Zum Menü springen Zum Inhalt springen Zum Footer springen Suchen Seite downloaden Seite teilen
Vorhaben

NIS Programm

NIS Programm

Recht und Sicherheit Bundesministerium für Inneres UG 11 - Inneres
2024
Vorhaben überwiegend erreicht

Finanzjahr: 2020

Inkrafttreten / Wirksamwerden: 2020

Nettoergebnis in Tsd. €: -8.435

Vorhabensart: Vorhaben gemäß § 58 Abs. 2 BHG 2013

Beitrag zu Wirkungszielen

Um die Verlinkung zwischen Wirkungsorientierter Steuerung und Wirkungsorientierter Folgenabschätzung darzustellen, wird angegeben, ob das Regelungs- beziehungsweise sonstige Vorhaben den Wirkungszielen eines Ressorts förderlich ist.

Ausbau des hohen Niveaus der öffentlichen Ruhe, Ordnung und Sicherheit in Österreich, insbesondere durch bedarfsorientierte polizeiliche Präsenz, Verkehrsüberwachung, Schutz kritischer Infrastrukturen und sinnvolle internationale Kooperation.

Beitrag zu Globalbudget-Maßnahmen

Um die Verlinkung zwischen Wirkungsorientierter Steuerung und Wirkungsorientierter Folgenabschätzung darzustellen, wird angegeben, ob das Regelungs- beziehungsweise sonstige Vorhaben den Maßnahmen eines Ressorts förderlich ist.

Stärkung der Cyber-Sicherheit und des Schutzes kritischer Infrastrukturen.

Problemdefinition

Netz- und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der heutigen Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es daher von entscheidender Bedeutung, dass sie verlässlich und sicher sind. Mit der am 6. Juli 2016 von der EU beschlossenen Netz- und Informationssicherheits-Richtlinie (NIS-RL) und dem darauffolgenden am 29. Dezember 2018 in Kraft getretenen Netz- und Informationssystemsicherheitsgesetz (NISG) wurden daher Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen der in den Anwendungsbereich fallenden Einrichtungen erreicht werden soll.
Gemäß einer Studie der KPMG („Cybersicherheit in Österreich“) aus dem Jahr 2019 „steht [Cyberkriminalität] in Österreich nach wie vor auf der Tagesordnung: Zwei von drei heimische Unternehmen waren in den letzten zwölf Monaten von einer Cyberattacke betroffen. [.] Cyber Security gewinnt für die Wirtschaft [.] immer mehr an Bedeutung.“. Der Studie zufolge „muss es das erklärte Ziel der Unternehmen sein, [.] widerstandsfähiger gegen Cyberattacken zu werden. [.] Das Thema Cyber Resilience muss zukünftig im Mittelpunkt [jedes] Unternehmens stehen.“. Einige konkrete Daten:
. 66 % der Unternehmen waren in den letzten 12 Monaten Opfer einer Cyberattacke
. 41 % erlitten aufgrund eines Cyberangriffs einen finanziellen Schaden.
. Nur 33 % informierten öffentliche Stellen über Sicherheitsvorfälle
Das tatsächliche Ausmaß des Problems ist darüber hinaus auch aus dem vom Bundeskanzleramt, dem Bundesministerium für Inneres, dem Bundesministerium für Landesverteidigung sowie dem Bundesministerium für Europa Integration und Äußeres jährlich zu erstellende „Bericht Cyber Sicherheit“ abzulesen. Hier wird von einem Anstieg an monetär, sowie mutmaßlich staatlich motivierten Cyberangriffen berichtet, was sowohl an einem weiteren Anstieg an Ransomware-Attacken als auch Datendiebstählen festgemacht werden kann.
