Österreich versäumt Frist: Warum NIS 2 vom Parlament abgelehnt wurde
Die NIS-2-Richtlinie der EU soll für Unternehmen in Europa, die besonders wichtig für das gesellschaftliche Zusammenleben sind, einheitlich hohe Sicherheitsstandards schaffen. Dazu zählen Risikoanalysen, der Einsatz von Verschlüsselung und Zugangskontrollen. Außerdem sieht sie Schulungen für Angestellte und Meldepflichten bei Cybersicherheitsvorfällen vor.
In Österreich national umgesetzt werden soll die Richtlinie durch das Informationssystemsicherheitsgesetz 2024, kurz NISG 2024 genannt. Der Entwurf dafür wurde aber diese Woche im Nationalrat abgelehnt.
➤ Mehr lesen: Warum sich Tausende Unternehmen auf NIS 2 vorbereiten sollten
Zu viel Macht, zu widersprüchliche Ziele
Weil der Gesetzesentwurf Verfassungsbestimmungen enthält, war eine Zweidrittelmehrheit für eine Beschlussfassung notwendig. Die Opposition sprach sich jedoch geschlossen dagegen aus. Kritisiert wird von SPÖ, FPÖ und Neos vor allem, dass die Umsetzung von NIS 2 in die Hände des Innenministeriums gelegt wird, wo eine eigene Cybersicherheitsbehörde aus 200 Personen geschaffen werden soll. Das Ministerium bekäme dadurch eine Machtfülle, die über das Ziel der Stärkung der Cybersicherheit hinausschieße.
Die Plattform für Grundrechtspolitik epicenter.works, auf deren Expertise sich die Kritik der Opposition unter anderem stützt, spricht von einem Zielkonflikt. Das Innenministerium wäre für IT-Sicherheit und für die Einzelstrafverfolgung zuständig. Bei dem einen gehe es um die Schließung von Sicherheitslücken, während die Strafverfolgung lieber deren Offenhaltung (z.B. für Spionagesoftware) fordere. Statt vorhandene Expertise zu nutzen, hätte der Entwurf bisherige Probleme weiter einzementiert. Menschen aus der IT-Sicherheitsforschung bekämen weder Anreize noch den nötigen Rechtsschutz, um entdeckte Sicherheitslücken aufzuzeigen. Sie müssten sich viel eher davor fürchten, selbst ins Visier der Strafverfolgung zu geraten.
➤ Mehr lesen: Wie sich NIS 2 auf Mitarbeiter in Unternehmen auswirken wird
Sorge vor Massenüberwachung
Beim NISG 2024 hätte es die Möglichkeit gegeben, diesen Umstand zu ändern und eine unabhängige Cybersicherheitsbehörde außerhalb der Ministerien zu schaffen. Die Gelegenheit, die verantwortungsvolle und rechtlich sichere Aufdeckung von Cybersicherheitsmängeln zu fördern ("Responsible Disclosure"), sei verpasst worden. Man hinke auch im internationalen Vergleich immer noch hinterher, was Unabhängigkeit und Zusammenarbeit mit IT-Sicherheitsforschung und Zivilgesellschaft angehe.
Stattdessen fände sich im Gesetzestext eine Passage, bei der es um die Verarbeitung personenbezogener Daten zum Schutz vor und der Abwehr von Gefahren für die öffentliche Sicherheit gehe. Laut epicenter.works sei dies eine "extrem breite Formulierung", wenn es eigentlich nur um Cybersicherheit gehen sollte. Die Opposition interpretiert vorgeschlagene Befugnisse für das Innenministerium als Massenüberwachung. Laut Katharina Kucharowits von der SPÖ sei eine "Vorratsdatenspeicherung durch die Hintertür zu befürchten".
BMI, BKA oder externes Unternehmen
Die Regierung kann diesen Kritikpunkt nicht nachvollziehen. "Ich verstehe nicht, wie man aus NIS 2 Massenüberwachung rausliest. Für mich fällt das in die Kategorie Wahlkampf", sagt Süleyman Zorba von den Grünen. Andere Kritikpunkte seien schon eher verständlich. Die Cybersicherheitsbehörde hätte man laut dem Nationalratsabgeordneten auch einem anderen Ministerium unterordnen können. Die Schaffung eines eigenen Unternehmens mit Behördenbefugnissen sei auch denkbar und brächte Vor- und Nachteile mit sich. Ein Nachteil wäre etwa, dass keine parlamentarischen Anfragen gestellt werden könnten.
Laut Kucharowits solle die Cybersicherheitsbehörde dem Bundeskanzleramt (BKA) unterstellt sein. Das NIS-Büro, bisher bereits zuständig für den wesentlich schlankeren Vorgänger von NIS 2, NIS 1, sei bereits im BKA angesiedelt. Laut der Regierung sei aber auch das Innenministerium (BMI) bereits für Cybersicherheit verantwortlich gewesen. Für Douglas Hoyos von den Neos ist die Abkehr vom BKA "bedenklich": "Man darf nicht vergessen, dass das BMI seit dem Jahr 2000 durchgehend in ÖVP-Hand ist. Seitdem sind beim Thema Überwachungsmaßnahmen sehr plumpe Forderungen gekommen. Da muss man besonders aufpassen."
