Innenminister Gerhard Karner (ÖVP)
Laut Innenminister Gerhard Karner (ÖVP) soll das Gesetz so praxistauglich wie möglich werden.
APA/HELMUT FOHRINGER

Ab Oktober gelten in der EU neue Vorgaben für mehr Cybersicherheit in Firmen ab 50 Mitarbeitern aus bestimmten Sektoren. Im Rahmen der Cybersicherheitsrichtlinie "NIS 2" haben aber auch öffentliche Einrichtungen IT-Sicherheitsmaßnahmen vorzunehmen und müssen Vorfälle in der IT-Sicherheit melden. Das nötige heimische Gesetz soll für die tausenden betroffenen Firmen so praxistauglich wie möglich werden.

Cyberattacken als mögliche Existenzbedrohung

Das versprach Innenminister Gerhard Karner (ÖVP) am Mittwoch nach einem Arbeitsgespräch mit IV-Chef Georg Knill. Der Politiker und Unternehmensvertreter betonten danach vor Journalistinnen und Journalisten die großen Chancen, die die Digitalisierung biete. Doch mit deren Fortschreiten wachsen natürlich auch die Gefahren. Karner erinnerte etwa an den Cyberangriff aufs Bundesland Kärnten im Sommer 2022, der die öffentliche Verwaltung für Wochen störte und zum Teil zum Erliegen kommen ließ. "Jeder kann getroffen werden."

"Es geht auch um Rechtssicherheit", sagte der Präsident der Industriellenvereinigung (IV), Knill. Er zitierte aus einer Umfrage, wonach viele Unternehmen in Cyberattacken eine mögliche Existenzbedrohung sehen. "Wichtig für uns Unternehmen ist es, dass es kein 'Gold Plating' gibt", betonte der Firmenvertreter zur Umsetzung von "NIS 2". "Gold Plating" meint eine Übererfüllung von Vorgaben der EU, die Betroffenen das Leben schwerer macht.

Im Rahmen der heimischen Umsetzung der EU-Richtlinie sollen die Unternehmen von Beginn an eingebunden und so eine Übererfüllung von EU-Vorgaben vermieden aber eine Standardisierung im Schutz vor Cyberkriminalität hergestellt werden. Die Homepage nis.gv.at solle Firmen dienen, die sich informieren und schauen wollen, ob sie betroffen sind. Ab Februar oder März wolle man mit dem Gesetz "in eine vertiefende Begutachtung unter Einbindung aller Stakeholder" gehen, kündigte Karner an. Sowohl online wie auch offline wolle man Anregungen und Änderungsvorschläge von Firmen einholen.

"Wir wollen die Widerstandsfähigkeit im Cyberbereich erhöhen, die Reaktionsfähigkeit verkürzen und verpflichtende einheitliche Standards für Sicherheitsvorkehrungen festlegen", erläuterte der Innenminister. Es werde auch eine Servicestelle für potenziell betroffene Unternehmen im Innenministerium eingerichtet. Die Umsetzung werde mit einzelnen Firmen unterschiedlichster Größen in Planspielen getestet werden.

3000 bis 4000 Unternehmen betroffen

Bisher ist nicht so recht klar, wie viele Firmen von "NIS 2" tatsächlich betroffen sein werden. Beim Pressegespräch war von 3.000 bis 4.000 die Rede. Die Liste betroffener Sektoren und Subsektoren - jeweils aufgeteilt hochkritische und kritische Bereiche - von der EU ist jedenfalls eine lange und der Produktions- und beispielsweise auch der Forschungssektor sind umfasst, nicht "nur" etwa der Energiesektor mit all seinen Bereichen oder Öffentliches wie die Wasserversorgung. Von "NIS 1" sind aktuell nur rund 100 Unternehmen erfasst. Zusammengearbeitet wird auch mit der Wirtschaftskammer (WKÖ). Dort können sich Firmen derzeit etwa unter diesem Link informieren. (APA, 13.12.2023)