Zum Menü springen Zum Inhalt springen Zum Footer springen Suchen Seite downloaden Seite teilen
Vorhaben

"Netz- und Informationssystemsicherheitsgesetz (NISG): Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen"

Recht und Sicherheit Energie, Infrastruktur und Mobilität Gesundheit Institutionen und öffentlicher Sektor Bundeskanzleramt UG 10 - Bundeskanzleramt
2022
Vorhaben überwiegend erreicht

Finanzjahr: 2018

Inkrafttreten / Wirksamwerden: 2019

Nettoergebnis in Tsd. €: -2.411

Vorhabensart: Bundesgesetz

Beitrag zu Wirkungszielen

Um die Verlinkung zwischen Wirkungsorientierter Steuerung und Wirkungsorientierter Folgenabschätzung darzustellen, wird angegeben, ob das Regelungs- beziehungsweise sonstige Vorhaben den Wirkungszielen eines Ressorts förderlich ist.

Das Bundeskanzleramt als inhaltlicher Impulsgeber, Koordinator und Brückenbauer. Angestrebte Wirkung: hoher Nutzen der Koordinationsleistungen des Bundeskanzleramts im Rahmen der Regierungs- und Europapolitik

Ausbau des hohen Niveaus der öffentlichen Ruhe, Ordnung und Sicherheit in Österreich, insbesondere durch bedarfsorientierte polizeiliche Präsenz, Verkehrsüberwachung, Schutz kritischer Infrastrukturen und sinnvolle internationale Kooperation

Beitrag zu Globalbudget-Maßnahmen

Um die Verlinkung zwischen Wirkungsorientierter Steuerung und Wirkungsorientierter Folgenabschätzung darzustellen, wird angegeben, ob das Regelungs- beziehungsweise sonstige Vorhaben den Maßnahmen eines Ressorts förderlich ist.

Einrichtung der Behörde für strategische Netz- und Informationssystem-Sicherheit (NIS)

Stärkung der Cyber-Sicherheit und des Schutzes kritischer Infrastrukturen

Problemdefinition

Netz- und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der heutigen Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es daher von entscheidender Bedeutung, dass sie verlässlich und sicher sind. Mit diesem Bundesgesetz werden daher Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen der in den Anwendungsbereich fallenden Einrichtungen erreicht werden soll.
Mit der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (im Folgenden: NIS-RL), die am 8. August 2016 in Kraft getreten ist, soll dies auch EU-weit erreicht werden. Vor diesem Hintergrund sollen die Mitgliedstaaten eine nationale NIS-Strategie zur Bestimmung der Ziele und der damit verbundenen Regulierungsmaßnahmen erarbeiten, nationale (strategische und operative) Behörden und Computer-Notfallteams benennen und bestimmte, für das Gemeinwohl wichtige private und öffentliche Anbieter (Betreiber wesentlicher Dienste und digitale Diensteanbieter) zu angemessenen Sicherheitsmaßnahmen und Meldung erheblicher Störfälle verpflichten. Die von der NIS-RL vorgesehenen Maßnahmen zielen darauf ab, die Zusammenarbeit zwischen den Mitgliedstaaten in strategischer und operationeller Hinsicht zu stärken.
Betreiber eines wesentlichen Dienstes stellen einen Dienst der in Anhang II der NIS-RL genannten und im Folgenden aufgelisteten Sektoren zur Verfügung: Energie (Elektrizität, Erdöl, Erdgas), Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr), Bankwesen (Kreditinstitute), Finanzmarktinfrastrukturen (Betreiber von Handelsplätzen, zentrale Gegenparteien), Gesundheitswesen (Einrichtungen der medizinischen Versorgung, einschließlich Krankenhäuser und Privatkliniken), Trinkwasserlieferung und -versorgung (Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“), Digitale Infrastruktur (Internet Exchange Points, DNS-Diensteanbieter, TLD-Name-Register). Ferner sollen Einrichtungen des Bundes und der Länder im Rahmen der österreichischen Umsetzung berücksichtigt werden.
Digitale Diensteanbieter sind – ab einer gewissen Größe – sämtliche Anbieter eines Online-Marktplatzes, einer Online-Suchmaschine oder eines Cloud-Computing Dienstes.
Mit dem vorliegenden Gesetzesvorhaben wird die NIS-RL umgesetzt und darüber hinaus ein Regelwerk zu den in Österreich bereits seit vielen Jahren bestehenden Koordinationsstrukturen im Bereich der Sicherheit von Netz- und Informationssystemen geschaffen.

