CYBERSECURITY

 

Public-Private Partnership zur Umsetzung von NIS-2 im Rahmen einer „NIS-2-Umsetzungstaskforce“

Status Quo

  • Die zunehmende Digitalisierung der kritischen Infrastruktur erhöht gleichzeitig ihre Verwundbarkeit in Zeiten, in denen Cyberangriffe massiv ansteigen, elaborierter werden und immer einfacher durchführbar sind.
  • Mit der NIS2-Richtlinie schafft die EU die Weiterentwicklung der NIS-Richtlinie zum Schutz kritischer Infrastruktur in der EU, um Unternehmen aus insgesamt 18 Branchen wesentlicher und wichtiger Dienste, zu einem hohen Level an Informationssicherheit und Resilienz zu bringen.
  • Durch die Inklusion von klein- und mittelständischen Unternehmen erweitert sich in Österreich gegenüber der NIS-Richtlinie der Anwendungsbereich von 70 auf schätzungsweise bis zu 6.000 Unternehmen und auf viermal so viele Services.
  • Dazu braucht es einen strukturierten Stakeholderprozess zur frühzeitigen und umfassenden Einbindung der Digitalbranche bzw. der betroffenen Unternehmen, die im Rahmen dieses Prozesses Expertise beisteuern und Anmerkungen zur Ausgestaltung machen können sollen.
  • Für NIS2 braucht es eine solche Zusammenarbeit zur Erarbeitung von Standards in der Umsetzung – neben der Unsicherheit in der Erfüllung der Vorgaben bei den geprüften Unternehmen besteht auch keine Einheitlichkeit bei den Prüfungen selbst. In Österreich werden die Prüfungen von QuaSten vorgenommen – die konkret „richtige“ Auslegung gibt es dabei nicht.
  • In Deutschland gibt es aufgrund von 11 Branchenstandards transparentere Prüfungen. Im Bereich der kritischen Infrastruktur wird dieser im UP KRITIS gemeinsam mit Vertretern des BSI erarbeitet.

Vision:

  • Institutionalisierte und weitreichende Public-Private Partnerships im Rahmen einer CxO-Umsetzungstaskforce

Maßnahmen:

  • Initiierung einer CxO-Umsetzungstaskforce durch das Innenministerium unter Einbeziehung der Branche, der WKO und der IV
  • Implementierung von Best Practices und Standards aus dem europäischen Ausland zur Vermeidung von Gold Plating und Ausgestaltung der NIS-2-Umsetzung mit folgenden Schwerpunkten:
  • Ein Zugang, der beratend und mahnend ist anstatt strafend – speziell durch den weiten Scope von NIS2 inklusive vieler Unternehmen insb. KMUs, die aktuell in ihrer Cybersecurity nicht gut aufgestellt sind, braucht es aktive Kommunikation und eine beratende Qualität
  • Leitlinien für Unternehmen, auf die sich betroffene Unternehmen verlassen können und die angepasst an die Größe dieser sind – KMUs brauchen im Gegensatz zu Großunternehmen einen einfacheren Weg, um der Richtlinie zu entsprechen.
  • Transparenz, für welche Unternehmen welche nationalen Umsetzungen gelten – auch Anbieter von wesentlichen Diensten mit Sitz außerhalb der EU fallen unter diese Richtlinie.
  • Ein effizienter und zielgerichteter Ressourceneinsatz durch klare Abgrenzung “irrelevanter” Systeme, die nach einer risikobasierten Bewertung nicht in das Anwendungsgebiet der Richtlinie fallen.

Diese Maßnahmen bewirken:

  • Proaktiven Schutz der kritischen Infrastruktur in Österreich
  • Stärkung von Österreichs Stimme im europäischen-digitalpolitischen Diskurs
  • Positionierung Österreichs als internationaler Vorreiter zur Digitalregulierung in der EU und den damit einhergehenden Ausbau des guten Rufes, den Österreich im Bereich des Datenschutzes genießt, auch im Gebiet der Cybersicherheit

„ÖSTERREICH-ALLIANZ“ zum Aufbau einer Provenance-Stelle

Status Quo:

