Ich wurde eingeladen, am 19. Juni im Innenausschuss des Parlaments als Experte in einem Hearing zum NISG 2024 aufzutreten. Das war keine Vorladung zu einem Untersuchungsausschuss, die man kaum ausschlagen kann, sondern ein wirklich freiwilliger Termin. Ich war schon öfters beruflich im Parlament, aber bisher immer auf Einladung der Parlamentsdirektion: das hier war der erste Termin mit Mandataren. Die Illusion, mit diesem Auftritt irgendwas bewirken zu können, hatte ich nie. Zwei Tage nach dem Koalitionsstreit um die Renaturierungsverordnung und schon fast im heißen Wahlkampf: Da zählen politische Argumente sicher mehr als fachliche.

In diesem Blogpost will ich kurz erklären, was ich kommunizieren wollte:

Eingangsstatement

Brauchen wir das Thema NIS?

Ja, weil die Verfügbarkeit unserer IT inzwischen gesellschaftlich relevant ist. Wir kommen nicht drum rum, das Thema ernsthaft anzugehen. Das ist analog zu Brandschutz, Verkehrssicherheit, Standards beim Bau, Arbeitnehmerschutz, …

Dadurch, dass durch die IT auch immer mehr physische Systeme gesteuert werden, ist ihre korrektes Funktionieren zunehmend wichtig für die (körperliche) Sicherheit der Menschen.

Es geht nicht nur um böswillige Akteure, sondern NIS behandelt umfassend den sicheren Betrieb von Computern und Netzwerken.

Wir haben mit NIS1 ein gutes Fundament – insb. was die interministerielle Zusammenarbeit und die Kooperation Staat / Wirtschaft betrifft.

Sind die Maßnahmen für die Betroffenen machbar?

Für viele:

• Sie müssen dokumentieren, dass sie ihre Hausaufgaben gemacht haben
• Das sind großteils Sachen, von denen man schon lange weiß, dass man sie eigentlich machen sollte
• Für den CISO ist das ein aufgelegter Judo-Move, mit dem Gesetz im Rücken endlich die Sachen umsetzen zu können, die schon lange auf der ToDo-Liste sind

Für manche:

• Für die ist viel Neues dabei, weil das Thema bis jetzt noch nicht systematisch angegangen wurde
• Das sollten einen echten Schub für den Reifegrad vieler Organisationen bewirken

Für wenige:

• Sie sind leider regulatorischer Beifang wegen Denkfehlern im Richtlinientext

Für alle:

• Risikoanalyse: jede Organisation muss sich dokumentiert Gedanken machen, was ihre IT-Risiken sind
• Das ist allemal sinnvoll.

Qualität der Richtlinien Umsetzung

Die Richtlinie ist sehr spezifisch – in vielen Bereichen war kaum Spielraum vorhanden. Daher konnten nicht alle sinnvollen Stellungnahmen aus der Begutachtung aufgenommen werden.

Die Richtlinie ist in einigen Bereichen schlecht formuliert. Hier wäre es sinnvoll gewesen, im Gesetz vom RL-Text abzuweichen, um bessere Formulierung zu finden.

Mehr Mut wäre gut gewesen

• Klare Fehler in der RL sollten wir vielleicht doch nicht umsetzen. Die Kollegen aus CZ trauen sich da mehr. Siehe etwa Punkt 14.6. in ihrer Scope-Definition.
• Wir sollten deutlicher formulieren, was man ermöglichen will
  • z.B. im Datenschutz beim Informationsaustausch
  • Kein „der Satz im §x plus §y in Verbindung mit dem Nebensatz im §z ermöglicht uns das eh“

Eine frühere Einbindung der Stakeholder hätte geholfen. Wir haben die Cyber Security Platform (CSP), nutzen wir sie doch bitte nicht nur für die Risikomanagement-Maßnahmen, sondern auch für eine offene Diskussion zu Implementierungsmodellen einer Cybersicherheitsbehörde.

Cybersecurity Architektur des NISG 2024

Es gibt keinen EU-Standard, wo das Thema Cybersecurity in der Verwaltung aufgehängt wird. Man findet in anderen EU-Mitgliedstaaten Platzierungen unter dem Premierminister, dem Innenresort, dem Finanzministerium, der National Security Authority, im Militärnachrichtendienst und unter dem Ministerium für Wirtschaft oder Digitalisierung. Manchmal ist das Thema direkt im Ministerium, andere haben dafür eine Agency/Amt, es gibt auch ausgegliederte Lösungen. Mache Staaten geben alles in ein „National Cyber Security Center“, andere haben einen sektoralen Ansatz und wiederum andere Trennen das Thema Regulierung stark vom Thema Hilfe.