+ mehr lesen

Erläuterung des Zusammenhangs zwischen dem Vorhaben und mittel- und langfristigen Strategien des Ressorts/ obersten Organs bzw. der Bundesregierung

Das NISG setzt die RL (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union („NIS-RL“) um. Diese war die wichtigste Maßnahme der Cybersicherheitsstrategie der EU aus dem Jahr 2013 und der erste horizontale Unionsrechtsakt über Cybersicherheit. Am 16. Dezember 2020 stellte die EU-Kommission ein neues Cybersicherheitspaket vor, zu dessen Inhalt unter anderem eine neue EU-Cybersicherheitsstrategie zählt. Diese wurde in Form einer gemeinsamen Mitteilung der EK und des Hohen Vertreters der EU veröffentlicht und soll die Cybersicherheitsstrategie 2013 mit einem neuen strategischen Referenzrahmen für Cybersicherheit auf EU-Ebene ablösen. Die EU-Cybersicherheitsstrategie 2020 zielt darauf ab, das digitale Leben der Menschen in Europa sicher zu gestalten. Sichere und vertrauenswürdige digitale Instrumente sind für Wirtschaft, Demokratie und Gesellschaft gleichermaßen wichtig. Daher wurden folgende Vorschläge erarbeitet: 1) Steigerung der Resilienz von kritischer Infrastruktur und vernetzten Dingen; 2) Aus- und Aufbau von operativen Kapazitäten zur Vorbeugung, Abschreckung und Reaktion auf Cyberangriffe; 3) Zusammenarbeit mit internationalen Partnern für einen globalen, offenen, stabilen und sicheren Cyberraum, in welchem Völkerrecht, Menschenrechte, Grundfreiheiten und demokratische Werte gelten.
Am 16. Dezember 2020 wurde als Teil des Cybersicherheitspaket neben der neuen EU-Cybersicherheitsstrategie auch der Vorschlag für einer neuen Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (NIS-2-Richtlinie, kurz „NIS-2-RL“). Die NIS-2-RL soll die NIS-RL aus dem Jahr 2016 ersetzen und substantiell verbessern. Die verfolgten Ziele sind grundsätzlich dieselben und werden fortgeschrieben. Konkret sollen die Cybersicherheitskapazitäten in der EU verbessert werden, eine intensivere Zusammenarbeit zwischen den Mitgliedstaaten stattfinden sowie eine Verbesserung der Cyberresilienz öffentlicher und privater Einrichtungen erreicht werden. Insgesamt soll das Cybersicherheitsniveau in der EU weiter erhöht werden. Dieses hohe gemeinsame Niveau an Cybersicherheit innerhalb der EU wird durch folgende Maßnahmen gefördert:
1) Die Mitgliedstaaten haben nationale Cybersicherheitsstrategien zu verabschieden sowie zuständige Behörden, zentrale Anlaufstellen und CSIRTs (Computer Security Incident Response Teams in Europe) zu benennen.
2) Die Cyberresilienz von Unternehmen soll gestärkt werden und alle relevanten Sektoren umfassen. Alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, sollen als sogenannte wesentliche und wichtige Einrichtungen verpflichtet werden, angemessene Cybersicherheitsmaßnahmen zu ergreifen (insbesondere durch die Einrichtung eines Cybersicherheitsrisikomanagements sowie durch die Meldepflicht von Sicherheitsvorfällen).
3) Bei den Sektoren im Binnenmarkt, die bereits unter die Richtlinie fallen, sollen resillienzsteigernde Maßnahmen gefördert werden. Dies wird durch die stetige Angleichung des De-facto-Anwendungsbereichs, der Sicherheitsanforderungen und Meldepflichten bei IT-Sicherheitsvorfällen, der Bestimmungen für die nationale Aufsicht und Durchsetzung sowie der Kapazitäten der zuständigen Behörden in den Mitgliedstaaten erreicht.
4) Die gemeinsame Lageerfassung sowie die kollektive Vorsorge und Reaktionsfähigkeit soll verbessert werden, indem Maßnahmen zur Stärkung des Vertrauens zwischen den zuständigen Behörden gesetzt und der Informationsaustausch gestärkt wird.
5) Darüber hinaus werden Regeln und Verfahren für den Fall großflächiger Sicherheitsvorfälle oder Krisen festgelegt (Cybersicherheitskrisenmanagement): Die NIS-2-RL2 enthält erstmals die Pflicht zur Festlegung eines nationalen Rahmens für das Cybersicherheitskrisenmanagement und sieht die Einrichtung eines europäischen Netzwerks der Verbindungsorganisationen für Cyberkrisen (European Cyber Crises Liaison Organisation Network [EU-CyCLONe]) vor. Dieses soll die koordinierte Bewältigung großer Cybersicherheitsvorfälle und -krisen unterstützen und den regelmäßigen Informationsaustausch zwischen Mitgliedstaaten und EU-Organen gewährleisten. Die NIS-2-RL wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht (http://data.europa.eu/eli/dir/2022/2555/oj) und ist am 16. Jänner 2023 in Kraft getreten. Sie ist anschließend innerhalb von 21 Monaten national umzusetzen.

