Eigentlich hätten die EU-Staaten schon im Mai ihre Gesetze adaptieren müssen, um der EU-Richtlinie zur Sicherheit bei Netz- und Informationssystemen zu entsprechen. Doch ÖVP und FPÖ ließen die Frist verstreichen, obwohl schon die rot-schwarze Vorgängerregierung ein entsprechendes Gesetz angekündigt hatte.

Mit viermonatiger Verspätung folgte schließlich eine erste Vorlage im September. Nun wurde dem Innenausschuss der finale Entwurf vorgelegt. Er benötigt sowohl im Parlament als auch im Bundesrat eine Zweidrittelmehrheit, da auch Zuständigkeiten der Länder betroffen sind.

Eigene Certs für Risikobereiche

Ein zentrales Element des Entwurfs ist eine Verpflichtung, Sicherheitsvorfälle an "Computer-Notfallteams" (Certs) zu melden. Diese soll für "Betreiber 'wesentlicher Dienste‘ in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur" und "Einrichtungen des Bundes" gelten. Gemeint sind also etwa Banken, Fluglinien oder Krankenhäuser. Auch Unternehmen, die "Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze" anbieten, fallen ab einer gewissen Größe darunter.

Neben dem nationalen Cert und dem Sicherheitsteam für die öffentliche Verwaltung (Govcert) ist zudem geplant, eigene Notfallteams für jeden Sektor einzurichten. Ihre Aufgabe besteht in Risikoabschätzung, grundlegender technischer Unterstützung und Handlungsempfehlungen.

Innenministerium soll IT-Systeme von Anbietern durchleuchten

Ins Leben rufen will man außerdem eine zentrale Anlaufstelle für IT-Sicherheitsbelange im Innenministerium, die auch für "grenzüberschreitende Zusammenarbeit" zuständig sein soll. Das Ministerium soll auch für die Entgegennahme von gemeldeten Vorfällen, deren Analyse und Maßnahmenkoordinierung verantwortlich sein.

Als heikel gelten jene Änderungen, die es dem Innenministerium künftig gestatten sollen, einen Einblick "in die Netz- und Informationssysteme der betroffenen Dienste und Unternehmen zu nehmen", auch wenn dieser auf das "unbedingt erforderliche Ausmaß" zu beschränken ist. Dienste und Firmen, die die Sicherheitsbestimmungen verletzen oder Vorfälle nicht melden, können künftig mit Geldstrafen belegt werden. Diese liegen bei 50.000 Euro im Erstfall und 100.000 Euro bei Wiederholung.

Kanzleramt übernimmt strategische Agenden

Um die jährliche nationale Sicherheitsstrategie und den Lagebericht kümmert sich künftig das Bundeskanzleramt, das auch in internationalen Gremien zu IT-Sicherheit vertreten sein soll. Auch übernimmt es den Betrieb des Govcert und die Zertifizierung privater Certs. Außerdem wird im Kanzleramt darüber entschieden, ob ein "ernster Sicherheitsvorfall" öffentlich kommuniziert wird. Davon unabhängig sind Betreiber und Firmen nach wie vor verpflichtet, Betroffene über Datenlecks und ähnliche Probleme zeitnah in Kenntnis zu setzen.

Hinzu kommen zwei weitere Gremien. Im "Inneren Kreis der Operativen Koordinierungsstruktur" versammeln sich Vertreter von Kanzleramt, Innenministerium, Verteidigungsministerium und Außenministerium. Neu ist auch die "Operative Koordinationsstruktur", zu der je nach Anlassfall auch Vertreter von Unternehmen, Dienstleistern und öffentlichen Stellen beigezogen werden sollen.

Diese beiden Organe sollen sich vor allem um Informationsaustausch und Lageeinschätzung kümmern. Kommt es zu einer "Cyberkrise", tagt außerdem ein "Koordinationsausschuss" aus Generalsekretären des Außenministeriums und des Kanzleramts, dem Generstabschef des Verteidigungsministeriums und dem Generaldirektor für die öffentliche Sicherheit.

Bedeutungsverlust für Bundesheer

Mit der Gesetzesvorlage wird auch in Stein gemeißelt, dass das Bundesheer, das in den vergangenen Jahren im Bereich digitaler Sicherheit stark aufgerüstet hat, kaum führende Kompetenzen für Österreichs Cybersecurity wahrnehmen wird.

Unklar ist weiterhin, was aus dem "nationalen Cyber-Defence-Zentrum" in der Wiener Stiftskaserne wird, auf dessen Einrichtung sich die Regierung verständigt hatte. Dieses soll auch helfen, Kompetenzstreitigkeiten zwischen Außen- und Innenministerium beizulegen. In der Vergangenheit waren die heimischen Geheimdienste, Heeresnachrichtenamt (HNA) und der im Innenministerium angesiedelte Verfassungsschutz immer wieder aneinander geraten.

Reaktionen aus der Opposition

Seitens der SPÖ ist in einer ersten Reaktion vorsichtiger Optimismus zu erkennen. Es seien Nachschärfungen bei beanstandeten Datenschutzbestimmungen erfolgt und die Zuständigkeit des Verteidigungsministeriums nun klarer ausgewiesen, heißt es gegenüber dem STANDARD. Dazu soll das Gesetz nicht mehr rückwirkend in Kraft treten, sondern ab Verlautbarung.

Die Neos begrüßen, dass die EU-Richtlinie zur Netzsicherheit nun endlich umgesetzt wird. Jedoch kritisiert man, dass das Einschaurecht des Innenministeriums nicht eindeutig geregelt ist. Man wolle "jedenfalls verhindern, dass es über reine Systemdaten hinaus (wie etwa Server-Auslastungszahlen) zu einer Einsicht des Innenministeriums in die transportierten Daten und vor allem deren Inhalte kommen kann".

Auch "Jetzt" (vormals Liste Pilz) ist erfreut, dass ein Maßnahmenpaket vorliegt. Wie geeignet es ist, ein hihes IT-Sicherheitsniveau zu schaffen, wolle man aber abwarten. Dementsprechend pocht man auf laufende Evalurierungen, insbesondere in Hinblick auf das Kontrollrecht des Innenministeriums, dem man "kritisch gegenübersteht". (gpi, 26.11.2018)

Update, 20:55 Uhr: Stellungnahme von Liste Pilz ergänzt.