Unser Entwurf für das NISG 2024 konzentriert alles, außer Notfallteams (CSIRTs), im BMI. Dazu gibt es viel Pro und Kontra. Aufpassen müssen wir bei:

• Zielkonflikt: Schwachstellen schließen vs. Ermittlungsmöglichkeiten für die Polizei
• Aufsicht vs. Hilfestellung
• Überlappungen der Aufgaben der CSIRTs (§12 Abs. 1) und des BMI (§4 Abs. 1). Das läuft aktuell noch gut, hier müssen wir uns in Zukunft sehr gut abstimmen.

IKT-Systeme zur Früherkennung

Im §17 werden „IKT Systeme zur Früherkennung von Risiken, Cyberbedrohungen oder Cybersicherheitsvorfällen“ gefordert. Wie schon die Stellungnahmen gezeigt haben, ist das nicht unumstritten. Ich sehe das so:

• Ja, wir brauchen eine gemeinsame Datenbasis zwischen allen Stakeholdern (CSIRTs, BMI, Militär, privaten SOCs) zu Bedrohungen (Cyber Threat Intelligence)
• Siehe auch EU Cyber Solidarity Act
• Erkennung von Vorfällen braucht 2024 aber
  • Interne Netzwerksensoren
  • Analyse von Logfiles
  • Software (EDR – Endpoint Detection and Response) auf allen Systemen
• Daher sollte die Vorfallserkennung am besten von der Einrichtung selber, bzw. ihrem selber ausgesuchten Dienstleister, gemacht werden
• Der Staat kann IOCs einbringen und die Zusammenarbeit fördern und holt sich über diese Plattform Erkenntnisse aus dem Feld

Fragerunde

Nach unseren Eingangsstatements gab es eine Fragerunde; ich kann mich nicht mehr an alle erinnern.

Wie schätzen sie die Änderungen nach der öffentlichen Begutachtung ein?

Der aktuelle Stand im Initiativantrag ist deutlich besser als die Version von Anfang April. Es wurden viele Punkt verbessert, die bei Stellungnahmen angemahnt wurden. Wie vorhin gesagt: es mussten die Änderungen aber im Rahmen der Richtlinie bleiben.

Wurde hier „Gold Plating“ gemacht?

Nein, die Anforderungen an die Normunterworfenen und deren Auswahl kommt direkt aus der Richtlinie. Eigene Ideen betreffen rein die Behörden, die das Gesetz vollziehen müssen.

Ist NIS überschießend?

Die meisten Risikomanagement-Maßnahmen, die Firmen laut NIS implementieren müssen, sind Stand der Technik für gute IT-Betriebsführung. Wir müssen nur aufpassen, dass wir beim Vollzug auch tolerieren, dass bei der Risikoanalyse mancher Organisationen herauskommen kann, das einzelne Kapitel für diese schlicht nicht relevant sind, und diese dort daher auch nicht umgesetzt werden müssen.

Nach alle der Kritik, würden sie dem Gesetz zustimmen?

Ja, der Gesetzestext ist nicht perfekt, einiges könnte besser umgesetzt werden. Aber das Thema jetzt auf die lange Bank zu schieben, ist um nichts besser. Einige Firmen sind im Ausland schon von NIS2 betroffen, eine Nichtumsetzung bei uns führt nur zu noch mehr Verwirrung und noch weniger Planungssicherheit.

Im Rückblick

Am 3. Juli wurde dann das NISG 2024 in der 270. Plenarsitzung des Nationalrates behandelt, und erreichte nicht die qualifizierte Mehrheit. Ich hab mir die Debatte zuhause per Videostream angesehen und es war spannend zu beobachten, wie oft sich die Abgeordneten auf die Aussagen der beiden "Experten", also Sebastian Kneidinger von Epicenter.works und mich berufen haben. Manchmal durchaus korrekt, aber auch immer wieder falsch - so etwa hat keiner von uns gesagt, dass im Letztentwurf nicht auf das Feedback aus der Begutachtung eingegangen wurde.

Das Ganze hat mich sehr daran erinnert, wie es mir öfters geht, wenn ich mit Journalisten spreche: was man sagt, und was dann in der Zeitung steht, ist nicht immer das gleiche. Man kann oft froh sein, wenn der Artikel der eigenen Aussage nicht komplett widerspricht, sondern sie nur verkürzt, vereinfacht oder zugespitzt wiedergibt.

Ich hab bei meiner Stellungnahme im Innenausschuss versucht, eine differenzierte Einschätzung des Gesetzesentwurfes abzugeben. Das war vielleicht für diese Zielgruppe nicht die richtige Entscheidung. So kurz vor der Wahl ist in der Politik ist anscheinend nicht viel Platz für Graustufen, sondern alles wird nur noch in Schwarz/Weiß gesehen.