+ mehr lesen

Ziele des Vorhabens

Durch die Angabe von konkreten, nachvollziehbaren Zielen pro Vorhaben wird transparent dargestellt, welchen Zweck der staatliche Eingriff verfolgt.

Ziel 1: Schaffung der Voraussetzungen für die Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen

Kennzahlen und Meilensteine des Ziels

Meilenstein 1: Schaffung von Sicherheitsvorkehrungen

Ausgangszustand 2018:

Betreiber wesentlicher Dienste, Anbieter digitaler Dienste sowie Einrichtungen des Bundes und der Länder sind nicht dazu verpflichtet, Sicherheitsvorkehrungen im Bereich der Netz- und Informationssysteme zu treffen oder durch mangelnde Sicherheitsvorkehrungen verursachte Sicherheitsvorfälle zu melden. Dies kann unter Umständen zu Versorgungsengpässen führen und die öffentliche Sicherheit sowie die Funktionsfähigkeit staatlicher Einrichtungen gefährden.

Zielzustand 2022:

Betreiber wesentlicher Dienste, Anbieter digitaler Dienste und Einrichtungen des Bundes und der Länder treffen organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Netz- und Informationssysteme. Bei Vorliegen eines Sicherheitsvorfalls erstatten die genannten Einrichtungen unverzüglich Meldung an das jeweils zuständige Computer-Notfallteam, welches die Meldungen an die Behörden weiterleitet.

Istzustand 2022:

Betreiber wesentlicher Dienste treffen organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Netz- und Informationssysteme. Bei Vorliegen eines Sicherheitsvorfalls erstatten die genannten Einrichtungen unverzüglich Meldung an das jeweils zuständige Computer-Notfallteam, welches die Meldungen an die Behörden weiterleitet. Das Aufsichtssystem über die Anbieter digitaler Dienste hat gemäß der RL (EU) 2016/1148 ex-post ausgestaltet zu sein. Infolgedessen ist es nicht möglich zu beurteilen, ob das NISG zu einer Erhöhung der Netz- und Informationssystemsicherheit der Anbieter digitaler Dienste geführt hat. Die Länder haben keine Regelungen auf landesgesetzlicher Ebene getroffen, um die Pflichten zu Sicherheitsvorkehrungen bei wichtigen Diensten und zur Meldung von Sicherheitsvorfällen entsprechend den öffentlichen Einrichtungen des Bundes zu übernehmen. Infolgedessen konnte das NISG keine rechtlichen Wirkungen zur Erhöhung der Netz- und Informationssystemsicherheit auf Landesebene entfalten. Die Netz- und Informationssystemsicherheit der Einrichtungen des Bundes kann nicht zentral beurteilt werden, da eine vergleichbare Überprüfungs- und Nachweispflicht wie bei den Betreibern wesentlicher Dienste nicht vorgesehen ist. Der Mangel an konkreten und vorgegebenen Meldeschwellenwerten macht eine gemeinsame Lageerfassung bei Vorfällen, die mehrere Einrichtungen des Bundes betreffen, herausfordernd.