Vor diesem Hintergrund erarbeiteten die Mitgliedstaaten eine nationale NIS-Strategie zur Bestimmung der Ziele und der damit verbundenen Regulierungsmaßnahmen, benannten nationale (strategische und operative) Behörden und Computer-Notfallteams und werden, für das Gemeinwohl wichtige private und öffentliche Anbieter (Betreiber wesentlicher Dienste und digitale Dienstanbieter) zu angemessenen Sicherheitsmaßnahmen und Meldung erheblicher Störfälle verpflichten. Ebenso wurden in Österreich die Einrichtungen der öffentlichen Verwaltung zu diesen Maßnahmen verpflichtet. Ziel ist es, die Zusammenarbeit zwischen den Mitgliedstaaten in strategischer und operationeller Hinsicht zu stärken.
Inhalt des Programms ist die vollständige und ressourcenschonende Umsetzung des NISG im Zuständigkeitsbereich des BMI sowie die Schaffung der Grundlagen für einen wirksamen und effizienten Aufgabenvollzug gemäß dem Gesetz und weiterer politisch-strategischer Vorgaben.
Dem Bundesminister für Inneres kommen gem. § 5 NISG umfassende operative zentrale Aufgaben zu: Betrieb einer zentralen Anlaufstelle (SPOC) für die Sicherheit von Netz- und Informationssystemen (§ 6); organisatorische Leitung der Koordinierungsstrukturen IKDOK und OpKoord (§ 7); Entgegennahme und Analyse von Meldungen über Risiken, Vorfälle oder Sicherheitsvorfälle, regelmäßige Erstellung eines diesbezüglichen Lagebildes und Weiterleitung der Meldungen sowie des Lagebildes und zusätzlicher relevanter Informationen an inländische Behörden oder Stellen nach Maßgabe des 3. Abschnitts; Erstellung und Weitergabe von zur Gewährleistung der Sicherheit von Netz- und Informationssystemen relevanten Informationen zur Vorbeugung von Sicherheitsvorfällen; Überprüfung der Sicherheitsvorkehrungen (§§ 17 und 21) und die Einhaltung der Meldepflichten (§§ 19 und 21); Feststellung und Überprüfung der qualifizierten Stellen (§ 18); Unterrichtung der Öffentlichkeit über einzelne Sicherheitsvorfälle (§ 10 Abs. 1); Leitung und Koordination des Cyberkrisenmanagements auf operativer Ebene (6. Abschnitt); Erlassung einer Verordnung in Einvernehmen mit dem Bundeskanzler zur Festlegung der Erfordernisse, die eine qualifizierte Stelle erfüllen muss, oder besondere Kriterien, nach denen eine Einrichtung jedenfalls als qualifizierte Stelle gilt sowie das Verfahren zur Feststellung qualifizierter Stellen; Mitwirkung an der Erlassung jener Verordnungen, zu denen der Bundeskanzlers ermächtigt ist (§ 4 Abs. 2 und 3). Mit der Umsetzung der NIS-RL wurde ein Regelwerk zu den in Österreich bereits seit vielen Jahren bestehenden Koordinationsstrukturen im Bereich der Sicherheit von Netz- und Informationssystemen geschaffen. Darüber hinaus muss das Bundesministerium für Inneres seine Netzwerksicherheit erhöhen, um seine Verpflichtungen als Einrichtung des Bundes zu erfüllen (§ 22 Abs. 1). Dazu soll auch ein eigenes Computer-Notfallteam (CSIRT-BMI) eingerichtet werden.
Um die oben angeführten Anforderungen erfüllen zu können, ist es einerseits notwendig, qualifiziertes Personal zu rekrutieren, andererseits sollen die bestehenden Mitarbeiter in den Bereichen Sicherheit, Audit und Threat Intelligence geschult werden.
Die Außenwirkung der zu setzenden Maßnahmen bzw. der erzielte Erfolg sollen mittels Feedbackbögen an die Betreiber wesentlicher Dienste erhoben werden.

