Wenn es um NIS 2 geht, dann führt hierzulande kein Weg am Leiter des Büros für strategische Netz- und Informationssystemsicherheit im Bundeskanzleramt (NIS-Büro), Mag. Vinzenz Heußler, vorbei. Er ist als federführender Jurist für die Legistik zur Umsetzung der NIS-Richtlinie in Österreich verantwortlich und vertritt Österreich in zahlreichen europäischen Gremien für Cybersicherheit. In dieser Funktion koordiniert Vinzenz Heußler auch die Verhandlungen zur NIS-2-Richtlinie für Österreich.
Wir konnten Herrn Mag. Heußler für ein Interview zum Thema NIS 2 und dessen Bedeutung für Österreich und die hiesige TK-Branche im Speziellen gewinnen.
Mag. Vinzenz Heußler (©BKA)
RTR: Was bedeutet die am 13. Mai erfolgte politische Einigung zu NIS 2 speziell für Österreich?
Mag. Heußler: Bereits die „alte“ NIS-Richtlinie aus dem Jahr 2016 war eine wesentliche Treibkraft zur Erhöhung des Cybersicherheitslevels in Österreich. So wurde mit dem Netz- und Informationssystemsicherheitsgesetz (NISG), das die NIS-Richtlinie umsetzt, erstmals in Österreich ein nationales Cybersicherheitsgesetz erlassen und es wurden Cybersicherheitsbehörden und Computer-Notfallteams formell eingerichtet und mit Befugnissen ausgestattet. Des Weiteren wurden formelle Strukturen und rechtliche Grundlagen zur Kooperation und Bewältigung von Cybervorfällen geschaffen. Von höchster Bedeutung war auch die Ermittlung der Betreiber wesentlicher Dienste, weil damit erstmals in rechtlich verbindlicher Weise für die Daseinsvorsorge relevante kritische Infrastrukturen identifiziert wurden, die aufgrund einer Risikobewertung Sicherheitsvorkehrungen implementieren mussten, wodurch die Cyber-Resilienz Österreichs maßgeblich gesteigert werden konnte.
Von der NIS-2-RL darf ein ähnlicher „Boost“ für die österreichische und europäische Cybersicherheit erwartet werden. Wo mit der NIS-1-RL die Grundlagen geschaffen wurden, baut die NIS-2-RL darauf auf und verbessert all jene Bereiche, wo die NIS-1-RL nicht zum gewünschten Erfolg führte. Die NIS-2-RL modernisiert den bestehenden Rechtsrahmen und berücksichtigt dabei die zunehmende Digitalisierung des Binnenmarkts in den letzten Jahren (nicht zuletzt auch infolge der COVID-19 Pandemie) und der sich rasch weiterentwickelnden Bedrohungen für die Cybersicherheit. So wird sich die Anzahl der in Österreich von NIS betroffenen Einrichtungen stark erhöhen, um die gesamte Bandbreite der wirtschaftlich kritischen Aktivitäten, einschließlich der öffentlichen Verwaltung, zu schützen. Dabei wird ein nach objektiven Größenkriterien gerichteter Ansatz verfolgt, um in der EU ein Level-Playing-Field sicherzustellen, den Mitgliedstaaten aber auch ausreichend Spielraum gelassen, um nach risikobasierten Kriterien Prioritäten setzen und verhältnismäßig vorgehen zu können. Zeitgleich werden die Sicherheitsanforderungen granularer gestaltet und europäisch stärker harmonisiert. Auf diese Weise ist zu erwarten, dass die Cyber-Resilienz der österreichischen Unternehmen als Teil einer gesamteuropäischen Strategie sowohl in der Breite als auch in der Tiefe stark erhöht wird. Gleichzeitig werden auch die Fähigkeiten der Behörden stark ausgebaut, indem sie mit weitreichenderen Befugnissen ausgestattet werden, um die Anwendung der Richtlinie zu gewährleisten.
RTR: Wie wird sich NIS 2 auf die Telekommunikationsbranche auswirken?
