Cybersicherheitsgesetz: Offene Fragen bei Meldepflicht

Anfang der Woche einigte sich die EU-Kommission mit den Mitgliedsstaaten und dem EU-Parlament auf ein IT-Sicherheitsgesetz. Die Richtlinie für Netzwerk- und Informationssicherheit (NIS) sieht unter anderem eine Meldepflicht für große Unternehmen bei Cyberangriffen vor. Auch in Österreich ist ein Cybersicherheitsgesetz bereits seit längerem in Arbeit. Das Gesetz soll noch in dieser Legislaturperiode beschlossen werden, sagte Innenministerin Johanna Mikl-Leitner (ÖVP) bei einem Pressegespräch am Freitag in Wien.

White Paper

Rund ein Jahr lang diskutierten Vertreter aus Wirtschaft und Wissenschaft im Rahmen eines vom Kuratorium Sicheres Österreich (KSÖ) veranstalteten "Rechts- und Technologiedialogs" mit Behörden und Sicherheitsexperten. Demnächst soll ein White Paper veröffentlicht werden, in dem die Kernpunkte des Gesetzes aufgelistet sind. Neben einer Meldepflicht für Unternehmen der kritischen Infrastruktur sollen auch Mindestandards und Fragen des Datenschutzes bei Cybervorfällen geregelt werden.

Szenarien, die in dem White Paper vorgesehen sind, sollen im Frühjahr in Planspielen geprobt werden. "Es ist ein Plausibilitätscheck. Wir wollen sehen, wie sich das in der Praxis bewährt", sagt KSÖ-Generalsekretär Alexander Janda. "Die rasante technische Entwicklung und neue komplexe Bedrohungslagen und die Vorgaben aus der EU müssen in das Korsett eines Gesetzes gebracht werden, das glaubwürdig und annehmbar ist."

Diskussionsbedarf bei Meldepflicht

Noch sind Fragen offen. Vor allem bei der verpflichtenden Informationsweitergabe bei Cyberangriffen, von der rund 200 Unternehmen aus den Bereichen Energie, Telkommunikation, Verkehr, Finanzwesen, Gesundheit, Wasserversorgung und Medien betroffen wären, gibt es noch Diskussionsbedarf. Die Unternehmen fürchten etwa Reputationsverluste und wirtschaftliche Schäden, wenn Informationen über Cyberangriffe öffentlich werden. Umgekehrt sind die Behörden Informationen angewiesen, um ein Lagebild erstellen und Gegenmaßnahmen treffen zu können. Auch andere Unternehmen aus den betroffenen Sektoren müssen gewarnt werden.

Bislang wurden Informationen zu Cybervorfällen weitgehend auf informeller Basis ausgetauscht. Als Schnittstelle fungierte in vielen Fällen CERT.at, das nationale Computer Emergency Response Team. Wer dort Informationen zu Cybervorfällen meldete, konnte sich einer vertraulichen Behandlung sicher sein. Mit der Weitergabe der Informationen an die Behörden, mit der solche Vorfälle quasi offiziell werden, haben viele Firmen Probleme.

"Klare rechtliche Grundlage"

"Für den Informationsaustausch braucht es eine klare rechtliche Grundlage", sagt Günther Ofner, Vorstandsdirektor der Flughafen Wien AG. Das betreffe auch den Datenschutz, etwa die Frage, wer wem welche Daten übermitteln darf. Meldepflichten sollten nur bei schwerwiegenden Bedrohungen zum Tragen kommen. "Unternehmen sind auch von einer Vielzahl von Bagatellen betroffen. Wenn alles meldepflichtig wird verfehlt man den Zweck."