+ mehr lesen

Erläuterung des Zusammenhangs zwischen dem Vorhaben und mittel- und langfristigen Strategien des Ressorts/ obersten Organs bzw. der Bundesregierung

Das NISG setzt die RL (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union („NIS-RL“) um. Diese war die wichtigste Maßnahme der Cybersicherheitsstrategie der EU aus dem Jahr 2013 und der erste horizontale Unionsrechtsakt über Cybersicherheit.
Am 16. Dezember 2020 stellte die EU-Kommission ein neues Cybersicherheitspaket vor, zu dessen Inhalt unter anderem eine neue EU-Cybersicherheitsstrategie zählt. Diese wurde in Form einer gemeinsamen Mitteilung der EK und des Hohen Vertreters der EU veröffentlicht und soll die Cybersicherheitsstrategie 2013 mit einem neuen strategischen Referenzrahmen für Cybersicherheit auf EU-Ebene ablösen. Die EU-Cybersicherheitsstrategie 2020 zielt darauf ab, das digitale Leben der Menschen in Europa sicher zu gestalten. Sichere und vertrauenswürdige digitale Instrumente sind für Wirtschaft, Demokratie und Gesellschaft gleichermaßen wichtig. Daher wurden folgende Vorschläge erarbeitet: 1) Steigerung der Resilienz von kritischer Infrastruktur und vernetzten Dingen; 2) Aus- und Aufbau von operativen Kapazitäten zur Vorbeugung, Abschreckung und Reaktion auf Cyberangriffe; 3) Zusammenarbeit mit internationalen Partnern für einen globalen, offenen, stabilen und sicheren Cyberraum, in welchem Völkerrecht, Menschenrechte, Grundfreiheiten und demokratische Werte gelten.
Am 16. Dezember 2020 wurde als Teil des Cybersicherheitspakets neben der neuen EU-Cybersicherheitsstrategie auch der Vorschlag für einer neuen Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (NIS-2-Richtlinie, kurz „NIS-2-RL“). Die NIS-2-RL soll die NIS-RL aus dem Jahr 2016 ersetzen und substantiell verbessern. Die verfolgten Ziele sind grundsätzlich dieselben und werden fortgeschrieben. Konkret sollen die Cybersicherheitskapazitäten in der EU verbessert werden, eine intensivere Zusammenarbeit zwischen den Mitgliedstaaten stattfinden sowie eine Verbesserung der Cyberresilienz öffentlicher und privater Einrichtungen erreicht werden. Insgesamt soll das Cybersicherheitsniveau in der EU weiter erhöht werden. Dieses hohe gemeinsame Niveau an Cybersicherheit innerhalb der EU wird durch folgende Maßnahmen gefördert:
1) Die Mitgliedstaaten haben nationale Cybersicherheitsstrategien zu verabschieden sowie zuständige Behörden, zentrale Anlaufstellen und CSIRTs (Computer Security Incident Response Teams in Europe) zu benennen.
2) Die Cyberresilienz von Unternehmen soll gestärkt werden und alle relevanten Sektoren umfassen. Alle öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen, sollen als sogenannte wesentliche und wichtige Einrichtungen verpflichtet werden, angemessene Cybersicherheitsmaßnahmen zu ergreifen (insbesondere durch die Einrichtung eines Cybersicherheitsrisikomanagements sowie durch die Meldepflicht von IT-Sicherheitsvorfällen und Cyberbedrohungen).
3) Bei den Sektoren im Binnenmarkt, die bereits unter die Richtlinie fallen, sollen resillienzsteigernde Maßnahmen gefördert werden. Dies wird durch die stetige Angleichung des De-facto-Anwendungsbereichs, der Sicherheitsanforderungen und Meldepflichten bei IT-Sicherheitsvorfällen, der Bestimmungen für die nationale Aufsicht und Durchsetzung sowie der Kapazitäten der zuständigen Behörden in den Mitgliedstaaten erreicht.
4) Die gemeinsame Lageerfassung sowie die kollektive Vorsorge und Reaktionsfähigkeit soll verbessert werden, indem Maßnahmen zur Stärkung des Vertrauens zwischen den zuständigen Behörden gesetzt und der Informationsaustausch gestärkt wird.
5) Darüber hinaus werden Regeln und Verfahren für den Fall großflächiger Sicherheitsvorfälle oder Krisen festgelegt (Cybersicherheitskrisenmanagement): Die NIS-2-RL2 enthält erstmals die Pflicht zur Festlegung eines nationalen Rahmens für das Cybersicherheitskrisenmanagement und sieht die Einrichtung eines europäischen Netzwerks der Verbindungsorganisationen für Cyberkrisen (European Cyber Crises Liaison Organisation Network [EU-CyCLONe]) vor. Dieses soll die koordinierte Bewältigung großer Cybersicherheitsvorfälle und -krisen unterstützen und den regelmäßigen Informationsaustausch zwischen Mitgliedstaaten und EU-Organen gewährleisten.
Die NIS-2-RL wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht (http://data.europa.eu/eli/dir/2022/2555/oj) und tritt am 16. Jänner 2023 in Kraft.

+ mehr lesen

Ziele des Vorhabens

Durch die Angabe von konkreten, nachvollziehbaren Zielen pro Vorhaben wird transparent dargestellt, welchen Zweck der staatliche Eingriff verfolgt.

Ziel 1: Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen

Beschreibung des Ziels

Durch seinen unverzichtbaren Beitrag zur gesamtstaatlichen Umsetzung des NISG und der damit einhergehenden Erhöhung des Sicherheitsniveaus von Netz- und Informationssystemen festigt das BMI seine Position als das Cyber Sicherheits-Ministerium Österreichs.
Die Strategie „Freiheit und Sicherheit 2019“ sieht die „Implementierung des Programms zur Umsetzung des Netz- und Informationssystemsicherheitsgesetzes (NISG) im BMI“ als eines der Leuchtturmprojekte der strategischen Stoßrichtung digitale Sicherheit vor.

Kennzahlen und Meilensteine des Ziels

Cyberattacken auf Unternehmen i.Z.m. Meldungen an öffentliche Stellen [%]

Istwert

n.v.

%

Zielzustand

50

%

Datenquelle: Aufzeichnungen des BM.I

Zufriedenheit der Betreiber wesentlicher Dienste [%]

Istwert

n.v.

%

Zielzustand

10

%

Datenquelle: Aufzeichnungen des BM.I

Cyberangriffe auf Unternehmen [%]

Istwert

47,0

%

Zielzustand

38,5

%

Datenquelle: Aufzeichnungen des BMI, Umfrage

Veranstaltungen [Schulnote]

Istwert

1,1

Schulnote

Zielzustand

2,0

Schulnote

Datenquelle: Aufzeichnungen BM.I

NIS-Plattformen und Systeme [Anzahl]

Istwert

3

Anzahl

Zielzustand

35

Anzahl

Datenquelle: Aufzeichnungen BM.I

Meilenstein 1: Team Prävention und Behandlung von Sicherheitsvorfällen

Ausgangszustand 2020:

Im BMI ist kein dezidiert für die Prävention und Behandlung von Sicherheitsvorfällen eingerichtetes Team vorhanden.

