Im Jahr 2016 wurde mit der NIS-Richtlinie1 ein rechtlicher Rahmen für die Netz- und Informationssicherheit bei Betreibern wesentlicher Dienste in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung und -versorgung sowie digitale Infrastruktur geschaffen. Mit dieser Richtlinie, die mit dem 2018 beschlossenen Netz- und Informationssystemsicherheitsgesetz2 in österreichisches Recht umgesetzt wurde, wurde ein wichtiger Meilenstein für ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der EU erreicht. Insbesondere haben die Mitgliedstaaten der EU (und in weiterer Folge auch die EWR/EFTA-Staaten) zu gewährleisten, dass Betreiber wesentlicher Dienste technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der von ihnen genutzten Netz- und Informationssysteme zu bewältigen und die Auswirkungen von Sicherheitsverletzungen so gering wie möglich zu halten. Weiters haben die Mitgliedstaaten zu gewährleisten, dass Betreiber wesentlicher Dienste der zuständigen Behörde oder dem Computer-Notfallteam (CSIRT) Sicherheitsvorfälle mit erheblichen Auswirkungen unverzüglich melden. Die Richtlinie nimmt aber hinsichtlich dieser Pflichten zwei Bereiche explizit aus, in denen vergleichbare Vorschriften bereits zuvor existierten: Vertrauensdienste (z. B. Dienste zur Ausstellung von Zertifikaten für elektronische Signaturen) gemäß eIDAS-Verordnung3 und elektronische Kommunikationsnetze und -dienste gemäß der früheren Rahmenrichtlinie4 bzw. des derzeitigen EECC5.
Ziel der NIS-Richtlinie war auch, einen einheitlichen organisatorischen Rahmen für die Behandlung von Angelegenheiten der Netz- und Informationssicherheit zu schaffen. Beispielsweise wurden auf Unionsebene ein CSIRTs-Netzwerk und eine Kooperationsgruppe eingerichtet, in der die zuständigen Behörden gemeinsam handeln. Zuständigkeiten innerhalb von Mitgliedstaaten können zwar auf verschiedene Behörden verteilt sein, jeder Mitgliedstaat hat aber eine für die Sicherheit von Netz- und Informationssystemen zuständige nationale Anlaufstelle zu benennen. Als auf europäischer Ebene ab 2019 die Cybersicherheit von 5G-Netzen zunehmend thematisiert wurde, zeigte sich eine gewisse Schwäche des Rechtsrahmens: Für die Sicherheit elektronischer Kommunikationsnetze und dienste waren zwar in den meisten Mitgliedstaaten die nationalen Regulierungsbehörden zuständig, behandelt wurde das Thema aber in der Kooperationsgruppe, in der die nationalen Regulierungsbehörden selbst nicht vertreten sind, sondern bestenfalls von den für Netz- und Informationssicherheit zuständigen Behörden beigezogen wurden. Und nicht überall klappte die Zusammenarbeit zwischen NIS-Behörde und Regulierungsbehörde auf nationaler Ebene so reibungslos wie hierzulande zwischen BKA und RTR.
Mit der von der Europäischen Kommission im Dezember 2020 vorgeschlagenen NIS-2-Richtlinie6 soll dieses Manko behoben werden, indem auch Vertrauensdienste sowie elektronische Kommunikationsnetze und -dienste in den Anwendungsbereich dieser Richtlinie fallen. Somit sollen auch die Sicherheitserfordernisse der eIDAS-Verordnung und des EECC durch jene der NIS-2-Richtlinie ersetzt werden. Die Gesetzgebung ist zwar noch nicht abgeschlossen, aber im Mai 2022 haben sich der Rat und das Europäische Parlament über den Inhalt der Richtlinie (vorläufig) geeinigt. Sofern keine überraschenden Entwicklungen eintreten, kann mit einer Kundmachung der Richtlinie in einigen Monaten gerechnet werden.
Die Ausweitung des Anwendungsbereichs auf Normadressaten, die bisher von anderen Vorschriften umfasst waren, erweist sich in verschiedener Hinsicht als herausfordernd: Im Laufe der letzten Jahrzehnte wurden sowohl in der elektronischen Kommunikation als auch bei Vertrauensdiensten Vorgangsweisen etabliert und weiterentwickelt, die sich bewährt haben – gerade im Bereich der zu ergreifenden Sicherheitsmaßnahmen und der zu meldenden Sicherheitsverletzungen. Eine radikale Änderung dieser Vorgangsweisen könnte zumindest vorübergehend zu einer Schwächung der Cybersicherheit führen. Deshalb sollte ein Kontinuitätsbruch im Zuge der Umstellung des Rechtsrahmens jedenfalls vermieden werden. Andererseits haben die nationalen Regulierungsbehörden für elektronische Kommunikation und die Aufsichtsstellen für Vertrauensdienste umfassendes Know-how aufgebaut, das nach einer eventuellen Neuregelung der Zuständigkeiten auf nationaler Ebene nicht brach liegen sollte. Im Bereich der Vertrauensdienste besteht eine zusätzliche Schwierigkeit darin, dass sich Anforderungen der Cybersicherheit nur in beschränktem Maß von sonstigen Anforderungen separieren lassen, da alle durch dieselben technischen Normen vorgegeben werden und durch eine Vielzahl von Bezügen miteinander verknüpft sind. Hinzu kommt, dass Anforderungen einer in allen Mitgliedstaaten unmittelbar anwendbaren Verordnung durch 27 nationale Gesetze ersetzt werden und somit auch die Konformitätsbewertung für qualifizierte Vertrauensdienste (zumal als Dienstleistung im Binnenmarkt) um ein Vielfaches komplexer wird.
All diese Fragen und Probleme werden bei der Umsetzung in nationales Recht zu berücksichtigen sein, die sich somit als die eigentliche Herausforderung erweist.
1 Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194, 19.7.2016, S. 1–30.
2 Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG), BGBl. I Nr. 111/2018.
3 Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. L 257 vom 28.8.2014, S. 73–114.
4 Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie), ABl. L 108 vom 24.4.2002, S. 33–50, in der Fassung der Richtlinie 2009/140/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste, der Richtlinie 2002/19/EG über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren Zusammenschaltung und der Richtlinie 2002/20/EG über die Genehmigung elektronischer Kommunikationsnetze und -dienste, ABl. L 337 vom 18.12.2009, S. 37–69.
5 Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation, ABl. L 321 vom 17.12.2018, S. 36–214.
6 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148, COM(2020) 823 final.