Wien (PK) -

Die Abkürzung "NIS-2" beschäftigt Österreichs Politik sowie rund 4.000 betroffene Einrichtungen und Unternehmen seit nunmehr drei Jahren. Anfang 2023 trat die "Network and Information Security Directive" der EU in Kraft. Die Richtlinie soll die Cyber- und Informationssicherheit von systemrelevanten Unternehmen und Institutionen unionsweit regeln und enthält Bestimmungen, wie sich diese auf potenzielle Cyberattacken vorzubereiten bzw. mit erfolgten Cybercrime-Vorfällen umzugehen haben. Bis zum 17. Oktober 2024 hätte sie ins Nationale Recht der Mitgliedstaaten umgesetzt werden müssen. Nachdem diese Umsetzung in Österreich in Form des Netz- und Informationssystemsicherheitsgesetzes 2024 (NISG 2024) nicht die erforderliche Zweidrittelmehrheit im Nationalrat erhielt (siehe PK 785/2024), leitete die Europäische Kommission im November 2024 ein Vertragsverletzungsverfahren gegen Österreich und 22 weitere säumige EU-Staaten ein.

Nun unternimmt die Bundesregierung einen neuen Anlauf: Am 20. November 2025 legte der Ministerrat das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) vor, samt flankierenden Änderungen im Telekommunikations- und im Gesundheitstelematikgesetz (308 d.B.). Dieses orientiert sich weitestgehend an der Version von 2024, sieht jedoch Adaptierungen etwa bei den Berichtspflichten, den Übergangsfristen und der institutionellen Ausgestaltung der Cybersicherheitsbehörde vor.

Da das NISG 2026 Verfassungsbestimmungen enthält, bedarf sein Beschluss erneut einer Zweidrittelmehrheit im Parlament. Zumindest in der heutigen, kurzfristig anberaumten Sitzung des Innenausschusses konnte eine solche mit den Stimmen von ÖVP, SPÖ, NEOS und Grünen bereits gesichert werden. Innenminister Gerhard Karner und die Koalition verwiesen unter anderem auf die geopolitische Lage, die EU-einheitliche Cybersicherheitsstandards notwendig mache. SPÖ und NEOS, die 2024 als Oppositionsparteien noch gegen den damaligen Entwurf gestimmt hatten, erklärten ihre nunmehrige Zustimmung damit, dass ihre einstigen Kritikpunkte "ausgeräumt" worden seien. Die Grünen begründeten ihre Zustimmung mit "staatspolitischer Verantwortung". Keine Zustimmung gab es von den Freiheitlichen, die zahlreiche Kritikpunkte vorbrachten, von der Entstehung des Gesetzesvorschlags, über die vorgesehene Behördenstruktur und die Folgen für die betroffenen Unternehmen, bis zu den geplanten Sanktionshöhen.

Karner sieht "guten Vorschlag" nach "intensiven Verhandlungen"

Nach "intensiven Verhandlungen" sei der Bundesregierung nun ein "guter Vorschlag" gelungen, der sich vom NISG 2024 etwa bei den Berichtspflichten oder der Ausgestaltung der Cybersicherheitsbehörde unterscheide, erklärte Innenminister Karner im Ausschuss. Dem sei ein "breiter Einbindungsprozess" vorausgegangen, in dem sich etwa die Bundesländer, die Wirtschaftskammer oder die Industriellenvereinigung einbracht hätten. Ein Ziel sei dabei immer gewesen, kein "Gold-Plating" zu betreiben und dem Grundsatz "Beraten statt Strafen" zu folgen. Karner sei bewusst, dass die neuen Vorgaben für die betroffenen Unternehmen und Einrichtungen sowohl einen zeitlichen als auch finanziellen Aufwand bedeuteten. Es sei aber ebenso klar, dass diese Maßnahmen auch für den Selbstschutz der Unternehmen notwendig seien.

FPÖ bringt vielfältige Einwände

Zahlreiche Kritikpunkte an der Regierungsvorlage brachte FPÖ-Mandatar Gernot Darmann vor, beginnend mit der Genese des Gesetzesvorschlags, in die weder Experten noch Betroffene eingebunden worden seien und auch kein Begutachtungsverfahren stattgefunden habe. Um eine Ausschussbegutachtung zu ermöglichen, brachte er auch einen Vertagungsantrag ein, der jedoch keine Mehrheit fand. Der aktuelle Vorschlag sei nahezu identisch mit jenem von 2024, weshalb Darmann fragte, was SPÖ und NEOS nun dazu bewogen habe, diesem zuzustimmen, obwohl etwa die SPÖ vor einem Jahr noch als Oppositionspartei von "Massenüberwachung" gesprochen habe.