Zielzustand 2024:

Ein personell voll ausgestattetes CSIRT im BMI ist eingerichtet und hat den Betrieb aufgenommen.

Istzustand 2024:

Die Planstellen sind zum Teil besetzt. Maßnahmen für Personalrecruiting (interne/externe Ausschreibungen) werden laufend durchgeführt.

Datenquelle:
Aufzeichnungen BM.I

Zielerreichungsgrad des Meilensteins:

teilweise erreicht

Meilenstein 2: Koordinierungsstrukturen für Sicherheitsvorfälle

Ausgangszustand 2020:

Um angemessen auf Sicherheitsvorfälle im Bereich der Netz- und Informationssystemsicherheit zu reagieren, bestehen derzeit keine gesetzlich festgelegten Organisations- und Koordinierungsstrukturen.

Zielzustand 2024:

Neue Koordinierungsstrukturen schaffen einen geeigneten Rahmen um angemessen auf Sicherheitsvorfälle zu reagieren. Dabei werden Meldungen über Sicherheitsvorfälle und aktuelle Bedrohungslagen gesamtstaatlich analysiert und regelmäßig Lagebilder erstellt. Die NIS Behörden SPOC und MESA sind eingerichtet. Gleichzeitig sind eine professionelle Struktur und geeignete Tools für ein Meldeanalysesystem geschaffen.

Istzustand 2024:

Eine Geschäftsordnung wurde verfügt; standardisierte Handlungsanweisungen (SOP) wurden erstellt und werden laufend evaluiert; im Meldeanalysesystem ist die Operationalisierung eines Unterstützungstools ausständig;

Datenquelle:
Aufzeichnungen BM.I

Zielerreichungsgrad des Meilensteins:

überwiegend erreicht

Meilenstein 3: Sicherheitsarchitektur der Netz- und Informationssysteme

Ausgangszustand 2020:

Die Sicherheitsarchitektur der Netz- und Informationssysteme ist ggf. an den Schutzbedarf der vom BMI betriebenen wichtigen Dienste anzupassen.

Zielzustand 2024:

Die Sicherheitsarchitektur entspricht dem Stand der Technik und dem Schutzbedarf der betriebenen wichtigen Dienste.

Istzustand 2024:

Umgesetzt wurden die Leitungsverschlüsselung im Backbone Netzwerk, der Aufbau einer gesicherten Umgebung für Netzwerk Management Systeme sowie die Etablierung einer Zugangssicherung (Port Security Maßnahmen) im Netzwerk des Bundesministerium für Inneres. Die Voraussetzungen für weitere Maßnahmen im Bereich der Netzwerksegmentierung wurden geschaffen. Weiterführende Umsetzungsmaßnahmen wie zB. die Netzwerksegmentierung und bundesweiter Rollout der Port Security werden im Rahmen der Linienverantwortung und geltenden Prozessstrukturen abgewickelt werden.

Datenquelle:
Aufzeichnungen BM.I

Zielerreichungsgrad des Meilensteins:

überwiegend erreicht

Meilenstein 4: BMI-CSIRT

Ausgangszustand 2020:

Die bestehenden personellen Strukturen und Ressourcen zur Gewährleistung eines hohen Niveaus an Netzwerksicherheit, wie es die Aufgabenstellungen des BMI als Sicherheitsbehörde und zentrale Registerbehörde erforderlich machen, sind unzureichend.

Zielzustand 2024:

Das BMI-CSIRT ist eingerichtet, die Prozesse für das systematisches Treffen von Sicherheitsvorkehrungen sowie die Behandlung von Sicherheitsvorfällen sind eingerichtet und die notwendigen technischen und personellen Ressourcen stehen zur Verfügung.

Istzustand 2024:

Das BMI-CSIRT hat mit personeller Teilbesetzung den Betrieb aufgenommen. Die technischen Ressourcen wurden gem. Projektauftrag umgesetzt.

Datenquelle:
Aufzeichnungen BM.I

Zielerreichungsgrad des Meilensteins:

überwiegend erreicht

Zugeordnete Ziel-Maßnahmen

Die Maßnahmen stellen die konkreten, geplanten Handlungen der öffentlichen Verwaltung dar. Die Ziele des Vorhabens sollen durch diese Tätigkeiten erreicht werden. Durch die Darstellung der Maßnahmen wird das „Wie“ der Zielerreichung transparent gemacht.

Projekt P1 Bereitstellung der Ressourcen

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Um die notwendigen Planstellen und deren budgetäre Bedeckung sowie das benötigte Sachbudget bereitzustellen zu können, ist sowohl die Bereitschaft des BMF, des BKA und des Nationalrates erforderlich. Zusätzlich ist es ebenso notwendig, für diese Planstellen das notwendige qualifizierte Personal zu finden. IKT-Fachpersonal und insbesondere Cyber Sicherheitsexperten sind eine rare Personalressource für die es einen wachsenden Bedarf in der Verwaltung und der Wirtschaft gibt.

