Mit dem geplanten Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (NISG 2024) sollen Maßnahmen festgelegt werden, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen der Einrichtungen, die in den Anwendungsbereich fallen, erreicht werden soll. Betroffen von diesem Bundesgesetz ist auch die gesamte öffentliche Verwaltung und damit auch die Justizverwaltung. Die Begutachtungsfrist endet am 01.05.2024.
Die zunehmende Durchdringung nahezu aller Bereiche der Gesellschaft und des täglichen Lebens mit digitaler Technologie bietet erhebliche Chancen und Möglichkeiten. Gleichzeitig wird die Gesellschaft dadurch aber auch angreifbarer und abhängiger von der Vertraulichkeit, Verfügbarkeit und Integrität digital verarbeiteter und gespeicherter Informationen. Staaten, Gruppierungen und kriminellen Akteuren eröffnen sich neue Wege, die digitale Vernetzung für Spionage, Sabotage oder andere kriminelle Aktivitäten nutzbar zu machen. Dabei können schon die Fähigkeiten einzelner krimineller Individuen genügen, um Cyberangriffe mit nicht abschätzbaren Folgen für die Sicherheit Österreichs durchzuführen. Immer mehr österreichische Unternehmen und auch öffentliche Einrichtungen wurden in den vergangenen Jahren Opfer von Cyberattacken.
Im Lichte dieser Entwicklungen wird deutlich, dass moderne Demokratien ein entsprechendes organisatorisches, personelles und finanzielles Fundament benötigen, um die wachsende Bedeutung von Cybersicherheit gesamtstaatlich abbilden zu können. Aufgrund der zunehmenden Bedeutung von Cybersicherheit hat die Europäische Union Rechtsakte erlassen, die der unionsweiten Erhöhung der Cybersicherheit dienen. Dazu zählt auch die NIS2-Richtlinie, die mit diesem NISG 2024 umgesetzt werden soll.
Es soll ein nationales Cybersicherheitszentrum zur Bündelung der Kompetenzen errichtet werden und eine neue nationale Cybersicherheitsstrategie weiterentwickelt und koordiniert werden. Dazu wird eine zentrale Anlaufstelle für Cybersicherheit benannt, als auch eine nationale Behörde für das Management von Cybersicherheitsvorfällen großen Ausmaßes. Es besteht die Pflicht zur Setzung geeigneter Aufsichts- und Durchsetzungsmaßnahmen, sowie die Pflicht zur Setzung geeigneter Risikomanagementmaßnahmen.
Vor dem Hintergrund, dass unter bestimmten Voraussetzungen auch Behörden und sonstige Stellen der öffentlichen Verwaltung vom Anwendungsbereich der NIS2-Richtlinie umfasst sind, bedarf es zur unionsrechtskonformen Umsetzung eines wirksamen Sanktionsmechanismus. Die zuständige Bezirksverwaltungsbehörde soll demnach bescheidmäßig die Nichteinhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen festzustellen haben. Wesentlich ist, dass die Bezirksverwaltungsbehörde mit diesem Bescheid eine angemessene Frist für die Herstellung des rechtmäßigen Zustandes anzuordnen haben soll. Wird dem Bescheid nicht ordnungsgemäß innerhalb der angeordneten Frist entsprochen, soll die Bezirksverwaltungsbehörde nach Eintritt der formellen Rechtskraft des Bescheides dazu verpflichtet sein, die Nichteinhaltung von Verpflichtungen nach diesem Bundesgesetz in einer Weise zu veröffentlichen, die geeignet scheint, einen möglichst weiten Personenkreis zu erreichen.
Hier geht es zum Begutachtungsentwurf samt Erläuterungen
Hier geht es zur Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)
Die neue NIS-2-Richtlinie – Anlaufstelle NISG
Siehe auch den Beitrag im Profil: Gesetzesentwurf: Millionenstrafen für Unternehmen mit unsicheren Passwörtern