Strategisch wichtige Unternehmen des Energie-, Verkehrs-, Banken-, Trinkwasser- und Gesundheitsbereichs oder auch Internetsuchmaschinen, Behörden und Cloud-Anbieter werden künftig nachweisen müssen, dass sie sich gegen Hackerangriffe ausreichend schützen. Zusätzlich müssen sie andere ernsthafte Sicherheitsvorfälle an das Innenministerium melden.

Dies sieht das Netz- und Informationssystemsicherheitsgesetz der Regierung (Nisg) vor, das nun zur Begutachtung vorliegt. Das neue Gesetz regelt auch Zuständigkeiten. So übernimmt etwa im Fall einer "Cyberkrise" das Innenministerium das Ruder.

Saftige Geldstrafen drohen

Da Firmen bisher nicht gerne über Hackerangriffe oder andere IT-Vorfälle reden, werden sie nun quasi dazu gezwungen. Werden die Vorfälle nicht gemeldet, droht eine Geldstrafe bis zu 50.000 Euro, im Wiederholungsfall bis zu 100.000 Euro. Diese Summe ist auch zu bezahlen, wenn man sich nicht um Sicherheitsmaßnahmen, die auf der Höhe der Zeit sein sollten, kümmert.

Innenministerien für "Cyberkrisen" zuständig

Für die Umsetzung des Gesetzes sind zwei Ministerien zuständig. Während das Bundeskanzleramt für die Strategie zuständig ist, übernimmt das Innenministerium operative Aufgaben. Das Bundesheer spielt keine Rolle, obwohl es in den letzten Jahren Kompetenz in Sachen IT-Sicherheit aufgebaut hat. Diese Kompetenz sorgte allerdings auch für eine Rivalität zwischen Innen- und Verteidigungsministerium, die auch offen zur Schau gestellt wurde.

Laut dem Gesetzesentwurf legt der Innenminister fest, wann eine "Cyberkrise" vorliegt. Dabei handelt es sich um einen "Sicherheitsvorfall, der eine gegenwärtige und unmittelbare Gefahr für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen darstellt und schwerwiegende Auswirkungen auf die Gesundheit, Sicherheit oder das wirtschaftliche und soziale Wohl großer Teile der Bevölkerung hat". Das Innenministerium ist auch für die Bewältigung der Krise zuständig.

Verspätung

Die Regierung ist mit ihrem Cybersicherheitsgesetz sehr spät dran. Die entsprechende EU-Richtlinie zur Netz- und Informationssicherheit (Nis) gibt es bereits seit dem 8. August 2016. Die Mitgliedsstaaten sollten sie bis 9. Mai 2018 in nationales Recht umgesetzt haben. (Markus Sulzbacher, 20.9.2018)