Auf den Punkt: Das nationale CSIRT fordert rechtliche Klarheit zu zwei Schlüsselpunkten der NIS2-Umsetzung: Erstens die Ermächtigung zu landesweitem Schwachstellenscanning und Datenverarbeitung über regulierte Einrichtungen hinaus – eine Erfahrung zeigen niederländische Fachkollegen. Zweitens präzise Definition der Supportaufgaben für essenzielle Einrichtungen durch Cyber-Threat-Intelligence-Weitergabe statt nur reaktive Hilfe.
Als österreichisches Cybersicherheits-Team sehen wir bei der Umsetzung der EU-Richtlinie NIS2 zwei zentrale Punkte, die über die Effektivität unserer Arbeit entscheiden: eine klare rechtliche Handhabe für proaktive Scans im gesamten Land und präzise Aufgabendefinitionen für nationale CERTs.
Mit der Übertragung der Cyber-Agenden vom Bundeskanzleramt zum Bundesministerium für Inneres wird auch der Entwurf zum österreichischen NIS2-Gesetz neu aufgelegt. Als nationales CSIRT möchten wir dem verantwortlichen Team zwei praktische Punkte ans Herz legen, die unsere operative Effizienz erheblich verbessern würden.
**Rechtlicher Rahmen für flächendeckendes Schwachstellenscanning**
Die NIS2-Richtlinie beschränkt CSIRT-Aufgaben auf wesentliche und wichtige Einrichtungen. Das aktuelle österreichische Gesetz (§14 NISG) enthält aber klugerweise eine Öffnungsklausel: Teams dürfen auch anderen Einrichtungen helfen, wenn diese von Vorfällen betroffen sind. Dieses Prinzip ist lebensrettend – unsere niederländischen Kollegen erlebten bei fehlender Rechtsgrundlage folgendes Szenario: Ein Partner informierte sie über kompromittierte Systeme mit unmittelbar bevorstehender Ransomware-Aktivierung. Diese Systeme gehörten aber nicht zum regulatorischen Scope. Das NCSC Niederlande durfte die Warnungen nicht weitergeben – aus rein rechtlichen Gründen.
Ähnlich verhält es sich mit dem proaktiven Scanning gemäß Artikel 11 der NIS2-Richtlinie. Dieses Schwachstellenscanning soll Sicherheitslücken aufdecken und betroffene Organisationen informieren. Um das effektiv durchzuführen, brauchen wir vollständige, aktuelle Verzeichnisse aller IP-Adressen und Domains regulierter Einrichtungen. Realistisch betrachtet wird diese Datenbeschaffung fragwürdig funktionieren. Die Lösung ist pragmatisch: Geben Sie uns rechtlich frei, das gesamte Land zu scannen. Das belastet keine österreichische Firma und macht unsere Arbeit transparenter und wirksamer – vom Sicherheitsgewinn für das ganze Land zu schweigen.
**Klare Definition der CSIRT-Unterstützungsaufgaben**
Artikel 11(3) der Richtlinie verpflichtet uns zur „Überwachung und Analyse von Cyberbedrohungen“ mit Unterstützung für wesentliche Einrichtungen beim Echtzeit-Monitoring ihrer Systeme. Das lesen wir als: Wir geben Warnungen heraus und teilen Cyber-Threat-Intelligence, um Organisationen bei der eigenständigen Überwachung zu helfen. Diese präventive, informative Rolle ist sinnvoller und skalierbarer als reine Notfalltäter zu sein.
Quelle: www.cert.at