Abg. Eva-Maria Himmelbauer, BSc (ÖVP), 270. Sitzung, XXVII. GP des NR, 21:09

21.09

Abgeordnete Eva-Maria Himmelbauer, BSc (ÖVP): Herr Präsident! Werte Kolleginnen und Kollegen! Wir können da gleich einsteigen und ein paar Sachen aufklären: Die Regelung im NIS-Gesetz ist an sich nicht gänzlich neu. Schon heute gibt es Regelungen, die die Cybersicherheit betreffen – 100 Unternehmen in Österreich sind betroffen. Ja, in Zukunft sollen mit der neuen Richtlinie weitaus mehr Unternehmen – 3 500 Unternehmen – unter die NIS-Regelungen fallen.

In den letzten Wochen, Monaten sind – und Kollegin Kucharowits stellt sich hierher und tut so, als wäre in den letzten zwei Jahren nichts passiert; ganz im Gegenteil! – viele, viele Vorbereitungsmaßnahmen zu diesem Gesetz getroffen worden. (Abg. Kucharowits: Es ist nichts passiert!) Es sind Informationskampagnen unterwegs, von Wirtschaftskammer, IV, Bundeskanzleramt, BMI und vielen anderen Stakeholdern, die viele der Unternehmen, die davon in Zukunft betroffen sein werden, weil es eine Richtlinie ist, die auch in Österreich umzusetzen ist, informieren und sie bei der Umsetzung der notwendigen Schritte auch begleiten.

Es wurde im Rahmen der Formulierung dieses Gesetzes ein sehr breit gehaltener Stakeholderprozess angelegt, in den auch Experten, Cybersicherheitsexpertinnen und ‑experten, Unternehmen, die davon betroffen sind, eingebunden waren. Dieses Gesetz wurde in enger Abstimmung formuliert, um auch die Praxiserfahrung miteinzubeziehen. Die Rückmeldung dahin gehend ist eine sehr positive.

Es gab ein konstruktives Miteinander mit den Ländern und Gemeinden. Es gibt sogar die sinnvolle Einigung, ein gemeinsames Gesetz zu beschließen. Das führt auch dazu, dass wir heute eine Zweidrittelmehrheit brauchen, aber es vermeidet den Irrsinn, dass wir für die Umsetzung von NIS2 zehn Landesgesetze, Bundesgesetze oder zehn Behörden brauchen, dass noch jedes einzelne Bundesland plus eine Bundesbehörde die NIS-Umsetzungsregelungen kontrollieren. Das wäre Irrsinn. Es ist sinnvoll, dass wir das zusammenlegen.

Es wurde in unserem Umsetzungsvorschlag auch berücksichtigt, dass es eine Möglichkeit, eine langfristige Möglichkeit geben soll, diese Umsetzungsmaßnahmen zu treffen, und zwar bis 1.6.2025.

Klar ist: Die Unternehmen warten auf diese Umsetzungsregelung. Ich kann nur an die gesamte Runde hier appellieren, noch einmal zu überdenken, ob Sie diesem Gesetzentwurf doch zustimmen, denn die Unternehmen brauchen Rechtssicherheit, was diese Richtlinienumsetzung betrifft, und es braucht auch die Sicherheit, dass wir nahe an dieser Richtlinie arbeiten und nicht noch zusätzlich Dinge hinzukommen. Die Unternehmen müssen sich vorbereiten.

Greifen wir ein paar Themen auf, die jetzt angesprochen worden sind – ich kann der SPÖ vielleicht einige Befürchtungen nehmen! Das Thema BMI-Zuständigkeit, Machtkonzentration: Das kann ich nur verneinen. Das BMI war bis dato auch operativ zuständig. Es gibt dort Expertise, zahlreiche Expertinnen und Experten, die bisher auch schon dort beschäftigt waren und die ihre Tätigkeit weiterhin fortsetzen sollen. (Abg. Einwallner: Viel mehr brauchen wir nicht!) Auch die Wirtschaft wünscht sich einen Ansprechpartner, weil es dann einfach leichter in der Umsetzung ist. Auch andere Länder zeigen, dass das Innenressort eine gute Wahl ist, um diese Aufgabe zu erfüllen, oder auch nachgeordnete Dienststellen, die dem Innenministerium zugeordnet sind, wie das beispielsweise in Deutschland das BSI ist.

Das BMI ist in diesem Zusammenhang keine Strafbehörde. Die Cybersicherheitsbehörde hat keine sicherheitspolizeilichen Aufgaben oder Befugnisse. Das heißt, auch da gibt es eine klare Trennung.

Etwas anderes, das heute vielleicht auch noch vorkommen wird, ist das Thema Bürokratie: Natürlich kann man das durchaus kritisieren – ich persönlich kritisiere das auch –; in den letzten Monaten und Jahren ist sehr viel Bürokratie auf unsere Unternehmen zugekommen, aber Cybersicherheit ist eine Hausaufgabe, der sich jedes Unternehmen annehmen muss. Und nicht nur die IT-Abteilungen der Unternehmen beschäftigen sich intensiv damit, auch die Geschäftsführungen sehen das als Notwendigkeit an, um all dem, was in dieser Welt passiert, auch Maßnahmen entgegensetzen zu können.

Der Personalmangel ist angesprochen worden. – Ja, aber genau deswegen ist es auch wichtig, die Synergien aus dem BMI und die Expertise, die jetzt schon vorrätig ist, zu nützen. Egal ob man es auslagert oder eine andere Behörde zuständig ist, Personal wird es auch weiterhin brauchen. Wir haben als Bund auch Maßnahmen im Bereich der Besoldung geschaffen, um IT-Spezialisten anwerben zu können und um als Arbeitgeber auch attraktiv zu sein.

Auch das Thema Vorratsdatenspeicherung und Massenüberwachung ist absolut kein Thema! (Abg. Amesbauer: Waren Sie im Hearing?) Noch einmal: Der Experte selbst im Ausschuss hat gesagt, dass das absurd ist. Es geht um Angriffsdaten, hat er gesagt, um keine Inhaltsdaten, es muss erkennbar sein, woher (Abg. Amesbauer: Nein, das stimmt ja nicht! Genau das Gegenteil!) - - Doch, hat er gesagt. Lassen Sie sich einfach das Protokoll aus dem Ausschuss kommen, das hat er selbst gesagt (Abg. Amesbauer: Ich war dabei!), oder kontaktieren Sie ihn, kein Problem! Aber es wird sicher nicht zu einer Vorratsdatenspeicherung oder Ähnlichem durch dieses Gesetz kommen.

Ich kann nur noch einmal an die Runde appellieren: Für die Unternehmen braucht es Rechtssicherheit, und es wäre gut, wenn wir heute dieses Gesetz beschließen könnten! (Beifall bei der ÖVP.)

21.14

Präsident Mag. Wolfgang Sobotka: Zu Wort gemeldet ist Abgeordneter Amesbauer. – Bitte sehr.