Wien (PK) – Nachdem die Umsetzung der „Network and Information
Security
Directive“ der EU (NIS-2) in der vergangenen Legislaturperiode an der
erforderlichen Zweidrittelmehrheit im Nationalrat scheiterte, nahm
sie diese parlamentarische Hürde in der heutigen Plenarsitzung . ÖVP,
SPÖ, NEOS und Grüne gaben dem Netz- und
Informationssystemsicherheitsgesetz 2026 ( NISG 2026 ) samt
flankierenden Änderungen im Telekommunikations- und im
Gesundheitstelematikgesetz grünes Licht. Dieses orientiert sich
weitestgehend an der Version von 2024, sieht jedoch Adaptierungen
etwa bei den Berichtspflichten, den Übergangsfristen und der
institutionellen Ausgestaltung der Cybersicherheitsbehörde vor. Die
Richtlinie soll generell die Cyber- und Informationssicherheit von
systemrelevanten Unternehmen und Institutionen unionsweit regeln und
enthält Bestimmungen, wie sich diese auf potenzielle Cyberattacken
vorzubereiten bzw. mit erfolgten Cybercrime-Vorfällen umzugehen
haben.
Koalition und Grüne betonten die Notwendigkeit einheitlicher
europäischer Cybersicherheitsstandards angesichts einer komplexer
werdenden Bedrohungslage und verwiesen auf Verbesserungen gegenüber
dem Entwurf von 2024 – etwa bei Datenschutz, Berichtspflichten und
der Ausgestaltung der Cybersicherheitsbehörde. Sie sahen im NISG 2026
einen zentralen Schritt zur Stärkung der Resilienz kritischer
Infrastruktur. Die FPÖ kritisierte das Gesetz auf allen Ebenen,
warnte vor zusätzlicher Bürokratie für rund 4.000 Unternehmen, vor
überhöhten Strafdrohungen. Zudem kritisierte sie eine aus ihrer Sicht
problematischen Machtkonzentration im Innenressort sowie vor
Zielkonflikten zwischen Cybersicherheit und Überwachungsbefugnissen.
Einstimmigkeit erzielte hingegen ein gemeinsamer Antrag von ÖVP,
SPÖ, NEOS und Grünen auf eine stärke Missbrauchsprävention bei
Überwachungsmaßnahmen. Demnach solle die operative Anwendung der
jüngst beschlossenen Gefährder-Überwachung nicht vor einer adäquaten
strafrechtlichen Flankierung erfolgen. Die Bundesregierung wird daher
daran erinnert, ihre im Ministerratsvortrag zu Gefährder-Überwachung
eingegangene Selbstbindung einzuhalten und entsprechende Grundlagen
vorzubereiten.
Am Ende der heutigen Debatten hat sich der Nationalrat einstimmig
für die Auslieferung von ÖVP-Abgeordneten Wolfgang Gerstl
ausgesprochen.
Karner und Leichtfried betonen Notwendigkeit einheitlicher
Cybersicherheitsstandards
„Sehr lange und intensiv“ sei der Gesetzesvorschlag mit allen
wesentlichen Stakeholdern debattiert worden, erklärte Innenminister
Gerhard Karner im Plenum. Dessen wichtigstes Ziel sei es,
einheitliche Sicherheitsstandards europaweit festzulegen, sodass
innerhalb der Union „aufeinander Verlass“ sein könne. Dem sei ein
„breiter Einbindungsprozess“ vorausgegangen, in dem sich etwa die
Bundesländer, die Wirtschaftskammer oder die Industriellenvereinigung
einbracht hätten. Karner sei bewusst, dass die neuen Vorgaben für die
betroffenen Unternehmen und Einrichtungen sowohl einen zeitlichen als
auch finanziellen Aufwand bedeuteten. Es sei aber ebenso klar, dass
diese Maßnahmen auch für den Selbstschutz der Unternehmen notwendig
seien. Dabei werde dem Grundsatz „Beraten statt Strafen“ gefolgt. Im
Vergleich zur Version von 2024 sei im NISG 2026 etwa die
Unabhängigkeit der Cybersicherheitsbehörde gestärkt worden. Eine
Weisungsbefugnis für Karner sei jedoch trotzdem vorgesehen, da der
„Innenminister sich zu seiner Verantwortung bekennen muss“, so
Karner.