Datenquelle:
Verpflichtung durch Erlass der rechtlichen Grundlagen geschaffen.

Zielerreichungsgrad des Meilensteins:

überwiegend erreicht

Meilenstein 2: Schaffung neuer Koordinierungsstrukturen

Ausgangszustand 2018:

Um angemessen auf Sicherheitsvorfälle im Bereich der Netz- und Informationssystemsicherheit zu reagieren, bestehen derzeit keine gesetzlich festgelegten Organisations- und Koordinierungsstrukturen.

Zielzustand 2022:

Neue Koordinierungsstrukturen schaffen einen geeigneten Rahmen um angemessen auf Sicherheitsvorfälle zu reagieren. Dabei werden Meldungen über Sicherheitsvorfälle und aktuelle Bedrohungslagen gesamtstaatlich analysiert und regelmäßig Lagebilder erstellt. Ein nationales Computer-Notfallteam unterstützt die Betreiber wesentlicher Dienste sowie die Anbieter digitaler Dienste bei der Prävention, Erkennung, Reaktion und Folgenminderung von Sicherheitsvorfällen im Bereich von Netz- und Informationssystemen. Sektorenspezifische Computer-Notfallteams sind eingerichtet.

Istzustand 2022:

Gesetzlich festgelegte Organisations- und Koordinierungsstrukturen sowie Computer-Notfallteams wurden eingerichtet.

Datenquelle:
Gesetzesgrundlage

Zielerreichungsgrad des Meilensteins:

zur Gänze erreicht

Zugeordnete Ziel-Maßnahmen

Die Maßnahmen stellen die konkreten, geplanten Handlungen der öffentlichen Verwaltung dar. Die Ziele des Vorhabens sollen durch diese Tätigkeiten erreicht werden. Durch die Darstellung der Maßnahmen wird das „Wie“ der Zielerreichung transparent gemacht.

Weiterentwicklung und Koordination einer neuen Strategie für die Sicherheit von Netz- und Informationssysteme

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Die Österreichische Strategie für Cyber Sicherheit (ÖSCS) aus dem Jahr 2013 ist ein umfassendes und proaktives Konzept zum Schutz des Cyber Raums und der Menschen im virtuellen Raum unter Gewährleistung ihrer Menschenrechte. Die Vorgaben aus der NIS-RL und aktuelle Entwicklungen im Bereich Cyber Sicherheit sind nicht berücksichtigt. Auf Basis der ÖSCS wird diese Strategie vor dem Hintergrund der in der NIS-RL genannten Aspekte weiterentwickelt und koordiniert. Die neue Strategie zur Sicherheit für Netz- und Informationssysteme in Österreich soll daher neben den Vorgaben aus der NIS-RL auch aktuelle Entwicklungen und Bedrohungsszenarien berücksichtigt.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Einrichtung von nationalen Koordinierungsstrukturen zur Prävention sowie zur Bewältigung von Sicherheitsvorfällen

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Auf Basis sowie unter Einbindung bestehender operativer Strukturen wird eine neue Struktur zur Koordination auf der operativen Ebene (OpKoord) geschaffen. Diese Koordinierungsstruktur besteht aus einem sogenannten „Inneren Kreis“ und einem „Äußeren Kreis“. Die Arbeiten im Rahmen der OpKoord werden unter Einbindung der Ressorts und operativer Strukturen aus Wirtschaft und Forschung vom Bundesminister für Inneres koordiniert.

In ihrem Rahmen sollen insbesondere ein periodisches und anlassbezogenes Lagebild erstellt, erörtert und aktualisiert sowie über zu treffende Maßnahmen auf der operativen Ebene beraten werden. Darüber hinaus soll durch Sammeln, Bündeln, Auswerten und Weitergeben von relevanten Informationen ein kontinuierlicher Überblick über die aktuelle Situation im Bereich der NIS gewährleistet sein. Dabei ist auch die Wirtschaft in geeigneter Form einzubinden und zu informieren. Der permanent und gemeinsam erarbeitete Status zur Situation im Bereich der NIS soll allen Beteiligten als Grundlage für zu treffende planerische, präventive und reaktive Maßnahmen dienen.