Zielerreichungsgrad der Ziel-Maßnahme:

teilweise erreicht

Projekt P2 Programmkommunikation

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Zur Entwicklung der Kommunikationsziele sowie der laufenden internen und externen Öffentlichkeitsarbeit wird ein Projekt „Programmkommunikation“ beauftragt.

Zielerreichungsgrad der Ziel-Maßnahme:

teilweise erreicht

Projekt P3 Meldesammelstelle

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Am Ende der Projektarbeiten sollen die Etablierung der Meldesammelstelle, die vollständige Definition und die technische Implementierung der Meldungen und der Meldewege, sowie die Realisierung des Meldeanalysesystems zur Verfügung stehen.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Projekt P4 Single Point of Contact

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Um im Sinne der Umsetzung der NIS – Richtlinie die Kommunikation nach außen (= europäischer Kontext) gewährleisten zu können, muss ein SPOC (Single Point of Contact) im BMI eingerichtet werden. II/.BVT/5.3 übernimmt diese Aufgabe und übermittelt oder empfängt im Anlassfall spezifische Informationen über sichere Kommunikationskanäle an entsprechende Stellen in den Mitgliedstaaten und der Europäischen Union.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Projekt P5 Audit

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Im Rahmen des NISG werden Betreibern wesentlicher Dienste verpflichtend Audits/Prüfungen vorgeschrieben.
Bedingt durch diese Anforderung werden im Rahmen des Projekts die folgenden Arbeitspakete benötigt. Die Befugnisse und Tätigkeiten der II/.BVT/5-3 NIS im Rahmen der Prüfungen/Audits werden sich auf folgende Aufgaben fokussieren:

– NIS Behörde operativ:
o Überwachung und Prüfung von Sicherheitsvorkehrungen
o Definition von Rahmenbedingungen für qualifizierte Stellen außerhalb der Behörde zur Prüfung und Auditieren der
Sicherheitsvorkehrungen.
o Review der verordneten Sicherheitsmaßnahmen an Hand des Standes der Technik

– Wichtige Aspekte bzgl. der zu erfassenden Audit-/Prüfdaten:
o Vorlage und Nachweis bzgl. Datenspeicherung, -übertragung, -sicherung.
o Auditprozessbeschreibung
o Automatisierung
– Die Implementierung eines standardisierten elektronisch verarbeitbaren Formats zur Einmeldung und Verarbeitung der Audit-/
Prüfergebnisse

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Projekt P6 Advanced Persistent Threats Competence Center

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Um Cyber-Bedrohungen in Zukunft, insbesondere als „Competent Authority“ nach der nationalen Umsetzung der NIS-Richtlinie, begegnen zu können bedarf es dem Aufbau von Kapazitäten und Kompetenzen. Ins besonders in den Bereichen der verfallsbezogenen Analyse, wie Forensik oder Malware Analyse, der umfassenden Cyber Threat Intelligence und einer Zusammenarbeit mit nationalen und internationalen Partnern werden solche Kompetenzen aufgebaut.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Projekt P7 Sensornetzwerk

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Ziel des Sensornetzwerkes:
In einigen europäischen Ländern (Spanien, Schweiz, Finnland, Dänemark, Niederlande, etc.) werden, als Ergänzung der vorhandenen proaktiven Sicherheitsmaßnahmen, Sensornetzwerke zur frühzeitigen Erkennung und Analyse von Cyber-Angriffen eingesetzt.
Auch wenn eine Kompromittierung von sensitiven Netzwerken oft nicht komplett verhindert werden kann, so ist es umso wichtiger, die Zeit zwischen der Durchführung und der Erkennung einer Kompromittierung zu minimieren, um rasch dagegen vorgehen zu können und Schäden möglichst gering zu halten.

Vorteile des Sensornetzwerkes:
Durch entsprechend konfigurierte und vor den Netzwerken von freiwillig teilnehmenden Organisationen platzierte Sensoren können Angriffe, das Vorgehen des jeweiligen Angreifers im Netz des Opfers und seine Kommunikation mit Schadsoftware erkannt werden. Durch den zentralen Betrieb können sowohl klassifizierte Erkennungsmuster breitflächig verwendet werden, die bisher nur im kleinen Kreis zum Einsatz kommen konnten, als auch die konsequente Anwendung der Muster und Rückmeldung der erkannten Anomalien garantiert werden. Durch eine hohe Teilnehmerzahl und eine großflächige Abdeckung wird die Qualität eines präzisen, branchenübergreifenden, gesamtstaatlichen Lagebilds über aktuelle Bedrohungen im Cyberraum erheblich erhöht. Weiters ist es wirtschaftlicher, anstelle vieler kleiner Detektionssysteme ein gemeinsames Sensornetz zu betreiben.