Mehr Gewicht sei im NISG 2026 auch auf den Datenschutz, die
Entlastung der Unternehmen und die Berichtspflichten gelegt worden,
ergänzte Staatssekretär Jörg Leichtfried. Die Bedrohungslage für
Österreich sei in den letzten Jahren deutlich „komplexer und
anspruchsvoller“ geworden. Als Antwort darauf bedeute das Gesetz
einen wichtigen Schritt, erklärte Leichtfried.
FPÖ übt Kritik auf allen Ebenen
Niemand habe etwas gegen mehr Cybersicherheit einzuwenden,
schickte FPÖ-Abgeordneter Gernot Darmann voraus. Seine Fraktion
spreche sich allerdings „vehement“ dagegen aus, wie dies
sichergestellt werden soll. So würden nun etwa rund 4.000 Unternehmen
in Österreich unter Androhung von überhöhten Strafen mit neuer
Bürokratie belastet. Über die Strafen sollen laut Darmann
Bezirkshauptmannschaften entscheiden, die dafür auch über genügend
Personal und „höchste Cyberkompetenz“ verfügten, wie er ironisch
anmerkte. Zudem müssten mit dem Gesetz „hochsensible Daten“ an das
Innenministerium übermittelt werden, dass nun für die Schließung von
Cybersicherheitslücken verantwortlich sei und gleichzeitig ein
Interesse daran habe, diese für die Anwendung der Gefährder-
Überwachung offen zu halten. Darmann sprach von einem
„haarsträubenden Zielkonflikt“.
Unter anderem die „Machtkonzentration“ im Innenressort hätten vor
einem Jahr auch SPÖ und NEOS noch kritisiert und daher dem
Gesetzesvorschlag nicht zugestimmt, ergänzte Irene Eisenhut (FPÖ).
Diese behaupteten nun, dass so wesentliche Änderungen stattgefunden
hätten, das sie ihre Meinung revidieren und nun zustimmen könnten.
Ihr Koalitionspartner ÖVP erkläre jedoch, dass es keine wesentlichen
Änderungen gebe und man daher auch kein neues Begutachtungsverfahren
brauche, sprach Eisenhut die aus ihrer Sicht widersprüchlichen
Haltungen innerhalb der Koalition an.
Ihr Fraktionskollege Reinhold Maier erklärte sich diese damit,
dass SPÖ und NEOS „für ein paar Regierungssessel im Liegen
umgefallen“ seien. Er stieß sich vor allem an der neuen
Cybersicherheitsbehörde, die bis 2029 auf 172 Planstellen aufwachsen
solle. Dies gehe sowohl personell als auch budgetär auf Kosten der
Basis-Polizei, die gleichzeitig unter einem massiven Sparzwang leide.
Die Bundesregierung beweise hier eine „falsche und unverantwortliche“
Prioritätensetzung, so Maier.
Grüne sehen Beginn einer neuen, europäischen
Cybersicherheitsarchitektur
Das NISG 2026 sei mit der Version von 2024 „nahezu ident“
erklärte auch Süleyman Zorba (Grüne). Er könnte daher „genüsslich“
auf der „Wendung“ von SPÖ und NEOS „herumreiten“ und auch die
gleichen Argumente der beiden Parteien gegen das Gesetz von 2024
vorbringen. Der parteipolitische „Hickhack“ sei jedoch angesichts der
Bedeutung des Schutzes der kritischen Infrastruktur „fehl am Platz“.
Europa ziehe bei der Cybersicherhit nun an „einem Strang“ und
Österreich sei „endlich Teil davon“. Das NISG 2026 stelle den „Beginn
einer neuen Sicherheitsarchitektur im Cybersicherheitsbereich“ dar,
erklärte Zorba, und das „Ende der Fahnenstange“ sei damit noch nicht
erreicht. Nun gelte es etwa, in die Ausbildung der notwendigen
Fachkräfte zu investieren.
Man solle sich nicht der Illusion hingeben, „immer vor allem
geschützt“ sein zu können, gab Agnes Sirkka Prammer (Grüne) zu
bedenken. Es sei jedoch wichtig, die bestmöglichen
Sicherheitsstandards einzuhalten. Im Bereich physischer Bedrohungen,
wie durch Drohnen, sei die Gefahr für jeden gut vorstellbar, im
Bereich der Datensicherheit sei dies jedoch nicht der Fall, so
Prammer. Sie zeigte Verständnis dafür, dass die durch das NISG 2026
entstehenden Aufwände für viele Unternehmen „nicht angenehm“ seien.