Mag. Heußler: Das Funktionieren des Internets und der Telekommunikation ist für Österreich und den europäischen Binnenmarkt wichtiger denn je. Praktisch alle Dienstleistungen hängen von Diensten ab, die insbesondere über das Internet erbracht werden. Für die reibungslose Bereitstellung dieser Dienste ist es wichtig, dass für öffentliche elektronische Kommunikationsnetze geeignete Cybersicherheitsmaßnahmen bestehen und diesbezügliche Sicherheitsvorfälle gemeldet werden. Die NIS-2-RL verfolgt daher konsequenterweise das Ziel, die Telekommunikationsbranche näher an das „NIS-Ökosystem“ heranzuführen.
Damit auch die Akteure der Telekommunikationsbranche (also Anbieter öffentlicher elektronischer Kommunikationsnetze und Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste) vom Regelwerk der NIS-2-RL profitieren können, werden sie in den Anwendungsbereich der NIS-2-RL aufgenommen. Die entsprechenden Bestimmungen der Richtlinie (EU) 2018/1972 (EECC), mit denen diesen Akteuren bisher Sicherheitsanforderungen und Meldepflichten auferlegt werden, werden daher durch die NIS-2-RL aufgehoben bzw. ersetzt.
Ein Vorzug des Regelwerks der NIS-2-RL ist zum Beispiel die Möglichkeit, ein Computer-Notfallteam (CSIRTs) für die Bewältigung von Risiken und Vorfällen im Telekomsektor benennen zu können. Ferner können Akteure der Telekommunikationsbranche an Vereinbarungen über den Austausch von Informationen zur Cybersicherheit (zB über Cyberbedrohungen, Schwachstellen, Indicators of Compromise, etc.) teilnehmen.
Auch die für die Telekommunikationsbranche zuständigen Behörden und Stellen sollen vom Rechtsrahmen der NIS-2-RL profitieren können, indem sie beispielweise an der Arbeit der NIS-Kooperationsgruppe und des CSIRT-Netzwerks partizipieren können.
Durch das Überführen des Telekomsektors in die NIS-2-RL geht aber auch eine Straffung der rechtlichen Verpflichtungen, denen die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste hinsichtlich der Sicherheit ihrer Netze und Informationssysteme unterliegen werden, einher. Auf diese Weise wird auch eine stärkere Harmonisierung mit den anderen der NIS-2-RL unterliegenden Sektoren erreicht und Interdependenzen können besser adressiert werden.
Um eine gewisse Kontinuität zu ermöglichen, können die Mitgliedstaaten bestehende nationale Leitlinien und nationale Rechtsvorschriften, die zur Umsetzung der Sicherheitsmaßnahmen und der Meldepflicht von Sicherheitsvorfällen aus dem EECC bereits bestehen, weiterhin anwenden und von den dafür zuständigen Behörden nach dem EECC vollziehen lassen, sofern möglich und sofern sie es für angebracht halten.
RTR: Welche Bestimmungen der künftigen NIS-2-RL sind aus Sicht des NIS-Büros besonders bedeutsam?
Mag. Heußler: Die NIS-2-RL dreht an vielen Stellen die richtigen Schrauben. Es darf nicht außer Acht gelassen werden, dass mit der Umsetzung der NIS-1-RL schon viel Erfahrung gesammelt werden konnte und sich eine wertvolle Zusammenarbeit auf europäischer Ebene herausgebildet hat. Es bestehen daher schon viele Grundlagen und ein hohes Vertrauen zwischen den Akteuren der NIS-1-RL und den Mitgliedstaaten. Die NIS-2-RL stärkt zum einen diese gut funktionierenden Elemente der NIS-1-RL, wie insbesondere das CSIRTs-Netzwerk, aber auch die NIS-Kooperationsgruppe. Zum anderen kann die NIS-2-RL aber dort einen größeren Wurf machen, wo die Zeit bei der NIS-1-RL noch nicht reif genug war. Beispielweise werden die Mitgliedstaaten viel umfangreichere und detailliertere nationale Cybersicherheitsstrategien verabschieden müssen. Als Teil dieser Strategien werden sie auch einen Rahmen für die koordinierte Offenlegung von Sicherheitslücken vorsehen müssen. Dabei handelt es sich um einen nicht zu vernachlässigenden Faktor im Auffinden und Schließen von Sicherheitslücken, der in vielen Mitgliedstaaten – so auch in Österreich – aktuell noch fehlt.