Zur Wahrnehmung strategischer Aufgaben im Zusammenhang mit dem Gesetzesvorhaben richtet der Bundeskanzler Organisationseinheiten ein. Der Bundesminister für Inneres wird die operativen Aufgaben wahrnehmen und richtet dazu ebenfalls Organisationseinheiten ein.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Einrichtung von Computer-Notfallteams zur Unterstützung der Betreiber wesentlicher Dienste bei der Bewältigung von Risiken und Sicherheitsvorfällen

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Zur Unterstützung der Betreiber wesentlicher Dienste, Anbieter digitaler Dienste und Einrichtungen des Bundes und der Länder bei der Bewältigung von Risiken, Vorfällen und Sicherheitsvorfällen im Bereich der Netz- und Informationssystemsicherheit sollen sog. Computer-Notfallteams eingerichtet werden. Die Computer-Notfallteams gelten als erste Anlaufstelle für alle in den Anwendungsbereich des vorliegenden Gesetzentwurfs fallenden Einrichtungen.

Betreiber wesentlicher Dienste können je ein sektorenspezifisches Computer-Notfallteam einrichten, um das für den jeweiligen Sektor erforderliche Fachwissen abzudecken. Wurde noch kein sektorenspezifisches Computer-Notfallteam eingerichtet, fallen die im vorliegenden Gesetzentwurf umschriebenen Aufgaben von Computer-Notfallteams dem nationalen Computer-Notfallteam zu. Das nationale Computer-Notfallteam soll – in Ermangelung eines sektorenspezifischen Computer- Notfallteams – für alle Betreiber wesentlicher Dienste und Anbieter digitaler Dienste zuständig sein und jene Aufgaben sektorenübergreifend erfüllen, die einem Computer-Notfallteam nach dem vorliegenden Gesetzentwurf zukommen.

Für die Einrichtungen des Bundes und der Länder erfüllt das GovCERT die Aufgaben eines Computer- Notfallteams. Das beim Bundeskanzler eingerichtete GovCERT ist daher das sektorenspezifische Computer-Notfallteam für den öffentlichen Bereich.

Zu den Hauptaufgaben der Computer-Notfallteams zählen die Entgegennahme von Meldungen über Sicherheitsvorfälle oder Störungen und deren Weiterleitung an den Bundesminister für Inneres.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Ermittlung der Betreiber wesentlicher Dienste

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Der Bundeskanzler ermittelt im Einvernehmen mit dem Bundesminister für Inneres jene Einrichtungen, die einen wesentlichen Dienst im Sinne von § 14 Abs. 2 des vorliegenden Gesetzentwurfs erbringen.

Mit Verordnung werden die Faktoren, die zur Ermittlung der Betreiber wesentlicher Dienste herangezogen werden sollen, näher konkretisiert. In dieser Verordnung werden insbesondere die Schwellenwerte bestimmt, die für die Beurteilung der Wesentlichkeit eines betriebenen Dienstes heranzuziehen sind.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Pflicht zur Setzung geeigneter Sicherheitsvorkehrungen; Informations- und Meldepflichten

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Betreiber wesentlicher Dienste, Anbieter digitaler Dienste sowie Einrichtungen des Bundes und der Länder haben geeignete und dem Stand der Technik entsprechende Sicherheitsvorkehrungen zu treffen. Diese können sowohl technischer als auch organisatorischer Art sein und sollen Störfälle im Bereich der Netz- und Informationssysteme vermeiden, die unter Umständen einen Sicherheitsvorfall herbeiführen können.

Die Einhaltung der Sicherheitsvorkehrungen wird periodisch überprüft, indem die Betreiber wesentlicher Dienste den Bundesminister für Inneres die Erfüllung der Anforderungen in geeigneter Weise informieren. Anbieter digitaler Dienste haben einen solchen Nachweis nur im Anlassfall zu erbringen.

Darüber hinaus haben Betreiber wesentlicher Dienste, Anbieter digitaler Dienste sowie die Einrichtungen des Bundes und der Länder Sicherheitsvorfälle unverzüglich an das für sie jeweils zuständige Computer- Notfallteam zu melden.