  • Desinformation ist eine wachsende Bedrohung für die Integrität des Informationsökosystems. Die immer mächtiger werdenden Instrumente zur Bearbeitung und Kreation von Inhalten und die Geschwindigkeit von Entwicklung und Verfügbarkeit von Systemen der generativen KI haben weitreichende Auswirkungen auf unser Verhältnis zu Information und Wahrheit im Netz.
  • Digitale Inhalte werden im demokratiepolitischen und elektoralen Diskurs immer wichtiger und somit ist die technische Integrität von Inhalten eine demokratiepolitische Herausforderung. Umso essenzieller ist ihre Authentizität, um Wahlbeeinflussung zu vermeiden, die Funktionalität der politischen Institutionen und das Vertrauen in sie zu erhalten und den Einfluss von malicious actors zu limitieren.
  • Provenance ermöglicht die digitale „Signatur“ von Inhalten durch die standardisierte Attribution von Metadaten, von Bearbeitungen und somit eine Garantie der technischen Integrität eines Inhaltes.
  • Auch die KI-Verordnung (AI Act) fordert eine Prüfungsstelle zur Authentizität (bzw. Herkunft oder Provenance) von Inhalten, bzw. der Standardisierung von digitalen Signaturen für diese. Die österreichische Umsetzung der Verpflichtung aus dem AI Act ist eine Chance, einen breiten Konsensus von Medien- und Digitalbranche zu schaffen und Best Practices aus dem Ausland wie der C2PA zu übernehmen.
  • Ein offener technischer Standard in einem Schulterschluss von Digitalunternehmen und u.a. BBC existiert seit Jänner 2022 von der Coalition for Content Provenance and Authenticity (C2PA) und beschreibt, wie Provenance-Daten kryptografisch an einen Inhalt gebunden und entlang der Wertschöpfungskette bis zum Endkonsumenten transportiert werden können.

Vision:

  • Orchestrierung eines Schulterschlusses von Digitalbranche, Medienbranche, Verwaltung und Politik in einer Österreich-Allianz für Definition und Durchsetzung von Standards für Inhalte-Signaturen

Maßnahmen:

  • Initiierung einer Arbeitsgruppe zur Ausarbeitung von Standards der Datensignierung durch das Finanzministerium (Staatssekretariat für Digitalisierung) in Koordination mit Innenministerium, Medienministerium und Vertreter:innen aus Medienbranche und Digitalbranche
  • Gemeinsame Kommunikationskampagne der genannten Stakeholder zur Schaffung von Vertrauen in digitale Inhalte

Diese Maßnahmen bewirken

  • Proaktives Auftreten und Engagement Österreichs gegen Fake News und Wahlmanipulation
  • Schaffung Vertrauen der Bevölkerung in die Echtheit von digitalen Inhalten
  • Der Erfolg einer Authentizitätsstelle hängt maßgeblich von der Nutzung der von ihr etablierten Standards und der Einbindung ihrer Signaturen ab – dafür ist es unerlässlich, dass die Digitalbranche in die Umsetzung dieser Stelle eingebunden wird und frühzeitig weltweite technische Expertise liefern kann.

One-Stop-Shop für Digitalregulierung für Bürokratievereinfachung und mehr Rechtssicherheit 

Status Quo:

  • Die kumulativen regulatorischen Anforderungen an Unternehmen der Europäischen Union steigen stetig an – insbesondere die Dossiers mit digitaler Relevanz sind dank des Fokus der europäischen Institutionen auf Digitalisierung in den letzten Jahren enorm gestiegen.
  • Das Zusammenspiel zwischen den bestehenden Materien wie der DSGVO mit neuen Dossiers wie dem Data Act, dem AI Act, oder NIS2 ist aktuell entweder ungeklärt oder administrativ aufwendig, speziell für KMUs. Laut Schätzungen von Digital Europe sind trotz des Grundsatzes „One In One Out“ seit 2019 26 Rechtsakte mit digitaler Relevanz verabschiedet worden, mit weiteren 60 in Planung, während keine aufgehoben wurden.
  • Die Geschwindigkeit, der Umfang, und das noch ungeklärte Zusammenspiel der Regulierung, die auf Europas Industrie zukommt, führen zu rechtlicher und technischer Unsicherheit in der Wirtschaft und bedrohen somit Europas Wettbewerbsfähigkeit. Wenn technische Innovationen und Produkte erst nach Fertigstellung geprüft werden können und bei Zusammenfallen mehrerer Rechtsakte hohe Strafen drohen, wird sich das insbesondere auf die Start-Up Kultur in der EU auswirken.
  • Materien wie der Data Governance Act erfordern nationale Behörden zur Administration der Verfahren/Anfragen – speziell beim bestehenden Fachkräftemangel an IT-Spezialisten in der Verwaltung und der Kurzfristigkeit der zu errichtenden Behörde, bräuchte man im Sinne der Effizienz einen “Regulatorischen One-Stop-Shop”.

