Sicherheits-Richtlinie

Gesetzesentwurf für Datenschützer „Feigenblatt“

Das NIS2-Gesetz soll kommende Woche im Plenum des Nationalrats beschlossen werden.(Bild: APA/dpa/Felix Kästle)

Die Umsetzung der EU-Richtlinie (NIS-2) zur Stärkung der IT-Sicherheit droht zu scheitern. So lautet jedenfalls das Fazit einer Analyse der Datenschutz-NGO epicenter.works. Österreich hätte die Richtlinie eigentlich bis zum 17. Oktober 2024 in nationales Recht gießen müssen, nun drohen Strafzahlungen. 

Ein Entwurf, der kommende Woche im Nationalrat beschlossen werden soll, ist für die Datenschützer lediglich ein „parlamentarisches Feigenblatt.“ Dieser unterscheide sich nämlich kaum von jenem aus 2024, gegen den sich SPÖ, NEOS und FPÖ klar positionierten. Für epicenter.works ist der Grund für das Umdenken der Roten und Pinken klar: „Zwölf Monate und einen Platz in der Regierung später, ist von dieser lauten Kritik, bei nahezu dem gleichen Gesetz, leider wenig übrig.“

SPÖ-Sicherheitssprecher Reinhold Einwallner nannte das damalige Gesetz „hingepfuscht“, NEOS-Generalsekretär Douglas Hoyos bemängelte, dass die schwarz-grüne Regierung keinen breiten Dialog mit Wirtschaft und Zivilgesellschaft gesucht habe.

„Es ist ärgerlich, dass die Umsetzung so lange liegen geblieben ist. Nach einem Jahr Stillstand jetzt in einer Hauruckaktion einen Entwurf zu präsentieren, der die Fehler des abgelehnten Vorgängers wiederholt, wird dem Thema Cybersicherheit nicht gerecht“, kritisierte Sebastian Kneidinger, Policy Advisor bei epicenter.works.

Fehlende Unabhängigkeit
Ein Gutes habe der Entwurf, räumt die NGO ein: die neue Cybersicherheitsbehörde. Weil diese aber vollständig dem Innenministerium unterstellt sei, könne man nicht von Unabhängigkeit sprechen. Sicherheitslücken sollen künftig an eine (dem Innenministerium) weisungsgebundene Behörde gemeldet werden, obwohl eben dieses Ministerium auf genau solche offenen Schwachstellen angewiesen ist, um einen „Bundestrojaner“ zum Einsatz zu bringen, kritisiert epicenter.works.

Dieser Zielkonflikt sei unauflösbar und stelle besonders die Grünen vor ein Grundsatzproblem. „Denn wer den Bundestrojaner ablehnt, kann keinem Gesetz zustimmen, das offene Sicherheitslücken beim Innenministerium zentralisiert.“ Für die Verfassungsmehrheit sind entweder die Stimmen der Grünen oder der FPÖ notwendig.

  Das Auffinden und Schließen von Sicherheitslücken solle im Rahmen eines Cybersicherheitsgesetzes „oberste Priorität“ haben. Im Gesetz würden jedoch Absicherungen für Sicherheitsforscher und -forscherinnen fehlen. „Wer in Österreich Sicherheitslücken an den Staat meldet, riskiert nach wie vor Strafverfolgung und sogar Freiheitsstrafen. Das schwächt nicht nur die Cybersicherheit, sondern auch Österreich als Innovationsstandort“, heißt es in der Analyse.

Gesetz Mitte Dezember im Nationalrat
„Das NIS2-Gesetz wurde ohne Begutachtung vor wenigen Wochen als Regierungsvorlage ans Parlament übergeben“, kritisieren die Datenschützer. Zwischen 10. und 12. Dezember soll es im Plenum des Nationalrats beschlossen werden. Angeblich drohen Österreich im Jänner Strafzahlungen in Millionenhöhe, wenn die NIS2-Richtlinie bis dahin nicht umgesetzt wird.

„Der Entwurf wiederholt die zentralen Fehler seines Vorgängers. Die Behörde ist nicht wirklich unabhängig, die relevanten Akteure aus Wirtschaft, Wissenschaft und Zivilgesellschaft werden nicht strukturell eingebunden und politische Tageslogik verdrängt erneut die fachliche Notwendigkeit“, so Kneidingers Fazit.