Das Cybersicherheitsgesetz lässt auf sich warten. Obwohl das Gesetz bereits von der Vorgängerregierung angekündigt wurde – die damalige Staatssekretärin Muna Duzdar (SPÖ) sprach etwa von einer Begutachtung in der zweiten Jahreshälfte 2017 –, fehlt momentan zumindest im parlamentarischen Prozess jede Spur von einem neuen Gesetzestext. Damit verpasst Österreich die Frist, die in der EU-Richtlinie zur Sicherheit bei Netz- und Informationssystemen gesetzt worden ist. Diese sieht vor, dass "die Mitgliedsstaaten bis 9. Mai 2018 die Rechts- und Verwaltungsvorschriften erlassen und veröffentlichen", die zum Erfüllen der Richtlinie erforderlich sind.

Nicht nur Österreich säumig

Die österreichische Regierung ist damit aber nicht allein. Erst sechs EU-Mitgliedsstaaten haben entsprechende Gesetze voll umgesetzt, zwei teilweise. Der Rest hat noch keine nationalen Regelungen geschaffen. Dabei gilt die Umsetzung als wichtiger Teil der Europäischen Sicherheitsstrategie. So heißt es in der Richtlinie, dass Sicherheitsvorfälle "wirtschaftliche Tätigkeiten beeinträchtigen, beträchtliche finanzielle Verluste verursachen und der Wirtschaft der Union großen Schaden zufügen" können.

Mehr Informationsaustausch

Daher will die EU unionsweit einheitliche Regeln und mehr Informationsaustausch schaffen. Betreiber von kritischer Infrastruktur, also etwa im Energie- oder Bankensektor, sollen Sicherheitsvorfälle künftig verpflichtend melden, andernfalls drohen Sanktionen. Außerdem sollen nationale Strategien für mehr Sicherheit sowie Computer-Notfallteams geschaffen werden.

"Sparen im System"

Wie geht es nun in Österreich weiter? Ein Regierungssprecher sagt, "dass aufgrund der Komplexität des Themas einige EU-Mitgliedsstaaten mehr Zeit bei der Umsetzung in Anspruch nehmen". Momentan werkt eine Arbeitsgruppe, ein "praxistaugliches Gesetz" habe Priorität. "Auch hier wird im System und nicht bei den Menschen gespart", heißt es auf Anfrage des STANDARD.

Ein erster Entwurf soll bereits fertiggestellt worden sein, heißt es aus der IT-Branche. Vermutlich dürfte das Gesetz bis zum Sommer präsentiert werden. Schon bei der Umsetzung der EU-Datenschutzgrundverordnung war es in letzter Minute zu Gesetzesänderungen gekommen, dieses Mal verstrich die Frist. Im Gegensatz zur Datenschutzgrundverordnung gehen die EU-Regeln aber nicht in nationales Recht über, da es sich nicht um eine Verordnung, sondern um eine Richtlinie handelt.

Heftige Kritik gibt es von der Opposition. Stephanie Cox von der Liste Pilz will "alles daransetzen", dass das Cybersicherheitsgesetz "nicht so ausgehöhlt wird wie zuletzt die Datenschutzgrundverordnung". Die Neos bemängeln, dass "die Bundesregierung nie ein Cybersicherheitsgesetz in Begutachtung geschickt hat, obwohl sie es seit Jahren angekündigt hat. Das ist eine Zumutung gegenüber dem Parlament und den Bürgerinnen und Bürgern." Es sei "vollkommen unverständlich, warum sich Österreich hier in eine durchaus gefährliche Säumigkeit begibt. Hier geht es immerhin um den Schutz der Strom- oder Trinkwasserversorgung, des Flug- und Straßenverkehrs oder auch der Gesundheitsversorgung." (Fabian Schmid, 10.5.2018)