Zielerreichungsgrad der Ziel-Maßnahme:

überwiegend erreicht

Einrichtung und Betrieb einer Meldesammelstelle und einer zentralen Anlaufstelle

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Die Meldestruktur von Sicherheitsvorfällen und Störungen nach dem NIS-Gesetz sieht vor, dass die Meldungen, die an das zuständige Computer-Notfallteam gegangen sind, an die beim Bundesminister für Inneres eingerichtete Organisationseinheit weitergeleitet werden sollen. Um die Meldungen zentralisiert zu erfassen und entsprechend zu verarbeiten, bedarf es einer Meldesammelstelle.

Zudem hat jeder Mitgliedstaat gemäß Art. 8 Abs. 3 NIS-RL eine für die Sicherheit von Netz- und Informationssystemen zuständige nationale zentrale Anlaufstelle zu benennen. Diese zentrale Anlaufstelle (Single Point Of Contact, SPOC) dient insbesondere als Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit der Behörden der Mitgliedstaaten und der Zusammenarbeit mit den entsprechenden Behörden in anderen Mitgliedstaaten.

Sowohl die Meldesammelstelle, als auch die zentrale Anlaufstelle werden beim Bundesamt für Verfassungsschutz und Terrorismusbekämpfung eingerichtet und deren Betrieb in weiterer Folge durch Dienstplan und Rufbereitschaften rund um die Uhr sichergestellt.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Betrieb und Nutzung von IKT-Lösungen

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Der Betrieb und Nutzung von IKT-Lösungen betrifft einerseits die jeweilige Einrichtung eines IOCbasierten Frühwarnsystems durch den Bundesminister für Inneres, andererseits die Verwendung von Honeypots, Honeypot-ähnlichen-Ansätzen sowie Sinkholes durch den Bundesminister für Inneres und das GovCERT. Die IKT-Lösungen dienen einerseits dazu, Cyberangriffe zu vermeiden bzw. deren Auswirkungen so gering wie möglich zu halten, und andererseits Muster und Vorgehensweisen bei
Cyberangriffen zu analysieren.

Zielerreichungsgrad der Ziel-Maßnahme:

teilweise erreicht

Finanzielle Auswirkungen des Bundes (Kalkulation)

Finanzielle Auswirkungen stellen die aufgrund des Regelungs- oder sonstigen Vorhabens anfallenden, monetär zum Ausdruck gebrachten, Auswirkungen dar.

In der folgenden Darstellung sehen Sie auf der rechten Seite die geplanten (Plan) und auf der linken Sie die tatsächlichen angefallenen Kosten (Ergebnis). Unter „Details“ finden Sie eine detaillierte Aufschlüsselung der finanziellen Auswirkungen. Mithilfe der Steuerungsleiste können Sie zwischen den Jahren wechseln beziehungsweise sich die Gesamtzahlen über alle Jahre hinweg ansehen.

Gesamt 2019 - 2022
2019
2020
2021
2022

Aufwände und Erträge – Nettoergebnis

Ergebnis

-2.411

Tsd. Euro

Plan

-22.721

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

1.700

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

8.604

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

2.411

Tsd. Euro

Plan

12.417

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

2.411

Tsd. Euro

Plan

22.721

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

-127

Tsd. Euro

Plan

-5.044

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

200

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

2.376

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

127

Tsd. Euro

Plan

2.468

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

127

Tsd. Euro

Plan

5.044

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

-573

Tsd. Euro

Plan

-5.524

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

250

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

2.023

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

573

Tsd. Euro

Plan

3.251

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

573

Tsd. Euro

Plan

5.524

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

-688

Tsd. Euro

Plan

-5.832

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

450

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

2.066

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

688

Tsd. Euro

Plan

3.316

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

688

Tsd. Euro

Plan

5.832

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Beschreibung der finanziellen Auswirkungen