Zielerreichungsgrad der Ziel-Maßnahme:

nicht erreicht

Projekt P8 Innerer Kreis der operativen Koordinierung

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Mit dem NISG §7 (2018) wird zur Erörterung und Aktualisierung des vom Bundesminister für Inneres erstellten Lagebildes über Risiken, Vorfälle und Sicherheitsvorfälle, zur Erörterung der Erkenntnisse, die gemäß § 13 Abs. 1 und 2 gewonnen wurden, und zur Unterstützung des Koordinationsausschusses im Cyberkrisenmanagement der Innere Kreis für die operative Koordinierung (IKDOK) eingerichtet. Dieser dient auch dem Austausch klassifizierter Informationen zwischen den Teilnehmern zur Wahrnehmung der Aufgaben nach Maßgabe ihrer Zuständigkeiten. Es ist, zum Zweck der Ökonomisierung und Vereinfachung der Zusammenarbeit, beabsichtigt eine Kollaborationsplattform für den IKDOK einzurichten. Dem Schutz der verarbeiteten Informationen bis zur Klassifikationsstufe „Eingeschränkt“ gem. GehSO wird dabei oberste Priorität eingeräumt. In erster Phase soll eine Kollaboration bei Dokumentenmanagement durch II/.BVT/5 bereitgestellt werden, welches in dieser Phase auch als NIS-Meldeanalysesystem gem. NISG genutzt werden soll.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Projekt P9 Computer Security Incident Response Team

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Das BMI hat als Einrichtung des Bundes geeignete und dem Stand der Technik entsprechende Sicherheitsvorkehrungen zu treffen. Diese können sowohl technischer als auch organisatorischer Art sein und sollen Störfälle im Bereich der Netz- und Informationssysteme vermeiden, die unter Umständen einen Sicherheitsvorfall herbeiführen können.
Zur operativen Sicherstellung eines hohen Niveaus an Netzwerksicherheit im BMI wird ein Computer-Notfallteam (BMI CSIRT) eingerichtet. Das Computer-Notfallteam gilt als erste Anlaufstelle bei möglichen Sicherheitsvorfällen für alle Nutzer von IKT-Anwendungen im BMI.
Zu den weiteren Hauptaufgaben des Computer-Notfallteams zählen die Entgegennahme von Meldungen über Sicherheitsvorfälle oder Störungen und deren Weiterleitung an das CSC (Cyber Security Center).
Die zu schaffende technische Infrastruktur dient einerseits dazu, Cyberangriffe zu vermeiden bzw. deren Auswirkungen so gering wie möglich zu halten, und andererseits um Muster und Vorgehensweisen bei Cyberangriffen analysieren zu können. Dazu ist es notwendig die bestehenden Logging-Einrichtungen auf Vollständigkeit zu überprüfen und für den Betrieb dieser Systeme ausreichende Systemressourcen zur Verfügung zu stellen, sowie die unterschiedlichen Aufzeichnungssysteme mittels eines Security Information und Event Management (SIEM) Systems so zu konsolidieren, dass einen ganzheitlichen Blick auf die IT-Sicherheit möglich ist und eine schnellere Analyse von Sicherheitsvorfällen möglich wird.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Projekt P10 Netzwerksicherheit

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Das BMI hat als Einrichtung des Bundes geeignete und dem Stand der Technik entsprechende Sicherheitsvorkehrungen zu treffen. Diese können sowohl technischer als auch organisatorischer Art sein und sollen Störfälle im Bereich der Netz- und Informationssysteme vermeiden, die unter Umständen einen Sicherheitsvorfall herbeiführen können.
Zur operativen Sicherstellung eines hohen Niveaus an Netzwerksicherheit im BMI werden Maßnahmen im Bereich der Netzwerksegmentierung, des strukturierten Netzwerkzugangs, der Verschlüsselung von überregionalen Leitungswegen des Transportnetzwerks und der Absicherung der zentralen Managementsysteme getroffen.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Finanzielle Auswirkungen des Bundes (Kalkulation)

Finanzielle Auswirkungen stellen die aufgrund des Regelungs- oder sonstigen Vorhabens anfallenden, monetär zum Ausdruck gebrachten, Auswirkungen dar.

In der folgenden Darstellung sehen Sie auf der rechten Seite die geplanten (Plan) und auf der linken Sie die tatsächlichen angefallenen Kosten (Ergebnis). Unter „Details“ finden Sie eine detaillierte Aufschlüsselung der finanziellen Auswirkungen. Mithilfe der Steuerungsleiste können Sie zwischen den Jahren wechseln beziehungsweise sich die Gesamtzahlen über alle Jahre hinweg ansehen.

