Die Umsetzung der EU Richtlinie (NIS-2) zur Stärkung der IT-Sicherheit ist sinnvoll und längst überfällig. Österreich hätte diese EU-Vorgaben schon vor Jahren umsetzen müssen. Dieses Versäumnis ist klar beiden letzten Bundesregierungen anzulasten. Nach jahrelanger Verzögerung macht die EU jetzt Druck und Österreich drohen hohe Strafzahlungen. Als Reaktion darauf, wird wohl noch diese Woche ein Gesetz durchs Parlament gedrückt, das zentrale Bedenken ignoriert, demokratische Standards unterläuft und neue Risiken statt echter Sicherheit schafft.

Besonders irritierend: Der neue Entwurf ist nahezu identisch mit dem aus 2024. Damals hatten SPÖ, NEOS und FPÖ uns als Expert:innen im Innenausschuss geladen und sich klar dagegen positioniert. Zwölf Monate und einen Platz in der Regierung später, ist von dieser lauten Kritik, bei nahezu dem gleichen Gesetz, leider wenig übrig.

Statt die lange Verzögerung zu nutzen, um offene Fragen zu klären, echte externe Expertise einzubinden und grundlegende Schwachstellen auszubessern, wird das zentrale Cybersicherheitsgesetz des Landes jetzt unter hohem Zeitdruck und mit minimaler öffentlicher Debatte verhandelt. In einem so hochtechnischen Bereich wie der IT-Sicherheit, in dem parlamentarische Kontrolle naturgemäß an ihre Grenzen stößt, ist das besonders problematisch. Was es gebraucht hätte, wäre Transparenz, Fachdialog und eine breite Einbindung der Zivilgesellschaft. Was wir bekommen, ist ein parlamentarisches Feigenblatt:

Unsere Analyse

Die zentralen Probleme in Kurzfassung

Cybersicherheitsbehörde ohne echte Unabhängigkeit

Ein Gutes hat der aktuelle Entwurf: Die neue Cybersicherheitsbehörde. Weil die aber vollständig dem Innenministerium unterstellt ist, kann man erst recht nicht von Unabhängigkeit sprechen. Wie heikel diese Konstruktion ist, zeigt sich besonders bei der Meldung von Sicherheitslücken an den Staat. Diese sollen künftig an eine (dem Innenministerium) weisungsgebundene Behörde gemeldet werden, obwohl eben dieses Ministerium auf genau solche offenen Schwachstellen angewiesen ist, um einen Bundestrojaner zum Einsatz zu bringen. Ein und dasselbe Ministerium ist also für das Schließen solcher Sicherheitslücken zuständig, während es selbst offene nützt. Dieser Zielkonflikt ist unauflösbar und stellt besonders die Grünen vor ein Grundsatzproblem. Denn wer den Bundestrojaner ablehnt, kann keinem Gesetz zustimmen, das offene Sicherheitslücken beim Innenministerium zentralisiert.

Weitreichende Datenzugriffe des Innenministeriums

Trotz starker Kritik bleiben auch die breiten Datenverarbeitungs- und Übermittlungsbefugnisse des Innenministeriums praktisch unverändert. Ob Früherkennungssysteme, Zweckausweitungen oder unklare Weitergaberegeln: Die Eingriffe sind weit, die Kontrollmechanismen schwach und die neue Berichtspflicht wirkt eher symbolisch als wirksam. Schon 2024 hat die SPÖ dem NIS2-Gesetz „Massenüberwachung“ attestiert und sich klar ausgesprochen dieses „hingepfuschte“ Gesetz im Nationalrat abzulehnen. Auch die Neos halten so eine Konstruktion um das BMI 2024 noch für „bedenklich“. Aber einmal in der Regierung scheinen diese Bedenken wohl verschwunden zu sein.

Überlastung von Bezirksverwaltungsbehörden

Die hohen Sanktionen, die NIS-2 vorsieht, liegen ausgerechnet bei 94 Bezirksverwaltungsbehörden. Diese Stellen verfügen weder über das technische Know-how noch über die Ressourcen, um komplexe IT-Sicherheitsfälle zu beurteilen. Statt Fachkompetenz zu bündeln, wird sie kleinteilig verteilt. Damit riskiert Österreich eine chaotische und ineffiziente Vollzugspraxis, die Unternehmen wie Behörden gleichermaßen belastet.

Fehlende Einbindung externer Expertise

Cybersicherheit ist ein hochkomplexes Thema, das nicht von der Verwaltung allein bewältigt werden kann. Forschung, Wirtschaft und Zivilgesellschaft sollten systematisch eingebunden werden, um eine breitest mögliche Expertenbasis zu schaffen und modernen Bedrohungen auf Augenhöhe zu begegnen. Staaten wie Italien zeigen mit ihrem wissenschaftlichen Beirat wie das ausehen kann. Doch Österreich verpasst auch hier erneut den Anschluss und die Chance, ein modernes, lernendes und offenes Cybersicherheitsökosystem aufzubauen.

Keine Verbesserung für Sicherheitsforschung

Das Auffinden und Schließen von Sicherheitslücken sollte im Rahmen eines Cybersicherheitsgesetzes oberste Priorirät haben und trotzdem fehlen effektive Absicherungen für Sicherheitsforscher:innen im Gesetz. Wer in Österreich Sicherheitslücken an den Staat meldet, riskiert nach wie vor Strafverfolgung und sogar Freiheitsstrafen. Das schwächt nicht nur die Cybersicherheit, sondern auch Österreich als Innovationsstandort.

All das zeigt: Der aktuelle Entwurf ist nicht geeignet die IT-Sicherheit in Österreich zu stärken, sondern riskiert leider genau das Gegenteil. Dabei wäre eine schnelle und gute Umsetzung der NIS2-Richtlinie so dringend notwendig.

Was wird als nächstes passieren?

Das NIS2 Gesetz wurde ohne Begutachtung vor wenigen Wochen als Regierungsvorlage ans Parlament übergeben. Noch diese Woche soll es den Innenausschuss passieren, wo eine einfache Mehrheit reicht. Zwischen 10. und 12. Dezember soll es im Plenum des Nationalrats beschlossen werden und spätestens dort braucht es die Zustimmung von Grünen oder FPÖ für die notwendige Verfassungsmehrheit. Angeblich drohen Österreich im Jänner Strafzahlungen in Millionenhöhe, wenn die NIS2-Richtlinie bis dahin nicht umgesetzt wird. Umso mehr hoffen wir, dass die dringend notwendigen Verbesserungen noch rechtzeitig vorgenommen werden.