Im Vergleich zu den in der WFA ersichtlichen geplanten Personalaufwänden fielen die tatsächlichen Personalaufwände wie folgt aus (in Tausend €):
2019: Personalaufwand 127 (davon 127 im BKA)
2020: Personalaufwand 573 (davon 129 im BKA)
2021: Personalaufwand 688 (davon 131 im BKA)
2022: Personalaufwand 1023 (davon 134 im BKA)
In Bezug auf den Personalaufwand, ist die Plan-Ist-Abweichung darauf zurückzuführen, dass die ursprünglich vorgesehenen Planstellen des BKA nicht besetzt werden konnten.
In Bezug auf die Sachaufwände (betrieblicher Sachaufwand und Werkleistungen) waren in der WFA Aufwendungen im BMI für den Aufbau und den Betrieb von IKT-Lösungen zur Vorbeugung von Sicherheitsvorfällen (§ 13 NISG), wie in der WFA ersichtlich, vorgesehen. Der angestrebte Betrieb der IKT-Lösungen zur Vorbeugung von Sicherheitsvorfällen konnte zum Zeitpunkt der Evaluierung jedoch noch nicht in Betrieb genommen werden. Zusätzlich wird darauf hingewiesen, dass in den Jahren 2020 bis 2022 folgende Investitionen (in Tsd. €) angefallen sind: 2020 – 1.841 2021 – 4.581 2022 – 1.278.

In der Evaluierung behandelte Wirkungsdimensionen

Verwaltungskosten für Unternehmen
Gesamtwirtschaft
Kinder und Jugend
Konsumentenschutzpolitik
Soziales
Tatsächliche Gleichstellung von Frauen und Männern
Umwelt
Unternehmen
Verwaltungskosten für Bürger:innen
Verwaltungskosten für Unternehmen

Zu diesem Zeitpunkt liegen keine Informationen vor, die eine Beurteilung der tatsächlich eingetretenen Verwaltungskosten für Unternehmen ermöglichen. Im Bericht „NIS Investments 2022“ der Agentur der Europäischen Union für Cybersicherheit (ENISA) wurden jedoch Daten darüber gesammelt, wie die in der RL (EU) 2016/1148 genannten Betreiber wesentlicher Dienste und Anbieter digitaler Dienste ihre Cybersicherheitsbudgets investieren und wie diese Investitionen durch die RL (EU) 2016/1148 beeinflusst wurden. Der Bericht ist abrufbar unter: https://www.enisa.europa.eu/publications/nis-investments-2022

Gesamtbeurteilung

Das NISG ist ein wesentlicher Faktor zur Erhöhung des Cybersicherheitsniveaus in Österreich und stellt somit einen Erfolg dar. Mit dem NISG wurde erstmals in Österreich ein eigenes Gesetz zur Regulierung der Sicherheit von Netz- und Informationssystemen erlassen. Ferner wurden erstmals zuständige Behörden und Computer-Notfallteams formell eingerichtet und mit dezidierten Aufgaben und Befugnissen ausgestattet. Des Weiteren wurden die Strukturen, insbesondere im operativen Bereich, verrechtlicht und damit solide Grundlagen zur Kooperation und Bewältigung von Cybervorfällen geschaffen. Dies hat sich im Besonderen bei der grundsätzlich erfolgreichen Bewältigung des Cyber-Angriffs auf das Bundesministerium für europäische und internationale Angelegenheiten der Republik Österreich (BMEIA) Anfang 2020 gezeigt.
Von entschiedenem Erfolg war auch die Ermittlung der Betreiber wesentlicher Dienste, weil auf diese Weise erstmals in rechtlich verbindlicher Weise für die Daseinsvorsorge relevante kritische Infrastrukturen identifiziert wurden, die aufgrund einer Risikobewertung Sicherheitsvorkehrungen implementieren müssen, wodurch die Cyber-Resilienz Österreichs maßgeblich gesteigert werden konnte. Das Aufsichtssystem, welches auf Überprüfungen durch unabhängige Dritte („qualifizierte Stellen“) beruht, stellt ein wirkungsvolles Mittel zur Erhöhung der Netz- und Informationssystemsicherheit bei den Betreibern wesentlicher Dienste dar. Die qualifizierten Stellen nehmen dabei eine zentrale Rolle ein, da sie als Prüfstellen für Betreiber wesentlicher Dienste fungieren und von diesen auch heranzuziehen sind. Einzelheiten über die qualifizierte Stellen werden in der Verordnung des BMI über qualifizierte Stellen (QuaSteV) festgelegt, wobei unterstützend ein Leitfaden publiziert wurde („NIS Fact Sheet 7/2019“).
Das NISG konnte sohin in den Hauptgesichtspunkten (vgl. ErlRV 369 BlgNR XXVI. GP, 1) und im Besonderen im Bereich der kritischen Infrastruktur der Daseinsvorsorge seine erwarteten Wirkungen erfüllen.
Im Bereich der Einrichtungen der öffentlichen Verwaltung wurde der Ansatz der freiwilligen Selbstkontrolle gewählt, wodurch der Erfolg nicht zentral messbar ist. Doch wurde zur Unterstützung der Einrichtungen des Bundes vom BKA ein Umsetzungsleitfaden publiziert (NIS Fact Sheet 9/2019).
Im Zusammenhang mit nationaler Netz- und Informationssicherheit fand 2022 die EU-Cybersicherheitsübung statt. An der innerstaatlich vom Bundeskanzleramt koordinierten EU-Cybersicherheitsübung nahmen 12 Einrichtungen teil, was zu einer gesamtstaatlichen Resilienz bei Cybervorfällen beigetragen hat. Die Bewertung der Cybersicherheitsübung durch die teilnehmenden Einrichtungen erfolgte nach dem Schulnotensystem. Die teilnehmenden Einrichtungen bewerteten die Übung im Durchschnitt mit Gut (2).