Des Weiteren sieht die NIS-2-RL auch viel mehr Bestimmungen vor, was große Cybersicherheitsvorfälle und krisen mit europäischer Dimension betrifft. Denn alle Mitgliedstaaten müssen nunmehr einen nationalen Rahmen für das Cybersicherheitskrisenmanagement schaffen, nationale Cyberkrisen-Behörden benennen und auf europäischer Ebene in einem neuen Netzwerk der Verbindungsorganisationen für Cyberkrisen (CyCLONe) zusammenarbeiten. Durch den vereinheitlichten Anwendungsbereich, die harmonisierten Bestimmungen zur Meldung von Sicherheitsvorfällen und das Schaffen gleicher Kapazitäten bei den Behörden sollte es der EU in Zukunft daher besser möglich sein, ein gesamteuropäisches Lagebild zu generieren.
Sinnvoll ist zudem, dass die NIS-2-RL vorschreibt, dass die Führungsebenen der in den Anwendungsbereich fallenden Einrichtungen die Risikomanagement-Maßnahmen genehmigen und spezielle Cybersicherheitsschulungen absolvieren müssen. Dadurch sollte es möglich sein, das für die Cybersicherheit essentielle Bewusstsein auf der Ebene der Leitungsorgane zu erzeugen. Dieses Bewusstsein bildet sich sonst leider allzu oft erst, nachdem es zu einem großen Cybervorfall bei der Einrichtung gekommen ist.
Darüber hinaus widmet sich die NIS-2-RL verstärkt dem immer wichtiger werdenden Thema der Sicherheit der Lieferketten. Dieses wird sowohl auf europäischer Ebene durch die Möglichkeit der NIS-Kooperationsgruppe, EU-weit koordinierte Risikobewertungen kritischer Lieferketten durchzuführen, als auch auf nationaler Ebene als Teil der Cybersicherheitsstrategien adressiert. Entscheidend ist auch, dass auf individueller Ebene die einzelnen in den Anwendungsbereich fallenden Einrichtungen die Sicherheit der Lieferkette im Rahmen der Risikomanagementmaßnahmen beachten müssen.
RTR: Mit welchem Zeitplan ist für die weitere Gesetzgebung auf Unionsebene und innerhalb Österreichs zu rechnen?
Mag. Heußler: In der Nacht von 12. auf 13. Mai konnte eine vorläufige politische Einigung zwischen den beiden Ko-Gesetzgebern, also dem Europäischen Parlament und dem Rat der EU, erzielt werden. Im Anschluss wurde der Text noch auf technischer Ebene finalisiert und konsolidiert und den Mitgliedstaaten Anfang Juni zur Prüfung übermittelt. Der finalisierte und konsolidierte Text wird nach Prüfung durch die Mitgliedstaaten dem Ausschuss ständiger Vertreter (AStV) am 22. Juni zur Billigung vorgelegt, um anschließend in die Amtssprachen der EU übersetzt zu werden. Nach der Prüfung der Übersetzungen muss das Europäische Parlament den Text annehmen, wovon im dritten Quartal 2022 auszugehen ist. In weiterer Folge wird der Rechtstext im Amtsblatt der EU veröffentlicht und tritt 20 Tage danach in Kraft.
Nach Inkrafttreten haben die Mitgliedstaaten anschließend 21 Monate Zeit, um die NIS-2-RL in nationales Recht umzusetzen. Das bedeutet, dass Österreich die Umsetzung voraussichtlich bis zum zweiten Quartal 2024 vornehmen wird müssen. Hierzu wird es einer Änderung der nationalen Rechtsgrundlagen, also insbesondere des Bundesgesetzes zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG), bedürfen.
RTR: Herzlichen Dank für das Gespräch!