Organisationen
Strukturen und Zuständigkeiten der Österreichischen Cybersicherheitsstrategie
Die Österreichische Strategie für Cybersicherheit (ÖSCS 2021) baut auf gesetzlichen Grundlagen, klar definierten Zuständigkeiten sowie etablierten sektor- und ressortübergreifenden Gremien, Plattformen und Koordinierungsmechanismen.
Die Zusammenarbeit mit Ländern und Gemeinden erfolgt im Rahmen ihres eigenen Wirkungsbereichs auf Basis des Prinzips der Selbstverwaltung. Ein regelmäßiger, aktiver Austausch mit dem Bund gewährleistet hier eine enge Abstimmung.
Für die Sicherheit von Netz- und Informationssystemen wurden in Österreich operative Koordinierungsstrukturen geschaffen. Diese ermöglichen die kontinuierliche Lagebeurteilung und den abgestimmten Einsatz der Cyberkräfte bei Vorfällen. Zentrale Elemente sind die Operative Koordinierungsstruktur (OpKoord) sowie deren innerer Kreis, der IKDOK (Innerer Kreis der Operativen Koordinierungsstruktur).
Die organisatorische Leitung dieser Strukturen liegt beim Bundesministerium für Inneres (BMI). Im Falle einer Cyberkrise, die einen militärischen Einsatz erfordert, übernimmt das Bundesministerium für Landesverteidigung (BMLV) die Führung.
Der IKDOK fungiert im Krisenfall als direkte Schnittstelle zum gesamtstaatlichen Cyberkrisenmanagement (CKM), unterstützt durch die OpKoord. Das CKM dient als zentrale Koordinationsplattform bei ressortübergreifenden Krisenentwicklungen.
Auf strategischer Ebene ergänzen zwei weitere Gremien das System:
-
Die Cyber Sicherheit Steuerungsgruppe (CSS), zuständig für die Umsetzung der ÖSCS
-
Die Cyber Sicherheit Plattform (CSP), die als zentrales Forum für Austausch und Zusammenarbeit zwischen Wirtschaft, Wissenschaft und öffentlicher Verwaltung fungiert.
Strukturen auf strategischer Ebene
Die Cyber Sicherheit Steuerungsgruppe (CSS) ist das zentrale, strategisch-planende Organ der Cybersicherheit in Österreich. Sie entwickelt und koordiniert sämtliche Maßnahmen der ÖSCS. Darüber hinaus überwacht sie die Umsetzung der ÖSCS (Monitoring), aktualisiert den Maßnahmenkatalog und erstellt einen jährlichen Bericht zur Cybersicherheit.
Die CSS setzt sich aus hochrangigen Vertreterinnen und Vertretern mit Cybersicherheitsexpertise der im Nationalen Sicherheitsrat vertretenen Ressorts zusammen. Dem Gremium gehören die Ressorts an, denen die Angelegenheiten der Telekommunikation und der Digitalisierung obliegen. Themenorientiert kann die CSS Vertreterinnen und Vertreter weiterer Einrichtungen der öffentlichen Verwaltung (EdöV) zur Teilnahme einladen (CSS+). Dazu zählen insbesondere jene Ressorts, die entweder selbst direkt von den Maßnahmen der ÖSCS 2021 betroffen sind oder deren Wirkungsbereich Organisationen und/oder Unternehmen umfasst, die von den Maßnahmen tangiert sind.
Zur Feststellung des Vorliegens einer Cyberkrise und zum Beschluss operativer Maßnahmen zu ihrer Bewältigung wurde mit dem NISG ein Koordinationsausschuss eingerichtet. Der Ausschuss ist um weitere Vertreter von Bundes- oder Landesbehörden, Betreiber wesentlicher Dienste (BwD) und Computer-Notfallteams sowie Einsatzorganisationen zu erweitern, wenn dies zur Bewältigung der Cyberkrise erforderlich ist.
Strukturen auf operativer Ebene
Der IKDOK ist eine interministerielle Struktur zur Koordination der operativen Ebene im Bereich Cybersicherheit. Der IKDOK erörtert und aktualisiert das nationale Lagebild und unterstützt den Koordinationsausschuss im Cyberkrisenmanagement.
Der IKDOK wird ausgebaut, damit er zukünftig über die erforderlichen Ressourcen verfügt, um im Auftrag der Steuerungsgruppe Cybersicherheit Empfehlungen und Einschätzungen in Fragen der Cybersicherheit für die Bundesverwaltung abgeben zu können.
Die OpKoord ist eine Struktur zur Koordination auf der operativen Ebene im Bereich der Cybersicherheit. Sie besteht aus dem IKDOK sowie den Computer-Notfallteams gemäß dem Netz- und Informationssicherheitsgesetz. Darüber hinaus kann sie um Vertretende von Betreibern wesentlicher Dienste (BwD), von Anbietern digitaler Dienste (AdD) sowie von Einrichtungen der öffentlichen Verwaltung (EdöV) – einschließlich der bei diesen eingerichteten Computer-Notfallteams – erweitert werden.
Cyber Security und Cyber Defense ist auch ein bedeutendes Thema, dass der Digital Austria Act aufgreift. Lesenswertes dazu unter Digital Austria Act.
Mit dem NIS-Gesetz werden Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen der Einrichtungen, die in den Anwendungsbereich fallen, erreicht werden soll.
Das Bundesheer bündelt Cyber-Kräfte, um den Cyberraum und die Infrastruktur in Österreich zu verteidigen. Auch das Bundesministerium des Innern (BMI) stellt sicher, dass Mitarbeiterinnen und Mitarbeiter der Sicherheitsbehörden über die notwendigen Kompetenzen im Umgang mit Technik und im Umgang mit Cyber-Bedrohungen verfügen.
