Auf den Punkt: Das NISG 2026 enthält unklare Bestimmungen zu CSIRT-Fähigkeiten, die aus einer abgelehnten EU-Parlamentsvariante stammen. Das Recital 44 zur Überwachung von Internet-Assets hängt ohne passenden Artikel in der Luft und führt zu Interpretationsunsicherheiten.
Der österreichische CISO-Blickwinkel auf die Neuerungen im Netzwerk- und Informationssicherheitsgesetz 2026. Wenig hat sich zwischen dem abgelehnten Entwurf von 2024 und der neuen Fassung vom November geändert – doch zwei Punkte verdienen besondere Aufmerksamkeit und Klärung.
Zwischen dem abgelehnten Entwurf von 2024 und dem am 20. November eingebrachten Text haben sich nur wenige Änderungen durchgesetzt. Zwei Aspekte verdienen jedoch besondere Betrachtung.
Das Recital 44 aus der NIS2-Richtlinie wurde wörtlich in die Erläuternden Bemerkungen des österreichischen Gesetzesentwurfes übernommen. Es besagt, dass CSIRTs auf Ersuchen wesentlicher oder wichtiger Einrichtungen deren internetgestützte Anlagen – innerhalb und außerhalb der Geschäftsräume – überwachen sollen. Damit sollen organisatorische Gesamtrisiken bezüglich neuer Sicherheitslücken in der Lieferkette oder kritische Schwachstellen ermittelt, verstanden und verwaltet werden. Die Einrichtungen sollen den CSIRTs mitteilen, ob privilegierte Verwaltungsschnittstellen betrieben werden, da dies die Geschwindigkeit von Abhilfemaßnahmen beeinflusst.
**Ursprung und Interpretation unklar**
Die Problematik: Es ist unklar, was die EU-Gesetzgebung damit tatsächlich bezweckt. Zwar sind Erläuternde Bemerkungen nicht verbindlich, doch eine Ignoranz ist unbefriedigend. Bei genauerer Recherche zeigt sich, dass dieses Recital nicht im ursprünglichen Kommissionsvorschlag auftaucht, sondern aus einem EU-Parlamentskompromiss stammt.
Das Parlament hatte ursprünglich weitaus umfassendere Vorstellungen: CSIRTs sollten technische Fähigkeiten entwickeln wie Echtzeit-Netzwerküberwachung mit Anomalieerkennung, Intrusion-Prevention und -Detection, forensische Datenanalyse, Malware-Filterung und Analyse von Cyber-Bedrohungen. Diese technischen Anforderungen wurden glücklicherweise aus dem finalen Text entfernt – das zugehörige Recital blieb aber erhalten und hängt damit ohne passenden Artikel in der Luft.
Dies führt zu Interpretationsunsicherheiten: Die Erläuternden Bemerkungen zum NISG 2026 zitieren dieses Recital bei der Erklärung zu „§8(1) Aufgaben der CSIRTs“. Vermutlich ist Ziffer 1 gemeint – die Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Cybersicherheitsvorfällen auf nationaler Ebene sowie die Unterstützung betroffener Einrichtungen beim Monitoring ihrer Netzwerke. Doch auch das bleibt Ratespiel ohne verlässliche Orientierung.
Quelle: www.cert.at