Public-Private Partnership zur Umsetzung von NIS-2 im Rahmen einer „NIS-2-Umsetzungstaskforce“

Status Quo

  • Die zunehmende Digitalisierung der kritischen Infrastruktur erhöht gleichzeitig ihre Verwundbarkeit in Zeiten, in denen Cyberangriffe massiv ansteigen, elaborierter werden und immer einfacher durchführbar sind.
  • Mit der NIS2-Richtlinie schafft die EU die Weiterentwicklung der NIS-Richtlinie zum Schutz kritischer Infrastruktur in der EU, um Unternehmen aus insgesamt 18 Branchen wesentlicher und wichtiger Dienste, zu einem hohen Level an Informationssicherheit und Resilienz zu bringen.
  • Durch die Inklusion von klein- und mittelständischen Unternehmen erweitert sich in Österreich gegenüber der NIS-Richtlinie der Anwendungsbereich von 70 auf schätzungsweise bis zu 6.000 Unternehmen und auf viermal so viele Services.
  • Dazu braucht es einen strukturierten Stakeholderprozess zur frühzeitigen und umfassenden Einbindung der Digitalbranche bzw. der betroffenen Unternehmen, die im Rahmen dieses Prozesses Expertise beisteuern und Anmerkungen zur Ausgestaltung machen können sollen.
  • Für NIS2 braucht es eine solche Zusammenarbeit zur Erarbeitung von Standards in der Umsetzung – neben der Unsicherheit in der Erfüllung der Vorgaben bei den geprüften Unternehmen besteht auch keine Einheitlichkeit bei den Prüfungen selbst. In Österreich werden die Prüfungen von QuaSten vorgenommen – die konkret „richtige“ Auslegung gibt es dabei nicht.
  • In Deutschland gibt es aufgrund von 11 Branchenstandards transparentere Prüfungen. Im Bereich der kritischen Infrastruktur wird dieser im UP KRITIS gemeinsam mit Vertretern des BSI erarbeitet.

Vision

  • Institutionalisierte und weitreichende Public-Private Partnerships im Rahmen einer CxO-Umsetzungstaskforce

Maßnahmen

  • Initiierung einer CxO-Umsetzungstaskforce durch das Innenministerium unter Einbeziehung der Branche, der WKO und der IV
  • Implementierung von Best Practices und Standards aus dem europäischen Ausland zur Vermeidung von Gold Plating und Ausgestaltung der NIS-2-Umsetzung mit folgenden Schwerpunkten:
  • Ein Zugang, der beratend und mahnend ist anstatt strafend – speziell durch den weiten Scope von NIS2 inklusive vieler Unternehmen insb. KMUs, die aktuell in ihrer Cybersecurity nicht gut aufgestellt sind, braucht es aktive Kommunikation und eine beratende Qualität
  • Leitlinien für Unternehmen, auf die sich betroffene Unternehmen verlassen können und die angepasst an die Größe dieser sind – KMUs brauchen im Gegensatz zu Großunternehmen einen einfacheren Weg, um der Richtlinie zu entsprechen.
  • Transparenz, für welche Unternehmen welche nationalen Umsetzungen gelten – auch Anbieter von wesentlichen Diensten mit Sitz außerhalb der EU fallen unter diese Richtlinie.
  • Ein effizienter und zielgerichteter Ressourceneinsatz durch klare Abgrenzung “irrelevanter” Systeme, die nach einer risikobasierten Bewertung nicht in das Anwendungsgebiet der Richtlinie fallen.

Diese Maßnahmen bewirken:

  • Proaktiven Schutz der kritischen Infrastruktur in Österreich
  • Stärkung von Österreichs Stimme im europäischen-digitalpolitischen Diskurs
  • Positionierung Österreichs als internationaler Vorreiter zur Digitalregulierung in der EU und den damit einhergehenden Ausbau des guten Rufes, den Österreich im Bereich des Datenschutzes genießt, auch im Gebiet der Cybersicherheit