Parlament. Die Bundesregierung hat den Gesetzentwurf zur Einrichtung einer nationalen Behörde zur Cybersicherheitszertifizierung beim Bundeskanzler vorgelegt.
Hintergrund des Cybersicherheitszertifizierungs-Gesetzes (CSZG) ist eine EU-Verordnung zur Cyber-Sicherheit (Cybersecurity Act, CSA). Darin werden die EU-Mitgliedstaaten zur Benennung von einer oder mehreren nationalen Behörden für die Cybersicherheitszertifizierung verpflichtet, berichtet die Parlamentskorrespondenz.
Die Ziele der neuen Behörde
Laut den Erläuterungen des Bundeskanzleramts soll mit dem Entwurf nur das unionsrechtlich zwingend Erforderliche geregelt werden. Der CSA sieht die Erarbeitung von Schemata zur Zertifizierung der Cybersicherheit als Teil eines umfassenden europäischen Zertifizierungsrahmens vor. Dieser Rahmen soll sicherstellen, dass IKT-Produkte, IKT-Dienste und IKT-Prozesse, die nach einem entsprechenden Zertifizierungsschema bewertet wurden, den EU-Sicherheitsanforderungen genügen, um so das Vertrauen in das ordnungsgemäße Funktionieren des digitalen Binnenmarktes gewährleisten zu können.
Anbieter und Hersteller sollen dazu die Möglichkeit erhalten, sich freiwillig für eine solche Cybersicherheitszertifizierung zu entscheiden. Begründet wird die Notwendigkeit der neuen Behörde zudem damit, dass in nächster Zeit damit zu rechnen sei, dass sich in Zukunft aus EU-Rechtsakten verpflichtende Zertifizierungen ergeben werden, etwa bei der Brieftasche für die Europäische Digitale Identität.
Neue Behörde soll überwachen
- Der neuen Behörde beim Bundeskanzleramt soll in diesem Sinne, in Zusammenarbeit mit anderen zuständigen Marktüberwachungsbehörden, die Überwachung und Durchsetzung der Vorschriften eines Zertifizierungsschemas für Cybersecurity übertragen werden.
- Ihr soll auch die Überwachung und Durchsetzung der Verpflichtungen der in Österreich niedergelassenen Hersteller:innen von IKT-Produkten, die eine Selbstbewertung der Cybersecurity-Konformität durchführen, obliegen.
- Zu den Aufgabenstellungen gehört weiters die aktive Unterstützung der nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen für den Cyberzertifizierungsbereich.
- Auch die Bearbeitung von Beschwerden, die europäische Cybersicherheitszertifikate betreffen, wird Aufgabe der neuen Behörde sein.
Berichtswesen und Kosten
Vorgesehen ist auch, dass die Behörde Jahresberichte an die European Union Agency for Cybersecurity (ENISA) und die Europäische Gruppe für die Cybersicherheitszertifizierung erstellt sowie mit anderen nationalen Behörden und öffentlichen Stellen für die Cybersicherheitszertifizierung zusammenarbeitet und die einschlägigen Entwicklungen in ihrem Bereich verfolgt. Die Kosten für die neue Behörde werden in der Wirkungsfolgenabschätzung für 2024 mit 617.000 € und in den darauffolgenden Jahren mit jährlich rund 1,3 Mio. € (zuzüglich einer Inflationsanpassung) beziffert.