Mit breiter Mehrheit ist am Freitag das Netz- und Informationssicherheitsgesetz im Nationalrat beschlossen worden. Das Gesetz, mit dem mit Verzögerung eine EU-Richtlinie “NIS-2” umgesetzt wird, soll systemrelevante Institutionen und Unternehmen auf potenzielle Cyberattacken vorbereiten. Die Stimmen für die nötige Zweidrittelmehrheit lieferten neben den Regierungsfraktionen die Grünen. Die FPÖ lehnte das Gesetz ab und warnte vor einer “Belastungslawine” für 4.000 Unternehmen.

Durch das Gesetz werden systemrelevanten Institutionen und Unternehmen – darunter etwa Energieversorger und Lebensmittelhandel – umfassende Vorgaben für Sicherheitsmaßnahmen auferlegt. Im Fall von Verstößen sind Geldbußen von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes vorgesehen. Als zentrale Anlaufstelle wird ein Bundesamt für Cybersicherheit im Bereich des Innenministeriums geschaffen.

EU-Richtlinie hätte bereits 2024 umgesetzt werden müssen

Eigentlich hätte die EU-Richtlinie zur Stärkung der IT-Sicherheit bereits bis Oktober 2024 umgesetzt werden sollen, weshalb ein Vertragsverfahren gegen Österreich läuft. Ein ähnlicher Gesetzesvorschlag der türkis-grünen Regierung scheiterte aber an der nötigen Zweidrittelmehrheit, weil FPÖ, SPÖ und NEOS ihre Zustimmung verweigerten. Das neue Gesetz orientiert sich weitestgehend an dem Gesetzesvorschlag von 2024, sieht jedoch Adaptierungen etwa bei Berichtspflichten, Übergangsfristen und der institutionellen Ausgestaltung der Cybersicherheitsbehörde vor.

Damit argumentierten SPÖ und NEOS auch ihre nunmehrige Zustimmung. Nun gebe es eine eigene Cybersicherheitsbehörde als zentrale Anlaufstelle, sagte SPÖ-Sicherheitssprecher Maximilian Köllner. Diese sei zwar im Innenministerium angesiedelt, aber außerhalb der Generaldirektion für öffentliche Sicherheit. Wenn es Weisungen gebe, dann müssten diese schriftlich erfolgen und darüber im Parlament berichterstattet werden. Seit dem letzten Jahr seien viele Stellungnahmen eingearbeitet und damit Bedenken ausgeräumt worden, betonte auch die NEOS-Abgeordnete Ines Holzegger. Die Behörde sei nun eigenständig und nicht mehr direkt dem Innenminister unterstellt.

Grüne begrüßen späten Beschluss

Die Weisungsbefugnis sei notwendig, weil das Mitglied der Bundesregierung sich auch zur Verantwortung bekennen müsse, sagte Innenminister Gerhard Karner (ÖVP). Ansatz des Gesetzes sei “Beraten statt Strafen”, das sei wichtig, um die nötige Akzeptanz und Wirksamkeit zu erreichen. Die betroffenen Unternehmen und Institutionen seien intensiv eingebunden worden. SPÖ-Staatssekretär Jörg Leichtfried bedankte sich bei den Grünen für die konstruktiven Verhandlungen. Diese zeigten sich froh, dass es endlich gelinge, “eines der wichtigsten europäischen Cybersicherheitsgesetze” zu beschließen. Der Gesetzestext sei nahezu identisch mit dem von SPÖ und NEOS abgelehnten Entwurf, aber er wolle angesichts der Wichtigkeit des Gesetzes kein politisches Kleingeld waschen, meinte der Grüne Sicherheitssprecher Süleyman Zorba.

Gegen das Gesetz stellten sich nur die Freiheitlichen. FPÖ-Sicherheitssprecher Gernot Darmann sprach von einer “Belastungslawine” für 4.000 österreichische Unternehmen, die mit ihren Lieferketten “mit neuer Bürokratie, neuer Ineffizienzen und letztlich Kostentreiberei” belastet würden. Kritik übte er daran, dass das Innenministerium Hoheit über das neue Bundesamt haben werde, dieses aber beim Cyberangriff heuer selber nicht habe schützen können, so Darmann.

(APA)