NIS-Richtlinie: Umsetzung aus österreichischer Sicht
Am 7. Februar 2013 hat die Europäische Kommission eine gemeinsame Mitteilung der Kommission und der Hohen Vertreterin der Union für Außen- und Sicherheitspolitik zur "Cybersicherheitsstrategie der Europäischen Union – ein offener, sicherer und geschützter Cyberraum", sowie den Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) veröffentlicht. Das Bundeskanzleramt führte die Verhandlungen zur NIS-Richtlinie im Rat der Europäischen Union vor Ort in Brüssel und ist verantwortlich für die nationale Koordinierung der Umsetzung; zu diesem Zweck wurde unter Vorsitz des Bundeskanzleramtes eine legistische Arbeitsgruppe eingerichtet. Die Richtlinie ist am 8. August 2016 in Kraft getreten und muss binnen 21 Monaten (Mai 2018) in den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.
NIS-Richtlinie
Mit der NIS-Richtlinie soll EU-weit ein hohes Sicherheitsniveau der Netz- und Informationssysteme erreicht werden. Dazu haben (1) die Mitgliedstaaten unter anderem eine nationale NIS-Strategie zu erarbeiten und (2) bestimmte Unternehmen aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren adäquate Sicherheitsmaßnahmen einzuführen und gröbere Störfälle zu melden.
Jeder Mitgliedstaat hat darüber hinaus ein oder mehrere Computer Security Incident Response Teams (CSIRT) einzurichten, denen u.a. Aufgaben wie die mögliche Entgegennahme von Cyber Vorfallsmeldungen, die Ausgabe von Frühwarnungen, die Reaktion auf Sicherheitsvorfälle oder auch die dynamische Analyse von Risiken und Vorfällen zukommen. Österreich verfügt mit dem GovCERT und dem CERT des Energiesektors (Austrian Energy CERT) bereits jetzt über einige CSIRTs, welche im Sinne der NIS-Richtlinie als Meldestellen für freiwillige und verpflichtende Vorfallsmeldungen aus dem jeweiligen Sektor (öffentlicher Sektor für GovCERT, Energiesektor für AEC) fungieren sollen.
Weiters sind in den Mitgliedstaaten ein oder mehrere nationale Behörden ("NIS-Behörden") einzurichten, die unter anderem die Bewertung der Sicherheit von Netz- und Informationssystemen vornehmen und verbindliche Anweisungen zur Abhilfe bei festgestellten Mängeln erteilen können. Als Verbindungsstelle zwischen den Mitgliedstaaten, der Kooperationsgruppe und dem CSIRT-Netzwerk ist zudem in jedem Mitgliedstaat die Einrichtung einer nationalen zentralen Anlaufstelle ("Single Point of Contact"; SPOC) vorgesehen.
Österreichische Umsetzung der NIS-Richtlinie
Wie auch auf Richtlinien-Ebene sind die obersten Ziele des nationalen Gesetzgebers die Prävention gegen Sicherheitsvorfälle die Netz-und Informationssysteme betreffen sowie die Gewährleistung einer raschen und professionellen Reaktion auf solche Sicherheitsvorfälle.
Zu diesem Zweck sollen die (teilweise schon bestehenden) nationalen Strukturen samt Aufgabenzuteilungen und Befugnisse durch gesetzliche Regelungen festgelegt werden. Bei Erarbeitung des Gesetzes soll darauf geachtet werden einen gut funktionierenden Koordinationsmechanismus zu schaffen, da die NIS-Richtlinie viele unterschiedliche Bereiche betrifft. Diese sind für Betreiber wesentlicher Dienste die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Trinkwasserversorgung, Gesundheitsdienste und Internetinfrastrukturen. Weiters sind von der Richtlinie auch bestimmte (größere) digitale Diensteanbieter betroffen, welche Online Marktplätze, Suchmaschinen oder Cloud Computing Dienste anbieten.
Es soll ein Rechtsrahmen geschaffen werden, in dem sowohl Betreiber wesentlicher Dienste als auch digitale Diensteanbieter adäquate Sicherheitsmaßnahmen einführen und erhebliche Störfälle melden. Zudem soll die Möglichkeit geschaffen werden, dass sich die von einem Störfall betroffenen Einrichtungen untereinander freiwillig mit den Computer-Notfallteams und staatlichen Stellen auf der Basis gegenseitigen Vertrauens über Risiken, aktuelle Bedrohungen und Vorfälle austauschen können.
Das Bundeskanzleramt koordiniert derzeit eine interministerielle Arbeitsgruppe, welche sich mit der Verfassung des Bundesgesetzes Cyber Sicherheit (Arbeitstitel) befasst.
Nutzen für BürgerInnen und Unternehmen
Für BürgerInnen und Unternehmen ist das Funktionieren z.B. der Strom- oder Trinkwasserversorgung, des Flug- und Straßenverkehrs oder der Gesundheitsversorgung essentiell. Angriffe auf die IKT-Systeme dieser Sektoren können zu massiven und auch langwierigen Beeinträchtigungen führen.
Online-Marktplätze oder Suchmaschinen sind zwar nicht Teil der Grundversorgung, doch viele Unternehmen und BürgerInnen sind vom reibungslosen Funktionieren des Internets abhängig. Viele Unternehmen bieten ihre Dienste und Produkte via Internet an, der Ausfall von Online Marktplätzen oder Online Suchmaschinen kann zu erheblichen Gewinneinbußen führen. Auch im privaten Bereich würde es zu einer Beeinträchtigung des Alltagslebens kommen.
Unternehmen speichern Daten digital (ob in einer Cloud oder lokal) ab, ein Cyber Angriff kann hier massive Schäden anrichten und zudem – über das betroffene Unternehmen hinaus – das Vertrauen in IKT beeinträchtigen.
<< Vorige Nächste >>