Im Rahmen einer WFA Evaluierung werden zukünftige Regelungsvorhaben zur nationalen Umsetzung der NIS-2-RL evaluiert, nicht aber das NISG und die NISV in der derzeit geltenden Fassung.

+ mehr lesen

Verbesserungspotentiale

Die in der WFA zur Umsetzung des NISG und damit zur Aufrechterhaltung der Cybersicherheit als notwendig definierten Personalressourcen konnten nicht bereitgestellt werden (insbesondere im BKA).
Das Aufsichtssystem über die Anbieter digitaler Dienste hat gemäß der RL (EU) 2016/1148 ex-post ausgestaltet zu sein und war vollharmonisiert. Infolgedessen ist es nicht möglich zu beurteilen, ob das NISG zu einer Erhöhung der Netz- und Informationssystemsicherheit der Anbieter digitaler Dienste geführt hat. Verbesserungspotenzial ergibt sich daher in diesem kritischen Bereich, da auch Cloud-Dienste-Anbieter darunter fallen. Infolge der Vollharmonisierung wird die Verbesserung erst durch die Umsetzung der diesbezüglichen Änderung des unionsrechtlichen Rahmen durch die NIS-2-RL erfolgen können, indem wesentliche Anbieter digitaler Dienste einem strengeren Aufsichtssystem unterworfen werden.
Die Länder haben keine Regelungen auf landesgesetzlicher Ebene getroffen, um die Pflichten zu Sicherheitsvorkehrungen bei wichtigen Diensten und zur Meldung
von Sicherheitsvorfällen entsprechend den öffentlichen Einrichtungen des Bundes zu übernehmen. Infolgedessen konnte das NISG keine rechtlichen Wirkungen zur Erhöhung der Netz- und Informationssystemsicherheit auf Landesebene entfalten.
Die Netz- und Informationssystemsicherheit der Einrichtungen des Bundes kann nicht zentral beurteilt werden, da eine vergleichbare Überprüfungs- und Nachweispflicht wie bei den Betreibern wesentlicher Dienste nicht vorgesehen ist. Der Mangel an konkreten und vorgegebenen Meldeschwellenwerten macht eine gemeinsame Lageerfassung bei Vorfällen, die mehrere Einrichtungen des Bundes betreffen, herausfordernd.
Im Bereich der öffentlichen Verwaltung wird es jedoch sowohl auf Bundes- als auch Landesebene zu Verbesserungen durch die Umsetzung der diesbezüglichen Änderungen des unionsrechtlichen Rahmens (NIS-2-RL) kommen. Da die NIS-2-RL bei Einrichtungen der öffentlichen Verwaltung einen größeren nationalen Gestaltungsspielraum zulässt, müssen einzelne Umsetzungsmodelle erst bewertet und abgestimmt werden. Als Leitlinie solle dabei das Regierungsprogramm 2020–2024 „Aus Verantwortung für Österreich“ dienen, welches die „Umsetzung verbindlicher, überprüfbarer und durchsetzbarer Sicherheitsstandards im Rahmen der Richtlinie für Netz- und Informationssystemsicherheit (NIS) im öffentlichen Sektor“ angibt.

+ mehr lesen

Weitere Evaluierungen

Es werden keine weiteren Evaluierungen durchgeführt.

Weiterführende Informationen