Doch Kinder würden es auch nicht mögen, wenn sie „Schwimmflügel
angezogen bekommen“ und für die Gesamtgesellschaft stelle
Cybersicherhit eine Notwendigkeit dar.
Koalition sieht klare Verbesserungen zu vorangegangenem
Gesetzesentwurf
Österreich sei im Bereich der Cybersicherheit von zwei Seiten
„unter Druck geraten“, führte Friedrich Ofenauer (ÖVP) aus.
So drohe einerseits ein Vertragsverletzungsverfahren seitens der
EU und andererseits sei Europa hybriden Angriffen ausgesetzt. Deren
Bedrohungspotenzial sei genau so hoch wie jenes von kinetischen
Angriffen, so Ofenauer, weshalb man dringend widerstandsfähiger
werden müsse. Die dafür notwendige Cybersicherheitsbehörde werde zwar
im Innenministerium angesiedelt, jedoch außerhalb der
Generaldirektion für die öffentliche Sicherheit, hielt er der FPÖ
entgegen. Um einen „Schnellschuss“ handle es sich beim NISG 2026
nicht, da bereits 2024 ein Begutachtungsverfahren stattgefunden habe.
Von einer „vielfältigen Bedrohungslage“ aus und Angriffen, die
von überall auf der Welt kommen könnten sprach Maximilian Köllner (
SPÖ). Cyberkriminalität habe keine nationalen Grenzen. Gegenüber dem
Entwurf von 2024 hätte sich insbesondere etwas bei den
Berichtspflichten und dem Datenschutz geändert. Der Innenminister
könne der Cybersicherheitsbehörde zwar Weisungen erteilen, jedoch nur
auf schriftlichem Wege und mit Berichterstattung an das Parlament
entgegnete Köllner der FPÖ. Die Zustimmung zum NISG 2026 der SPÖ sei
kein „Jubelakt“, sondern Ausdruck staatspolitischer Verantwortung,
erklärte Robert Laimer (SPÖ). Österreich könne es sich nämlich „nicht
erlauben“, bei der Cybersicherheit „länger zuzuwarten“.
Verständnis für die „Ungeduld“ der Wirtschaft angesichts des
langen Gesetzwerdungsprozesses zeigte Ines Holzegger (NEOS). Nun
werde jedoch „endlich Klarheit“ geschaffen. Auch laut ihr habe sich
im Vergleich zum Entwurf des Vorjahres „einiges geändert“ und es
seien viele „wertvolle Stellungnahmen“ in die Neufassung
eingeflossen. Zudem werde zusätzliche Bürokratie möglichst vermieden,
indem etwa Zertifikate im Bereich der Cybersicherheit anerkannt
würden, über die ohnehin schon viele Unternehmen verfügen würden, so
Holzegger.
Abänderungsantrag zum NISG 2026
Im Plenum brachten die Koalitionsparteien zum NISG 2026 noch
einen Abänderungsantrag ein, in dem die vorgesehenen Berichts- bzw.
Veröffentlichungspflichten dahingehend präzisiert werden, dass diesen
spätestens sechs Monate nach Ende des jeweiligen Berichtszeitraums
nachzukommen ist. Das von der geplanten Cybersicherheitsbehörde zu
führende Register der betroffenen Einrichtungen und Unternehmen soll
regelmäßig, längstens jedoch alle zwei Jahre zu überprüfen und bei
Bedarf anzupassen sein. Weiters wird klargestellt, dass der von der
Cybersicherheitsbehörde alle drei Monate an die ENISA (Agentur der EU
für Cybersicherheit) zu übermittelnde Bericht über erhebliche
Cybersicherheitsvorfälle und -bedrohungen lediglich aggregierte und
anonymisierte Daten enthalten soll. Außerdem sollen Änderungen in den
Angaben, die betroffene Einrichtungen und Unternehmen bei der
Cybersicherheitsbehörde zu übermitteln haben – etwa bezügliche der
Mitgliedstaaten in denen sie Dienste erbringen – spätestens zwei
Wochen ab dem Tag der Änderung der Behörde mitzuteilen sein.
Verschärfungen bei Missbrauch von Überwachungsmaßnahmen
ÖVP, SPÖ, NEOS und Grüne brachten den Antrag zur
Missbrauchsprävention bei Überwachungsmaßnahmen im Innenausschuss auf
Basis einer Initiative der Grünen mit ähnlicher Stoßrichtung ein.
