|
Wien (pk) – Die Regierung schlägt ein ganzes Maßnahmenbündel vor, um die Cybersicherheit in
Österreich zu erhöhen. Neben der Entwicklung einer Strategie für die Sicherheit von Netz- und Informationssystemen
ist unter anderem die Schaffung von Koordinierungs- und Anlaufstellen sowie die Einrichtung von Computer-Notfallteams
geplant. Zudem werden wichtige Infrastrukturanbieter, digitale Dienstleister und öffentliche Stellen verpflichtet,
angemessene Sicherheitsvorkehrungen zum Schutz ihrer Netze zu treffen und etwaige Sicherheitsvorfälle zu melden.
Österreich setzt damit auch eine entsprechende EU-Richtlinie um.
Verankert sind die Maßnahmen im so genannten "Netz- und Informationssicherheitsgesetz" ( 369 d.B.
), wobei die Aufgaben zwischen dem Bundeskanzler und dem Innenminister aufgeteilt werden. Da das Gesetz auch Vorgaben
für Bereiche enthält, die grundsätzlich in die Zuständigkeit der Länder fallen, ist für
einen Beschluss sowohl im Nationalrat als auch im Bundesrat eine Zweidrittelmehrheit erforderlich. Die Kosten der
geplanten Maßnahmen werden von der Regierung auf jährlich rund 5,5 bis 6,5 Mio. € geschätzt, dazu
kommen Zusatzaufwendungen für Unternehmen im mittleren sechsstelligen Eurobereich.
Computer-Notfallteams als erste Anlaufstelle
Konkret betrifft die gesetzliche Verpflichtung zur Sicherstellung eines hohen technischen Sicherheitslevels der
Netz- und Informationssysteme und zu organisatorischen Sicherheitsvorkehrungen "Betreiber wesentlicher Dienste"
in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung
und Digitale Infrastruktur. Dazu gehören etwa Stromanbieter, Kreditinstitute, Flug- und Bahnunternehmen sowie
Krankenhäuser. Gleiches gilt für alle Anbieter digitaler Dienste wie Betreiber von Online-Suchmaschinen,
Cloud-Computing-Diensten und Online-Marktplätzen, die eine gewisse Größe überschreiten, sowie
für Einrichtungen des Bundes. Zudem steht es den Bundesländern offen, die Bestimmungen des Gesetzes auch
für Einrichtungen von Ländern und Gemeinden für anwendbar zu erklären.
Gemeldet werden müssen etwaige Sicherheitsvorfälle an so genannte Computer-Notfallteams, wobei daran
gedacht ist, neben einem nationalen Computer-Notfallteam und einem Notfallteam der öffentlichen Verwaltung
(GovCERT) auch sektorenspezifische Teams einzurichten. Diese Notfallteams sollen auch Risiken beobachten und analysieren,
Frühwarnungen aussprechen, Handlungsempfehlungen abgeben und eine erste allgemeine technische Unterstützung
bei Sicherheitsvorfällen anbieten. Ebenso können sie freiwillige Meldungen über Risiken und Sicherheitsvorfälle
von nicht unter das Gesetz fallende Unternehmen und Einrichtungen entgegennehmen.
Verwaltungsstrafen bis 50.000 €
Darüber hinaus wird beim Innenministerium eine zentrale Anlaufstelle für die Sicherheit von Netz- und
Informationssystemen (SOPC) eingerichtet, bei der alle Fäden zusammenlaufen sollen und die auch für die
operative grenzüberschreitende Zusammenarbeit zuständig sein wird. Weiters soll dem Innenministerium
die Überprüfung der von den Unternehmen und Diensten zu setzenden Sicherheitsvorkehrungen und Meldepflichten,
die Durchführung allgemeiner Analysen, die Bereitstellung eines technischen Melde- und Analysesystems sowie
die Koordinierung konkreter Maßnahmen im Falle einer Cyberkrise obliegen.
Im Zuge der Kontrolltätigkeit wird es dem Innenministerium auch gestattet sein, "Einschau" in die
Netz- und Informationssysteme der betroffenen Dienste und Unternehmen zu nehmen, wobei diese auf "das unbedingt
erforderliche Ausmaß" zu beschränken ist und unter möglichster Schonung der Rechte der betroffenen
Einrichtung und Dritter zu erfolgen hat. Unternehmen und Dienste, die den Nachweis angemessener Sicherheitsvorkehrungen
nicht erbringen, angeordneten Sicherheitsvorkehrungen nicht Folge leisten, Meldepflichten verletzten oder Überprüfungen
verweigern, droht eine Geldstrafe von 50.000 € bzw. im Wiederholungsfall von 100.000 €.
Bundeskanzler nimmt strategische Aufgaben wahr
Dem Bundeskanzler wird mit dem Gesetzentwurf unter anderem die Aufgabe zugewiesen, eine Strategie und einen jährlichen
Bericht zur Sicherheit von Netz- und Informationssystemen zu erstellen. Zudem soll das Bundeskanzleramt Österreich
in EU- und internationalen Gremien vertreten, private Computer-Notfallteams zertifizieren und das Notfallteam der
öffentlichen Verwaltung betreiben. Auch die Unterrichtung der Öffentlichkeit über ernste Sicherheitsvorfälle,
die mehrere Sektoren betreffen, fällt in seine Zuständigkeit.
Weitere Gremien sind laut Gesetzentwurf ein "Innerer Kreis der Operativen Koordinierungsstruktur ("IKDOK"),
der sich aus VertreterInnen des Bundeskanzlers, des Innenministeriums, des Verteidigungsministeriums und des Außenministeriums
zusammensetzt, sowie eine Operative Koordinationsstruktur ("OpKoord"), zu der – je nach Risikolage bzw.
Sicherheitsvorfall – auch VertreterInnen von Betreibern wesentlicher Dienste, digitaler Dienste und von Einrichtungen
der öffentlichen Verwaltung beigezogen werden können. Sie dienen insbesondere der Erörterung aktueller
Lagebilder und dem Austausch von Informationen. Im Fall einer Cyberkrise soll außerdem ein Koordinationsausschuss,
dem jedenfalls der Generaldirektor für die öffentliche Sicherheit, der Generalstabschef des Verteidigungsministeriums
und die Generalsekretäre des Bundeskanzleramts und des Außenministeriums angehören, tätig
werden.
|