Gesamt 2020 - 2024
2020
2021
2022
2023
2024

Aufwände und Erträge – Nettoergebnis

Ergebnis

-8.435

Tsd. Euro

Plan

-29.622

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

100

Tsd. Euro

Werkleistungen

Ist

1.740

Tsd. Euro

Plan

120

Tsd. Euro

Betrieblicher Sachaufwand

Ist

3.637

Tsd. Euro

Plan

19.580

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

3.058

Tsd. Euro

Plan

10.022

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

8.435

Tsd. Euro

Plan

29.722

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

100

Tsd. Euro

Ergebnis

-670

Tsd. Euro

Plan

-3.929

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

100

Tsd. Euro

Werkleistungen

Ist

120

Tsd. Euro

Plan

60

Tsd. Euro

Betrieblicher Sachaufwand

Ist

106

Tsd. Euro

Plan

2.805

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

444

Tsd. Euro

Plan

1.164

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

670

Tsd. Euro

Plan

4.029

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

100

Tsd. Euro

Ergebnis

-986

Tsd. Euro

Plan

-4.933

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

294

Tsd. Euro

Plan

30

Tsd. Euro

Betrieblicher Sachaufwand

Ist

135

Tsd. Euro

Plan

3.002

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

557

Tsd. Euro

Plan

1.901

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

986

Tsd. Euro

Plan

4.933

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

-1.474

Tsd. Euro

Plan

-6.313

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

171

Tsd. Euro

Plan

30

Tsd. Euro

Betrieblicher Sachaufwand

Ist

414

Tsd. Euro

Plan

4.057

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

889

Tsd. Euro

Plan

2.226

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

1.474

Tsd. Euro

Plan

6.313

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

-1.799

Tsd. Euro

Plan

-7.001

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

238

Tsd. Euro

Plan

0

Tsd. Euro

Betrieblicher Sachaufwand

Ist

1.106

Tsd. Euro

Plan

4.659

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

455

Tsd. Euro

Plan

2.342

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

1.799

Tsd. Euro

Plan

7.001

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

-3.506

Tsd. Euro

Plan

-7.446

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

917

Tsd. Euro

Plan

0

Tsd. Euro

Betrieblicher Sachaufwand

Ist

1.876

Tsd. Euro

Plan

5.057

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

713

Tsd. Euro

Plan

2.389

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

3.506

Tsd. Euro

Plan

7.446

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Beschreibung der finanziellen Auswirkungen

Im Vergleich zu den in der WFA ersichtlichen geplanten Personalaufwänden fielen die tatsächlichen Personalaufwände wie folgt aus (in Tausend €):
2020: Personalaufwand 444 (geplant 1.164)
2021: Personalaufwand 557 (geplant 1.901)
2022: Personalaufwand 889 (geplant 2.226)
2023: Personalaufwand 455 (geplant 2.342)
2024: Personalaufwand 713 (geplant 2.389)

Die Abweichungen beim Personalaufwand sind darauf zu schließen, dass beim BMI-CSIRT der Betrieb nur mit personeller Teilbesetzung aufgenommen wurde. Maßnahmen für Personalrecruiting (interne/externe Ausschreibungen) werden laufend durchgeführt.

In Bezug auf die Sachaufwände (betrieblicher Sachaufwand und Werkleistungen) waren in der WFA Aufwendungen im BMI für den Aufbau und den Betrieb von IKT-Lösungen zur Vorbeugung von Sicherheitsvorfällen (§ 13 NISG), wie in der WFA ersichtlich, vorgesehen. Der angestrebte Betrieb der IKT-Lösungen zur Vorbeugung von Sicherheitsvorfällen konnte zum Zeitpunkt der Evaluierung jedoch noch nicht in Betrieb genommen werden.

Außerdem ist es im Zusammenhang mit dem Projekt Sensornetzwerk aufgrund komplexer Verfahren in der Konzeptionsphase, zu Abweichungen gekommen.

Zusätzlich wird darauf hingewiesen, dass in den Jahren 2020 bis 2024 folgende Investitionen (in Tausend €) angefallen sind, welche jedoch budgetwirksam nur in den Finanzierungshaushalt fallen:
2020: Investitionen 1.841
2021: Investitionen 4.581
2022: Investitionen 1.278
2023: Investitionen 2.572
2024: Investitionen 2.439

ad Erträge:
2020: 0 (geplant 100)
Die Abweichung resultiert aus dem Umstand, dass die ursprünglich geplanten Fördermittel nicht zum Tragen gekommen sind.

Gesamtbeurteilung

Das NIS-Gesetz (Netzwerk- und Informationssystemsicherheitsgesetz) ist ein wesentlicher Faktor zur Erhöhung des Cybersicherheitsniveaus in Österreich und stellt somit einen Erfolg dar.

In den letzten Jahren war das Programm zur Umsetzung des Cybersicherheitspakets 2020 und 2023 ein Erfolg, insbesondere in Bezug auf die effiziente Umsetzung des NIS-Gesetzes und die dann erfolgte Erweiterung des Programms auf die Umsetzung der NIS 2-Richtlinie und des Cyber Solidarity Acts. Durch die erfolgreiche Umsetzung dieser gesetzlichen Rahmenwerke konnte die Cybersicherheit auf nationaler und europäischer Ebene entscheidend gestärkt werden.

