der Richtlinie (EU) 2016/1148 (“NIS-Richtlinie") der erste EU-weite Rechtsakt über Cybersicherheit verabschiedet.
Die NIS-Richtlinie wurde in Österreich mit dem am 29. Dezember 2018 in Kraft getretenen “NIS-Gesetz" umgesetzt (Netz- und Informationssystemsicherheitsgesetz, kurz: NISG, BGBl. I Nr. 111/2018). Das NIS-Gesetz überträgt dabei Aufgaben, die sich aus der NIS-Richtlinie ergeben, auf bestehende Strukturen und regelt Zuständigkeiten für die mit der Umsetzung betrauten Behörden sowie deren Befugnisse. In diesem Zusammenhang nimmt der Bundeskanzler die strategischen und der Bundesminister für Inneres die operativen Aufgaben wahr. Im Anwendungsbereich des Gesetzes befinden sich Einrichtungen mit einer hohen Bedeutung für das Funktionieren des Gemeinwesens, weshalb ihre Netz- und Informationssysteme besonders schutzbedürftig sind. Dies betrifft zum einen Einrichtungen in den sieben Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur, zum anderen Einrichtungen, die bestimmte digitale Dienste zur Verfügung stellen sowie Einrichtungen der öffentlichen Verwaltung.
Auf Grundlage des NIS-Gesetzes nahm das Büro für strategische Netz- und Informationssystemsicherheit (“strategisches NIS-Büro"), welches im Bundeskanzleramt als Teil der Abteilung I/8 angesiedelt und für bestimmte Angelegenheiten im Zusammenhang mit der Umsetzung der gesetzlichen Verpflichtung aus der NIS-Richtlinie zuständig ist, seine Arbeit auf.
Als ein erster Meilenstein kann diesbezüglich die im April 2019 auf Antrag erfolgte bescheidmäßige Feststellung der Eignung und Ermächtigung von CERT.at als nationales Computer-Notfallteam im Sinne des NIS-Gesetzes genannt werden.
Ein weiterer Meilenstein erfolgte, als die auf Basis des NIS-Gesetzes erlassene “NIS-Verordnung" (Netz- und Informationssystemsicherheitsverordnung, kurz: NISV, BGBl. II Nr. 215/2019) am 18. Juli 2019 in Kraft trat. In dieser Verordnung legte der zuständige Kanzleramtsminister im Bundeskanzleramt im Einvernehmen mit dem Bundesminister für Inneres verschiedene essentielle Sachverhalte aus dem NIS-Gesetz näher fest. Dazu gehören nähere Regelungen zu den Sektoren, wobei insbesondere die wesentlichen Dienste und die Kriterien für die Parameter zu Sicherheitsvorfällen (“Meldeschwellenwerte") definiert wurden. Ferner wurden in der NIS-Verordnung Kategorien und Maßnahmen hinsichtlich der Sicherheitsvorkehrungen für Betreiber wesentlicher Dienste festgelegt.
Auf Grundlage der NIS-Verordnung nahm das strategische NIS-Büro im August 2019 die Ermittlung der Betreiber wesentlicher Dienste in den sieben Sektoren auf. Dabei werden die Betreiber zunächst in einem Vorverfahren mit einem sogenannten “Informationsschreiben" darüber informiert, dass sie aufgrund von Daten, die dem strategischen NIS-Büro beispielsweise infolge von durchgeführten Amtshilfeverfahren vorliegen, als Betreiber wesentlicher Dienste in Frage kommen. Die Unternehmen werden dadurch einerseits über die Aufnahme der Ermittlungen informiert, sollen andererseits aber auch die Gelegenheit erhalten, sich dazu zu äußern. Darüber hinaus werden über das Informationsschreiben mögliche grenzüberschreitende Bezüge erfragt, die in einem weiteren Ermittlungsschritt als Grundlage für die Aufnahme von Konsultationen mit anderen Mitgliedstaaten der EU verwendet werden, falls ein Betreiber wesentlicher Dienste seinen Dienst noch in einem anderen Mitgliedstaat bereitstellt. Ferner wird versucht, über die Informationsschreiben gewisse inter-sektorale Abhängigkeiten zu eruieren. In einem abschließenden Schritt wird auf Basis der im Vor- und Konsultationsverfahren erlangten Informationen der Bescheid erlassen, mit dem eine öffentliche oder private Einrichtung als Betreiber wesentlicher Dienste ermittelt wird.
Dem strategischen NIS-Büro kommt gesetzlich weiters die Vertretung von Österreich in der NIS-Kooperationsgruppe sowie in anderen EU-weiten und internationalen Gremien für die Sicherheit von Netz- und Informationssystemen, denen strategische Aufgaben zugewiesen sind, zu. So nimmt das strategische NIS-Büro unter anderem aktiv an den Arbeiten der NIS-Kooperationsgruppe teil und leitet dort beispielsweise Work Stream 8 über Cybersicherheit im Energiesektor. Hierbei kann als Erfolg die Annahme des umfangreichen Referenzdokuments über die Umsetzung der NIS-Richtlinie im Sektor Energie (CG Publication 03/2019 (PDF)) durch die NIS-Kooperationsgruppe im September 2019 hervorgehoben werden.
Neben diesen gesetzlichen Aufgabenbereichen lagen weitere Tätigkeiten, die das strategische NIS-Büros im Jahr 2019 verfolgte, insbesondere im Bereich der Informationstätigkeit. So wurde gemeinsam mit dem BMI eine NIS-Website (https://www.nis.gv.at) ins Leben gerufen, die als Anlaufstelle im Hinblick auf die NIS-Richtlinie und das NIS-Gesetz fungiert und die bei der Beantwortung häufiger Fragen helfen soll.
Des Weiteren wurden die Adressaten des NIS-Gesetzes bei der Umsetzung der gesetzlichen Vorgaben unterstützt, indem vier sogenannte NIS Fact Sheets im Jahr 2019 erstellt und auf der NIS-Website zur Verfügung gestellt wurden. Der NIS Fact Sheet 1/2019 (PDF) vom Jänner erläutert die Erwartungshaltung der Behörden im Hinblick auf die Kontaktstellen von Betreibern wesentlicher Dienste. Der NIS Fact Sheet 7/2019 (PDF) vom Juli bietet den qualifizierte Stellen eine Hilfestellung insbesondere im Antragsverfahren. Der NIS Fact Sheet 8/2019 (PDF) vom August erörtert die Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste näher und der NIS Fact Sheet 9/2019 (PDF) vom September dient als Umsetzungsleitfaden für Einrichtungen des Bundes bei der Festlegung der wichtigen Dienste sowie der Meldekriterien.