Konkret wird im gemeinsamen Antrag um einen Regelungsvorschlag im
Strafgesetzbuch ersucht, um eine missbräuchliche Ausübung der
Überwachungsbefugnisse angemessen bestrafen zu können. Der
ursprüngliche Antrag der Grünen blieb in der Minderheit.
Die Gefährder-Überwachung habe dem Verfassungsschutz ein
wichtiges Werkzeug in die Hand gegeben, um effizient und zeitgemäß
gegen Bedrohungen vorgehen zu können, betonte Staatssekretär Jörg
Leichtfried. Dabei gebe es viele Kontroll- und
Absicherungsmechanismen. Die nun geforderte Stärkung der Regeln gegen
Missbrauch sei bereits in Vorbereitung.
Es wäre besser gewesen, wenn es weder die Messenger-Überwachung
noch die NIS-Gesetzgebung gegeben hätte, denn dies führe nur zu einem
Überwachungsstaat und bringe keine Verbesserung der Sicherheit,
kritisierte Gernot Darmann (FPÖ). Bei Missbrauch sei es wichtig,
diesen hart zu bestrafen, erinnerte Darmann die Bundesregierung an
ihr eigenes Versprechen.
Österreich habe einen „gefährlichen Blindfleck“ gehabt und sei
auf Hinweise ausländischer Dienste angewiesen gewesen, befürworte
Thomas Elian (ÖVP) die Gefährder-Überwachung, die keine
Massenüberwachung sei.
Im Gesetz seien umfangreiche Präventionsmaßnahmen gegen
Missbrauch vorgesehen und dieser müsse streng geahndet werden,
betonte Sabine Schatz (SPÖ). Dies schütze die Bevölkerung und stärke
die Demokratie. Christian Oxonitsch (SPÖ) freute sich, dass die
Forderung bereits in Umsetzung sei.
Die Gefährder-Überwachung sei kein leichtes Thema für die NEOS
gewesen, sagte Sophie Marie Wotschke (NEOS). Deswegen sei es wichtig
gewesen den größtmöglichen Rechtsschutz, engste Anwendungsgrenzen und
harte Sanktionen zu verankern. Ein harter Strafrahmen werde ein
Signal setzen, dass sich Missbrauch nicht lohne. Yannick Shetty (NEOS
) betonte, dass eine anlasslose Massenüberwachung abzulehnen sei.
Ein „unglaubliches Missbrauchspotential“ sah Süleyman Zorba (
Grüne) in der Gefährder-Überwachung. Dies müsse daher im
Strafgesetzbuch erfasst werden und es brauche für einen besseren
Überblick eine Überwachungsgesamtrechnung.
Auslieferung von ÖVP-Mandatar Wolfgang Gerstl
Am Ende der heutigen Debatten hat sich der Nationalrat einstimmig
für die Auslieferung von ÖVP-Abgeordneten Wolfgang Gerstl
ausgesprochen. Konkret geht es um das Ersuchen der Staatsanwaltschaft
Wien um Zustimmung zur behördlichen Verfolgung von Gerstl.
Medienberichten zufolge stehe der Abgeordnete unter Verdacht, im
Vorfeld der Wien-Wahl als Mitglied der Bezirkswahlbehörde das
Amtsgeheimnis gebrochen zu haben.
Der Vorwurf der Staatsanwaltschaft sei „pikant“, meinte
demgegenüber Norbert Nemeth (FPÖ). Es sei dabei gegen Wahlverfahren
in manipulativer Weise eingegriffen worden und Bürgerinnen und
Bürgern hätte das passive Wahlrecht rund um die Gründung der Liste
„Fair 1140 Wien“ verweigert werden sollen. Bis zur Klärung der
Vorwürfe solle Gerstl daher sein Amt in der Bundeswahlbehörde
niederlegen, forderte Nemeth. Michael Schilchegger (FPÖ) mahnte
ebenfalls politische Konsequenzen seitens Gerstl, aber auch von ÖVP-
Klubobmann August Wöginger ein und urgierte die Einhaltung der
eigenen Maßstäben der ÖVP.
Christoph Zarits (ÖVP) erinnerte an Verfahren gegen Mandatarinnen
und Mandatare der FPÖ. Er zeigte sich überzeugt, dass sich die
Vorwürfe gegen Gerstl „rasch in Luft auflösen“ würden. (Fortsetzung
Nationalrat) wit/pst
HINWEIS: Sitzungen des Nationalrats und des Bundesrats können
auch via Livestream mitverfolgt werden und sind als Video-on-Demand
in der Mediathek des Parlaments verfügbar.