Regierung bei Cybersicherheit säumig
Bis zum 9. Mai hätten die EU-Mitgliedstaaten eine Richtlinie für mehr Cybersicherheit in nationales Recht umsetzen müssen. Die Regierung ist säumig, die Opposition kritisiert.
Das Cybersicherheitsgesetz lässt auf sich warten. Obwohl das Gesetz bereits von der Vorgängerregierung angekündigt wurde – die ehemalige Staatssekretärin Muna Duzdar (SPÖ) sprach etwa von einer Begutachtung in der zweiten Jahreshälfte 2017 –, fehlt momentan zumindest im parlamentarischen Prozess jede Spur von einem neuen Gesetzestext. Damit verpasst Österreich die Frist, die in der EURichtlinie zur Sicherheit bei Netz- und Informationssystemen gesetzt worden ist. Diese sieht vor, dass „die Mitgliedstaaten bis 9. Mai 2018 die Rechts- und Verwaltungsvorschriften erlassen und veröffentlichen“, die zum Erfüllen der Richtlinie erforderlich sind.
Die österreichische Regierung ist damit aber nicht allein. Erst sechs EU-Mitgliedstaaten haben entsprechende Gesetze voll umge- setzt, zwei teilweise. Der Rest hat noch keine nationalen Regelungen geschaffen. Dabei gilt die Umsetzung als wichtiger Teil der Europäischen Sicherheitsstrategie. So heißt es in der Richtlinie, dass Sicherheitsvorfälle „wirtschaftliche Tätigkeiten beeinträchtigen, beträchtliche finanzielle Verluste verursachen und der Wirtschaft der Union großen Schaden zufügen“können.
Daher will die EU unionsweit einheitliche Regeln und mehr Informationsaustausch schaffen. Betreiber von kritischer Infrastruktur, also etwa im Energieoder Bankensektor, sollen Sicherheitsvorfälle künftig verpflichtend melden, andernfalls drohen Sanktionen. Außerdem sollen nationale Strategien für mehr Sicherheit sowie Computernotfallteams geschaffen werden. Wie geht es nun in Österreich weiter? Ein Regierungssprecher sagt, „dass aufgrund der Komplexität des Themas einige EU-Mitgliedstaaten mehr Zeit bei der Umsetzung in Anspruch nehmen“. Momentan werkt eine Arbeitsgruppe, ein „praxistaugliches Gesetz“habe Priorität. „Auch hier wird im System und nicht bei den Menschen gespart“, heißt es auf Anfrage des STANDARD.
Erster Entwurf kursiert
Ein erster Entwurf soll bereits fertiggestellt worden sein, heißt es aus der IT-Branche. Vermutlich dürfte das Gesetz bis zum Sommer präsentiert werden. Schon bei der Umsetzung der EU-Datenschutzgrundverordnung war es in letzter Minute zu Gesetzesänderungen gekommen, dieses Mal verstrich die Frist. Im Gegensatz zur Datenschutzgrundverordnung gehen die EU-Regeln aber nicht in natio- nales Recht über, da es sich nicht um eine Verordnung, sondern um eine Richtlinie handelt.
Heftige Kritik gibt es von der Opposition. Stephanie Cox von der Liste Pilz will „alles daran setzen“, dass das Cybersicherheitsgesetz „nicht so ausgehöhlt wird wie zuletzt die Datenschutzgrundverordnung“. Die Neos bemängeln, dass „die Bundesregierung nie ein Gesetz in Begutachtung geschickt hat, obwohl sie es seit Jahren angekündigt hat. Das ist eine Zumutung gegenüber dem Parlament und den Bürgerinnen und Bürgern.“Es sei „vollkommen unverständlich, warum sich Österreich hier in eine durchaus gefährliche Säumigkeit begibt. Hier geht es immerhin um den Schutz der Strom- oder Trinkwasserversorgung, des Flug- und Straßenverkehrs oder auch der Gesundheitsversorgung.“