➤ Mehr lesen: Behörden warnen vor mehr Cyberangriffen durch KI
Breit oder nicht breit, das ist die Frage
Von der Opposition auch kritisiert wird der späte Zeitpunkt, zu dem das NISG 2024 beschlossen werden sollte. Die Regierung habe "wohl wissend, dass ein Wahljahr vor der Tür steht und Verfassungsbestimmungen notwendig sind, bis zum letztmöglichen Zeitpunkt gewartet", sagt Kucharowits. Mit der Opposition sei man nie ernsthaft in Verhandlungen getreten. Das Wahlkampfargument wird also von beiden Seiten als Grund dafür angeführt, warum es zu keiner Einigung gekommen ist.
Laut Hoyos sei es besonders irritierend, dass die Regierung bei der Gestaltung des NISG 2024 keinen breiten Dialog mit Wirtschaft und Zivilgesellschaft gesucht habe. Diese Kritik habe man von mehreren Unternehmen gehört, die von NIS 2 betroffen sein werden. Die ÖVP wiederum behauptet, es habe einen "breit angelegten Stakeholderprozess" gegeben, zu dem man auch sehr positive Rückmeldungen erhalten habe.
Das BKA, das an der Formulierung des NISG 2024 Entwurfs maßgeblich beteiligt war, kann die Kritik überhaupt nicht nachvollziehen. Seit Jahren sei man im intensiven Austausch mit Unternehmen, Cybersecurity-Expertinnen und -Experten sowie mit den Verfassungsdiensten in den Bundesländern. In der Vergangenheit habe es kaum jemals einen so breiten Beteiligungsprozess gegeben. Die meisten Unternehmen, die es betrifft, seien bereits gut auf NIS 2 vorbereitet.
➤ Mehr lesen: Über 80 Prozent der Industrie nicht auf Cyberattacken vorbereitet
Vertragsverletzungsverfahren nicht zwingend
Dass das NISG 2024 noch in dieser Regierungsperiode umgesetzt wird, ist unwahrscheinlich. Eigentlich sollte die NIS-2-Richtlinie laut EU-Vorgaben bis 18. Oktober 2024 umgesetzt sein. Bei Nichteinhaltung droht Österreich theoretisch ein Vertragsverletzungsverfahren. Dass es dazu kommt, glaubt Zorba aber nicht. Es gebe viele Länder, die sich mit der Umsetzung von NIS 2 schwer tun: "Der Richtlinientext ist technisch sehr klar, aber von der Systematik her ist er ein bisschen schwierig umzusetzen."
Es gebe kein europäisches Best-Practice-Modell. Der Umfang von NIS 2 sei außerdem sehr groß. In Österreich allein werden wahrscheinlich 3.000 bis 5.000 Unternehmen als "wesentliche" und "wichtige" Unternehmen eingestuft und damit von der Richtlinie erfasst. "Es ist eine wichtige, aber komplexe Angelegenheit", sagt Zorba. Österreich werde nicht das einzige Land sein, das mit der NIS-2-Umsetzung säumig bleibe. Die EU werde wahrscheinlich nicht mit voller Härte gegen alle vorgehen. Eine Verschiebung der Frist wäre möglich, oder dass Übergangsperioden geschaffen werden. Drohende Strafen seien laut Zorba "das geringste Problem, das ich sehe".
Kucharowits geht davon aus, dass es zu einem Vertragsverletzungsverfahren kommt, weil die Regierung mit der NIS-2-Umsetzung bis zum letztmöglichen Zeitpunkt gewartet hat. Laut Hoyos ist es theoretisch noch möglich, den Gesetzesentwurf abzuändern und noch vor der Wahl zu beschließen. Falls das nicht gelinge, müsse sich die aktuelle Regierung "selbst an der Nase nehmen": "Auf den letzten Drücker etwas auf Biegen und Brechen durchdrücken, funktioniert halt nicht."
Fachkräfte gesucht
Das größte Problem bei der Umsetzung von NIS 2 neben dem notwendigen Gesetzesbeschluss sei laut Zorba der Aufbau der Cybersicherheitsbehörde. 200 bis 300 Cybersicherheitsexpertinnen und -Experten sollen darin arbeiten. Diese Menge an Fachkräften zu finden, wird eine schwierige Aufgabe sein. Eine kleinere Belegschaft sei aber nicht vorstellbar, um mit tausenden Unternehmen zu kommunizieren.
Laut Hoyos habe die öffentliche Verwaltung schon lange das Problem, IT-Fachkräfte zu rekrutieren. Bei Null beginnen müsse man aber nicht, sagt Zorba. In den Ministerien seien bereits zahlreiche IT-Kräfte mit Fachkompetenz bei Cybersicherheit vorhanden. Einige davon werden wohl zur Cybersicherheitsbehörde wechseln. Das alles liege aber möglicherweise in der Hand einer neuen Regierung. Wie sie aussehen wird und welche Standpunkte sie vertritt, wird man erst nach der Nationalratswahl am 29. September sehen.