Auf den Punkt: Österreich bereitet die NIS2-Umsetzung vor. Ein CSIRT-Vertreter empfiehlt zwei Regelungen: Erstens sollten nationale Schutzteams auch Einrichtungen außerhalb des NIS2-Perimeters unterstützen dürfen – wie die Niederlande leidvoll erfahren musste. Zweitens sollte die Aufgabendefinition klar verankern, dass CSIRTs durch Threat Intelligence und Warnungen die eigenständige Systemüberwachung fördern.
Ein österreichisches CSIRT-Team skizziert zentrale Anforderungen für eine wirksame Umsetzung der NIS2-Richtlinie. Im Fokus stehen Regelungen zum geografischen Schutzbereich und die konkrete Ausgestaltung von Aufgaben – Punkte, die über Erfolg oder Scheitern der Cybersicherheitsstrategie entscheiden.
Die Cyber-Agenden wechselten im Zuge des österreichischen Regierungswechsels vom Bundeskanzleramt ins Bundesministerium für Inneres. Das neue Team steht vor der Aufgabe, die NIS2-Richtlinie in nationales Recht umzusetzen. Ein erfahrener Sicherheitsleiter bringt dabei zwei zentrale Punkte ein, die aus seiner praktischen Perspektive entscheidend sind.
**Schutzbereich über NIS2-Einrichtungen hinaus erweitern**
Die Richtlinie beschränkt CSIRT-Aufgaben auf wesentliche und wichtige Einrichtungen. Das aktuelle österreichische Gesetz enthält jedoch eine pragmatische Regelung: CSIRTs dürfen auch Einrichtungen außerhalb des NIS-Perimeters unterstützen, wenn diese von Cyberrisiken oder Vorfällen betroffen sind. Das Niederländische NCSC musste diese Lücke schmerzhaft erfahren – es konnte Warnungen vor kompromittierten Systemen und drohender Ransomware-Aktivierung nicht an betroffene Unternehmen weitergeben, weil keine Rechtsgrundlage bestand. Ein ähnliches Problem ergibt sich beim proaktiven Netzwerk-Scanning: CSIRTs sollen anfällige oder unsicher konfigurierte Systeme ermitteln und benachrichtigen – benötigen dafür aber vollständige IP-Adressen- und Domain-Verzeichnisse. Eine Gesetzesfassung, die CSIRTs erlaubt, das gesamte nationale Netzwerk zu durchleuchten, hätte deutliche praktische Vorteile: weniger administrative Hürden, höhere Effizienz und besserer Gesamtschutz ohne nennenswerte Belastung für österreichische Unternehmen.
**Aufgabendefinition präzisieren**
Artikel 11 Absatz 3 der NIS2-Richtlinie definiert die CSIRT-Funktion als „Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen auf nationaler Ebene“ mit Unterstützungsangebot für kritische Einrichtungen. Aus Sicht des Praktikers bedeutet dies: Mit Warnmeldungen und Cyber Threat Intelligence unterstützen CSIRTs die Betreiber dabei, ihre Systeme eigenverantwortlich zu überwachen. Diese Interpretation ist sinnvoll und sollte in der Gesetzgebung explizit verankert werden.
Quelle: www.cert.at