Vision:

  • Errichtung eines One-Stop-Shops zur Bündelung der Genehmigungsverfahren für Digitalregulierung

Maßnahmen:

  • Abstimmung der Berichtspflichten von existierenden und neuen Digital-Dossiers
  • Unternehmen, die z.B. KI-Lösungen im Gesundheitsbereich anbieten, fallen in mindestens drei Rechtsschienen: die DSGVO-Pflichten, NIS-Anforderungen und auch die kommende KI-Verordnung.
  • Das sind aktuell drei Ansprechstellen, die teils gleiche oder ähnliche Nachweise verlangen, die Unternehmen dann parallel erbringen müssen. Insbesondere mit der Ausweitung der NIS-Richtlinie von ca. 70 auf Schätzungen zufolge fast 6.000 Unternehmen in Österreich, inklusive vieler KMUs, ist es unerlässlich, dass zumindest Nachweise für die Erfüllung der Kriterien der NIS-2 Richtlinie für die Datenschutzbehörde gelten.
  • Einführung eines digitalen Ombudsmanns als Ansprechstelle für berichtspflichtige Unternehmen
  • Für eine umfassende Rechtssicherheit in aktueller und kommender Regulatorik soll der One-Stop-Shop neben einer Bündelung der Berichtspflichten auch eine beratende Tätigkeit ausüben – ein Art “digitaler Ombudsmann“ für Bürger:innen und Unternehmen in diesem Bereich.
  • Mögliche weitere Tätigkeiten wären insbesondere die Bewertung und Stellungnahme zu neuen nationalen und europäischen Rechtssetzungsvorhaben mit einer digitalen Folgenabschätzung, ein Monitoring der kommenden EU-Regulatorik und die Entwicklung von Standards und Empfehlungen für Bundes- und Landeseinrichtungen.

Diese Maßnahmen bewirken

  • Mehr Rechtssicherheit für die berichtspflichtigen Unternehmen in Österreich
  • Effizienzgewinn durch die Bündelung von Formularen oder Genehmigungen
  • Schaffung von Klarheit in behördlichen Ansprechstellen und Eskalationsstufen

Digitalisierungs-Boost durch modernste Maßnahmen zum Schutz von Staat und Unternehmen vor Cyberangriffen

Status Quo:

  • Während die Gesamtkriminalität signifikant zurückgeht – minus 11,3%[1] – steigt die Cyberkriminalität dramatisch an – plus 26,3%.
  • 60% aller österreichischen Unternehmen sind bereits Opfer eines Cyberangriffs geworden, der Großteil bereits mehrmals.
  • 70% der österreichischen Führungskräfte gehen davon aus, dass die Gefahr für Unternehmen, Opfer von Cyberangriffen und Datendiebstahl zu werden, weiterhin zunehmen wird.
  • Cybersicherheit wird von den meisten Unternehmen in Österreich als geschäftskritischer Faktor bewertet, weshalb das Budget dafür in 75% der Betriebe erhöht wurde.
  • 90% der Unternehmen fordern eine staatliche Stelle, die sich ausschließlich mit Cybersecurity auseinandersetzt.
  • Nur 19% der Unternehmen vertrauen in die Sicherheit ihrer Lieferanten und Cloud-Dienstleister.
  • Gerade bei KMU fehlt es oft an Kapazitäten im Bereich der Cybersecurity.
  • Der Mangel an geeigneten Versicherungsangeboten und konkreten Vorgaben führt zu Compliance-Problemen bei KMU, anstatt für Sicherheit auf digitaler Ebene zu sorgen.
  • Für eine effektive Strafverfolgung fehlt es derzeit an Ressourcen, ausreichenden Rechtsgrundlagen und (Ausbildungs)-Know-How (StA, SV, BKA).

Vision:

  • Staat und Unternehmen schützen sich durch Awareness- und Präventionsmaßnahmen und vertrauensschaffende Programme sowie durch Ausbildungsangebote für Grundwehrdiener:innen vor Cyber-Angriffen

Maßnahmen für die nationale Cyber Security Strategie:

Stärkung KMU im Bereich Cyber Security:

  • Verpflichtende Einführung eines Cyber-Security-Verantwortlichen ab fünf IT-Arbeitsplätzen im Unternehmen (für Betriebe, die noch nicht von der NIS2-Richtlinie umfasst sind) und ein größeres Angebot zur Wissensvermittlung und Weiterbildung durch zertifizierte Organisationen
  • Schaffung eines dafür verbindlichen Anforderungskatalogs (ähnlich NIS) für KMU
  • Definition von einheitlichen Mindeststandards, die ein Unternehmen im Sinne der Due Diligence erfüllen muss, um gegen Cyberangriffe versicherbar zu sein
  • Bestehende Standards nutzen und weiterentwickeln, um Informationen/Zertifizierungen weiterverwenden zu können und bürokratischen Aufwand gering zu halten (z.B. Anforderungen aus KSÖ Cyber Risk Rating, Cyber Trust Label, ISO27001)

