Rechtsgrundlage
Netz- und Informationssicherheitsgesetz (NISG)
Netz- und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der heutigen Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind. Um dies zu gewährleisten, wurde mit der Richtlinie (EU) 2016/1148 (“NIS-Richtlinie”) der erste EU-weite Rechtsakt über Cybersicherheit verabschiedet. Die NIS-Richtlinie wurde in Österreich mit dem am 29. Dezember 2018 in Kraft getretenen “NIS-Gesetz” umgesetzt (Netz- und Informationssystemsicherheitsgesetz, kurz: NISG). Während das Bundeskanzleramt nach dem NIS-Gesetz strategische Aufgaben wahrnimmt, nimmt das Bundesministerium für Inneres operative Aufgaben wahr. Im Anwendungsbereich des Gesetzes befinden sich Einrichtungen mit einer hohen Bedeutung für das Funktionieren des Gemeinwesens, weshalb ihre Netz- und Informationssysteme besonders schützenswert sind. Dies betrifft zum einen Einrichtungen in den sieben Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur (“Betreiber wesentlicher Dienste"), zum anderen Einrichtungen, die bestimmte digitale Dienste zur Verfügung stellen (“Anbieter digitaler Dienste") sowie “Einrichtungen der öffentlichen Verwaltung".
Strategisches NIS-Büro
Das im Bundeskanzleramt angesiedelte Büro für strategische Netz- und Informationssystemsicherheit (“strategisches NIS-Büro") führte seine Arbeit im Jahr 2020 – trotz der schwierigen Umstände angesichts der COVID-19 Pandemie – erfolgreich fort. So wurde beispielsweise mit der bescheidmäßigen Feststellung der Eignung und Ermächtigung des Austrian Energy CERT (AEC) als erstes sektoren-spezifisches Computer-Notfallteam im Sinne des NIS-Gesetzes ein wichtiger Schritt gesetzt. Auch konnten bei den Ermittlungen der Betreiber wesentlicher Dienste auf Grundlage der NIS-Verordnung substantielle Fortschritte erzielt werden. Im Hinblick auf die Vertretung Österreichs in der NIS-Kooperationsgruppe sowie in anderen EU-weiten und internationalen Gremien für die Sicherheit von Netz- und Informationssystemen, denen strategische Aufgaben zugewiesen sind, wurden umfangreiche Aktivitäten gesetzt. Das NIS-Büro arbeitete u.a. mit den betroffenen Behörden und Regulatoren am Thema der Cybersicherheit von 5G-Netzen. Die NIS-Kooperationsgruppe nahm in diesem Zusammenhang im Jahr 2020 zwei Referenzdokumente, nämlich die CG Publication 01/2020 - Cybersecurity of 5G networks: EU Toolbox of risk mitigating measures sowie die CG Publication 02/2020 - Report on Member States’ progress in implementing the EU Toolbox on 5G Cybersecurity, an. Des Weiteren konnten im Jahr 2020 im Bereich der Informationstätigkeit weitere Aktivitäten gesetzt werden. Hervorzuheben sind hier die englischen Übersetzungen des NIS-Gesetzes und der NIS-Verordnung, die auf der NIS-Website (nis.gv.at) abgerufen werden können. Gemeinsam mit dem BMI wurden auf der NIS-Website darüber hinaus der NIS Fact Sheet 8/2018 (“Mapping-Tabelle von IKT-Sicherheitsstandards und Cyber Security Best Practices") bereits in der 3. Version sowie der NIS Fact Sheet 7/2019 (“Qualifizierte Stellen") in der 2. Version veröffentlicht.
EU-Cybersicherheitsstrategie 2020 und NIS-2-Richtlinie
Die Europäische Kommission hat am 16. Dezember 2020 eine neue Cybersicherheitsstrategie veröffentlicht, die die Cybersicherheitsstrategie 2013 mit einem neuen strategischen Referenzrahmen für Cybersicherheit auf EU-Ebene ablösen soll. Die neue Cybersicherheitsstrategie zielt darauf ab, das digitale Leben der Menschen in Europa sicher zu gestalten sowie sichere und vertrauenswürdige digitale Instrumente für Wirtschaft, Demokratie und Gesellschaft zu schaffen. Dies soll durch die Steigerung der Resilienz von kritischer Infrastruktur und vernetzten Dingen, den Aus- und Aufbau von operativen Kapazitäten zur Vorbeugung, Abschreckung und Reaktion auf Cyberangriffe sowie die Zusammenarbeit mit internationalen Partnern für einen globalen, offenen, stabilen und sicheren Cyberraum, in welchem Völkerrecht, Menschenrechte, Grundfreiheiten und demokratische Werte gelten, erreicht werden.
Zu den unter der neuen Cybersicherheitsstrategie verfolgten Initiativen gehört auch die Überarbeitung der NIS-Richtlinie. In diesem Sinne legte die Europäische Kommission am 16. Dezember 2020 eine neue NIS-Richtlinie (“NIS-2-Richtlinie") vor, die das Ziel hat, ein hohes gemeinsames Niveau von Cybersicherheit in der EU zu erreichen. Zu diesem Zweck verpflichtet sie die Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden sowie zuständige Cybersicherheitsbehörden, zentrale Anlaufstellen und Computer-Notfallteams zu benennen. Ferner sollen bestimmte wesentliche und wichtige Einrichtungen zu einem Cybersicherheitsrisikomanagement und zur Meldepflicht von IT-Sicherheitsvorfällen verpflichtet sowie der Austausch von Cybersicherheitsinformationen weiter forciert werden.