Das NIS-Gesetz legte den Grundstein für die Sicherheitsanforderungen und die Ermittlung der Betreiber wesentlicher Dienste, weil auf diese Weise erstmals in rechtlich verbindlicher Weise für die Daseinsvorsorge relevante kritische Infrastrukturen identifiziert wurden, die aufgrund einer Risikobewertung Sicherheitsvorkehrungen implementieren müssen, wodurch die Cyber-Resilienz Österreichs maßgeblich gesteigert werden konnte. Mit dem NISG wurde erstmals in Österreich ein eigenes Gesetz zur Regulierung der Sicherheit von Netz- und Informationssystemen erlassen. Ferner wurden erstmals zuständige Behörden und Computer-Notfallteams formell eingerichtet und mit dezidierten Aufgaben und Befugnissen ausgestattet. Des Weiteren wurden die Strukturen insbesondere im operativen Bereich verrechtlicht und damit solide Grundlagen zur Kooperation und Bewältigung von Cybervorfällen geschaffen. Die Umsetzung dieses Gesetzes ermöglichte eine systematische Verbesserung der Cybersicherheitsstandards und förderte die Zusammenarbeit zwischen verschiedenen Akteuren bspw. im Rahmen des IKDOK. Dies führte zu einer höheren Resilienz der kritischen Infrastruktur.

Seit Dezember 2020 wurde auch die Verhandlung, und weiter die Umsetzung der NIS 2-Richtlinie, in das Programm aufgenommen und damit der Fokus auf die Stärkung der Cybersicherheit ausgeweitet, indem der Umfang der verpflichteten Unternehmen erweitert und strengere Sicherheitsanforderungen eingeführt werden sollen.

Im Jahr 2023 wurde dann der Cyber Solidarity Act und seine Verhandlung auf europäischer Ebene, sowie die Vernetzung auf europäischer Ebene, aufgenommen. Ziel des Cyber Solidarity Acts ist eine koordinierte Zusammenarbeit auf EU-Ebene zur Bekämpfung grenzüberschreitender Cyberbedrohungen.
Insgesamt hat das Programm zur Umsetzung des Cybersicherheitspakets in den letzten Jahren maßgeblich dazu beigetragen, die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen, das Vertrauen in diesem Bereich zu stärken und die Grundlage für mehr nationale Awareness zu schaffen.

Ohne das Inkrafttreten von NIS2 2024 befinden sich sowohl Unternehmen als auch die zuständigen Behörden in einer Übergangsphase, in der noch keine rechtlichen Verpflichtungen bestehen und Unternehmen noch nicht vollständig vorbereitet sind. Die Beantwortung einiger Kennzahlen (z.B.: Kennzahl 1&2) kann zu diesem Zeitpunkt ohne rechtliche Grundlage zu falschen Annahmen und fehlerhaften Ergebnissen führen. Ohne diese Datengrundlage ist eine belastbare Bewertung des aktuellen Stands nicht möglich. Um den Zielerreichungsgrad angemessen zu beurteilen und eine fundierte Analyse der Entwicklung der relevanten Kennzahlen vorzunehmen, wäre es erforderlich, die bestehenden Messgrößen zu aktualisieren und neue Daten systematisch zu erheben.

Betreffend den Cyberangriffen auf Unternehmen (Kennzahl 3) ist anzumerken, dass laut Bericht „Cybersecurity in Österreich 2023“, die Cyberangriffe auf österreichische Unternehmen erheblich zugenommen haben. Laut der Studie haben alle befragten 903 Unternehmen mindestens einen Cyberangriff erlebt, wobei 12 Prozent einen finanziellen Schaden von über 1 Million Euro erlitten und 47 Prozent Schäden bis zu 100.000 Euro angaben. Diese Zahlen verdeutlichen die zunehmende Bedrohung durch Cyberangriffe und die damit verbundenen finanziellen Risiken für Unternehmen in Österreich.

Die Abweichungen beim Personalaufwand sind darauf zu schließen, dass beim BMI-CSIRT der Betrieb nur mit personeller Teilbesetzung aufgenommen wurde. Maßnahmen für Personalrecruiting werden laufend durchgeführt.

In Bezug auf die Sachaufwände (betrieblicher Sachaufwand/Werkleistungen) waren Aufwendungen für den Aufbau und den Betrieb von IKT-Lösungen zur Vorbeugung von Sicherheitsvorfällen (§ 13 NISG) vorgesehen. Der angestrebte Betrieb der IKT-Lösungen zur Vorbeugung von Sicherheitsvorfällen konnte zum Zeitpunkt der Evaluierung jedoch noch nicht in Betrieb genommen werden.

Außerdem ist es im Zusammenhang mit dem Projekt Sensornetzwerk aufgrund komplexer Verfahren in der Konzeptionsphase, zu Abweichungen gekommen.

+ mehr lesen

Verbesserungspotentiale

Im Zuge der Durchführung und Evaluierung des Vorhabens sind keine Verbesserungspotentiale ersichtlich geworden.

+ mehr lesen

Weitere Evaluierungen

Es werden keine weiteren Evaluierungen durchgeführt.

Weiterführende Informationen