Stärkung des staatlichen Schutzes vor Cyber-Angriffen und Cyber Crime

  • Ausbau des derzeitigen Cybersecurity-Ausbildungsangebotes und
    Bewusstseinsbildung für Cyber-Bedrohungen im Rahmen des Grundwehrdienstes (Cyber-Grundwehrdiener:innen)
  • Aufbau einer Cyber-Miliz durch möglichst baldige Einbeziehung der Cyber-Grundwehrdiener:innen ins Milizsystem
  • Schaffung einer intensiven sechsmonatigen Ausbildungsmöglichkeit für L1/L2 Cyber-Analysten (ähnlich wie in Dänemark, Finnland, Niederlande und Israel) für alle Grundwehrdiener:innen

Massive Erhöhung der Aufklärungsquote bei Cyber-Kriminalität durch

  • Verdoppelung der Planstellen für im Bereich Cyber-Crime ermittelnde Behördenstellen in den zuständigen Ministerien und Möglichkeit der Beiziehung eines flexiblen externen Expert:innenpools
  • Weiterbildungsoffensive mit Fokus auf das Erkennen und Bewerten von Cyber Crimes für alle Polizeibeamt:innen
  • Einrichtung eines Security Operations Centers für WKO-Mitgliedsunternehmen, das die Umsetzung von IT-Hygienemaßnahmen überprüfen und die Unternehmen im Falle eines Cyberangriffs unterstützt
  • Stärkere internationale Kooperationen bei länderübergreifender Bekämpfung von Kriminalität und Cyber-Terrorismus und bei Abwehr der Gefährdung der nationalen Sicherheit durch wirtschaftliche, nachrichtendienstliche und terroristische Bedrohung.
  • Aufbau eines Austauschs mit anderen Staaten über den Stand der Technik und den Austausch von Best Practices und Bedrohungsbewusstsein (auch im Bereich 5G)

Resilienzaufbau durch einheitliche Gesamtkoordination für alle für Cyber Security und Cyber Defense zuständigen Behördenstellen

  • Errichtung eines „Cyber Security Competence Hubs“ in Form einer örtlich definierten Sonderzone (Regulatory Sandbox) für den Auf- und Ausbau von Cyber Security Kompetenzen mit dem Ziel internationales Know-How in Österreich anzusiedeln (nach Erhebung und Evaluierung aller bestehenden Initiativen)
  • Technologiepartnerschaften: Enge Kooperation zwischen den zuständigen Behörden und Angebote/Schulung seitens der großen Hyperscaler & SW Anbieter als auch der großen lokalen Cloud & Service
  • Definition für den in der 5G-Infrastruktur technisch-agnostischen (systemunabhängigen) Schutzbedarf, der sowohl auf der klaren regel- und kritikalitätsbasierten Prüfung von Komponenten, Transparenz der Supply Chain des Lieferanten und seine Kontinuität, als auch auf der breiteren Bewertung der Komponentenanbieter aufbaut, und damit eine rechtssichere Investitionsplanbarkeit für privatwirtschaftliche Akteure garantiert
  • Umsetzung von einheitlichen Prüf- und Zertifizierungsprozessen auf EU-Ebene für 5G-Komponenten von Telekommunikationsinfrastruktur und umfassende Implementierung der EU-Toolbox

Einrichtung einer unabhängigen, weisungsfreien Behörde und Aufsetzen einer Arbeitsgruppe zur raschen Umsetzung dieses Vorhabens unter Einbindung der wesentlichen Stakeholder

Diese Behörde:

  • dient als international vernetzte Schnittstelle für heimische Unternehmen.
  • berät zum Thema Cybersecurity und beinhaltet eine Einsatzgruppe gegen Hackerangriffe (Cyber Crime).
  • entwickelt Vorschläge für eine Vereinfachung bzw. Weiterentwicklung des Rechtsrahmens gemeinsam mit Unternehmen und Rechtsexpert:innen.
  • gilt als umfassender Regulator im Digitalbereich, der sich auch als Sparring Partner versteht. Vorbilder gibt es hierzu im Telekom- oder Energiesektor.

Diese Maßnahmen bewirken:

  • Deutliche Reduktion von wirtschaftlichen Schäden, die durch Cyberangriffe entstehen
  • Vertrauensbildung und daraus abgeleiteter Digitalisierungs-Boost in Österreich
  • Attraktivierung des Wirtschaftsstandortes durch Steigerung der Reputation von Politik und Industrie
  • Zurückerlangung von Kontrolle und Souveränität gegenüber immer größer und komplexer werdenden Bedrohung durch Cyberangriffe
  • Begrenzung wirtschaftlicher Schäden für Unternehmen (z.B.: durch Unterbrechungen von Lieferketten)
  • Unterstützung der KMU beim Digitalisierungsschritt
  • Steigerung der Akzeptanz von Milizsoldat:innen seitens der Wirtschaft
  • Attraktivierung des Bundesheeres

[1] KPMG Studie: Cyber Security in Österreich; Studie IT Advisory, April 2021, Sicherheitsforum Digitale Wirtschaft Österreich