Ein "heikles Konstrukt" sei die Ansiedelung der vorgesehenen Cybersicherheitsbehörde im Innenministerium. Das Ressort sei nun für die Schließung von Cybersicherheitslücken verantwortlich und habe im Rahmen der Messenger-Überwachung gleichzeitig ein Interesse daran, diese offen zu halten.

Weiters stieß sich Darmann an der zusätzlichen Bürokratie, die durch das Gesetz geschaffen werde sowie an den Kosten für die Unternehmen, die daraus resultierten und die dann auf die Konsumentinnen und Konsumenten "mitten in der Teuerungskrise abgewälzt" würden. Zudem kritisierte Darmann die aus seiner Sicht "haarsträubenden" Sanktionen bei Verstößen von bis zu 10 Mio. Ꞓ bzw. 2 % des weltweiten Jahresumsatzes, die Zuständigkeiten bei Bezirksbehörden, die dafür erst geschult werden müssten sowie mögliche problematische Auswirkungen auf die Lieferketten.

Grüne stimmen aus "staatspolitischer Verantwortung" zu

Das NISG 2026 sei "im Großen und Ganzen" der selbe Entwurf wie jener von 2024, meinte auch Süleyman Zorba von den Grünen. Er habe schon damals nicht verstanden, warum SPÖ und Grüne nicht zustimmten. Seine Fraktion werde dies aus "staatspolitischer Verantwortung" jedoch tun. Die Umsetzung der NIS-2 Richtlinie hält Zorba für wichtig, um europaweit einheitliche Standards zu schaffen, was in weiterer Folge auch zu einem Bürokratieabbau führen könne. Die Ansiedelung der Cybersicherheitsbehörde sei bereits 2024 kontrovers diskutiert worden. Zorba habe aber noch keinen Vorschlag gehört, wo diese besser aufgehoben wäre. Verbesserungsbedarf sah er bei den Transparenzregelungen: die Berichtspflichten sollten laut Zorba auch mit Fristen versehen werden, damit aktuelle Probleme auch zeitnah behandelt werden könnten.

Koalition sieht Kritikpunkte von letztem Jahr "ausgeräumt"

ÖVP-Abgeordneter Friedrich Ofenauer dankte den Grünen für ihre Zustimmung und verwies auf den "Druck von mehreren Seiten", die die Umsetzung der NIS-2-Richtlinie nun notwendig mache. So drohe einerseits ein Vertragsverletzungsverfahren seitens der EU und andererseits sei Europa hybriden Angriffen ausgesetzt. Bei größeren Betrieben sei bereits "Awareness" bezüglich der Cybersicherheit vorhanden, diese müsse aber nun vermehrt auch in kleineren Einzug halten. Die neue Cybersicherheitsbehörde sei in diesem Sinne auch als "Service- und Beratungsstelle" zu verstehen, so Ofenauer. Diese werde zwar im Innenministerium angesiedelt, jedoch außerhalb der Generaldirektion für die öffentliche Sicherheit, hielt er der FPÖ entgegen. Um einen "Schnellschuss" handle es sich beim NISG 2026 nicht, da bereits 2024 ein Begutachtungsverfahren stattgefunden habe, und seither habe sich am Entwurf - abgesehen von den Berichtspflichten - "nichts wesentliches geändert".

Einen "Schnellschuss" sah auch Maximilian Köllner (SPÖ) nicht, da bereits zahlreiche Diskussionen vorausgegangen seien. Viele der Kritikpunkte von 2024 hätten nun ausgeräumt werden können, indem etwa für mehr Transparenz gesorgt worden sei. Österreich könne es sich auch nicht leisten, mit der Umsetzung von NIS-2 "zuzuwarten", da Cyberkriminalität keine Grenzen kenne, so Köllner.

Auch die NEOS wollten keine "unnötigen Belastungen" für Unternehmen, betonte ihre Abgeordnete Ines Holzegger, doch müsste den aktuellen Bedrohungen etwa durch Cyberangriffe Rechnung getragen werden. Diesbezüglich habe die Wirtschaft in den letzten Jahren immer höhere Schäden zu verzeichnen, weshalb auch die Schulung von Mitarbeitenden, die Teil des Gesetzesvorschlags sei, eine große Bedeutung habe. Zudem gehe es darum, mehr Klarheit in den europäischen "Zertifizierungsdschungel" zu bringen, sagte Holzegger. Ihre Fraktion stimme etwa aufgrund der Ausweitung der Berichtspflichten diesmal zu. (Fortsetzung Innenausschuss) wit