Der Entwurf des Netz- und Informationssicherheitsgesetzes hat im Innenausschuss des Nationalrats die Unterstützung der Regierungsparteien und der Grünen erhalten. Damit ist die erforderliche Zweidrittelmehrheit für die Abstimmung im Plenum in der nächsten Woche gesichert.

Bei dem Cybersicherheitsgesetz besteht Zeitdruck, da Österreich bereits mit einem Vertragsverletzungsverfahren konfrontiert ist, weil die Umsetzung der EU-Richtlinie (NIS-2) zur Verbesserung der IT-Sicherheit verzögert wurde. Diese Richtlinie hätte bis Oktober 2024 umgesetzt werden müssen, jedoch konnte ein Gesetzesentwurf der türkis-grünen Regierung nicht verabschiedet werden, da die erforderliche Zweidrittelmehrheit fehlte. FPÖ, SPÖ und NEOS hatten ihre Zustimmung verweigert.

Bundesamt für Cybersicherheit in Cybersicherheitsgesetz geplant

Das Gesetz soll einheitliche und verbindliche Regelungen schaffen, um hohe Sicherheitsstandards zu gewährleisten. Vorgesehen ist die Einrichtung eines Bundesamts für Cybersicherheit als zentrale Anlaufstelle für alle Cybersicherheits-Angelegenheiten im Bereich des Innenministeriums. Eine oder mehrere nationale Computer-Notfallteams sollen die betroffenen Einrichtungen im Fall eines Cyberangriffs unterstützen.

Die Novelle richtet sich an Behörden, aber auch an Unternehmen und Einrichtungen, die der kritischen Infrastruktur zuzurechnen sind, etwa Energieversorger und Lebensmittelhandel. Diesen werden umfassende Vorgaben für Sicherheitsmaßnahmen auferlegt. Im Fall von Verstößen sind Geldbußen von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes vorgesehen, für wichtige Einrichtungen bis zu 7 Mio. Euro bzw. 1,4 Prozent.

Das neue Gesetz orientiert sich weitestgehend an dem Gesetzesvorschlag von 2024, sieht jedoch Adaptierungen etwa bei den Berichtspflichten, den Übergangsfristen und der institutionellen Ausgestaltung der Cybersicherheitsbehörde vor. Damit argumentieren SPÖ und NEOS auch ihre nunmehrige Zustimmung. Damit werde der Spagat zwischen Sicherheit und Datenschutz geschafft, so SPÖ-Sicherheitssprecher Maximilian Köllner nach dem Ausschuss vor Medienvertretern. Es habe weitreichende Änderungen zum Entwurf der Vorgängerregierung gegeben, auch dank der Einbindung der relevanten Stakeholder, betonte NEOS-Sicherheitssprecher Douglas Hoyos in einer Stellungnahme. Kernpunkt der Änderungen sei, dass nun nicht mehr der Innenminister die NIS-Behörde sei sondern eine eigene von einem Direktor geleitete Behörde. Weisungen des Innenministers an den Direktor müssten in einem Weisungsbericht veröffentlicht werden. “Damit wird die notwendige Transparenz und Unabhängigkeit gewährleistet”, so Hoyos.

Grüne kritisieren späte Umsetzung von Cybersicherheitsgesetz

Es sei ein Armutszeugnis, dass das Gesetz erst jetzt beschlossen werde, kritisierte dagegen der netzpolitische Sprecher der Grünen, Süleyman Zorba, und verwies auf die Gefahren aus dem Cyberraum nicht zuletzt durch Russland. Mit dem neuen Gesetz werde man ein höheres Sicherheitsniveau sicherstellen, betonte ÖVP-Sicherheitssprecher Ernst Gödl. Ein viel weiterer Kreis von betroffenen Unternehmen als im bisherigen NIS-Gesetz müsse nun sicherstellen, dass ihre Systeme für Cyberangriffe gewappnet seien.

Klare Ablehnung kam dagegen von der FPÖ, die von einem “Kosten-Tsunami und totaler Kontrolle durch den Staat” warnte. Rund 4.000 heimische Unternehmen würden mit absurden neuen Pflichten überzogen, kritisierte Sicherheitssprecher Gernot Darmann. Einen unauflöslichen Interessenskonflikt sehen die Freiheitlichen wie Datenschützer in der Ansiedlung der Cybersicherheitsbehörde im Innenministerium, das genau auf Sicherheitslücken für die Messengerüberwachung angewiesen sei.

(APA/Red)