Cyberkriminalität - und andere Gefahren im Netz – kennen wie das Internet keine Grenzen. Aus diesem Grund ist auch ein grenzübergreifender und überall gleichwertiger Schutz vor Zwischenfällen entscheidend. Zu diesem Zweck hat die Europäische Union bereits 2016 den Prozess für ein – wie sie es nennt – hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen im Europäischen Wirtschaftsraum (EWR) angestossen. Die entsprechende Verordnung wartet derzeit noch auf ihre Übernahme ins EWR-Abkommen. Die liechtensteinische Regierung hat jedoch beschlossen, die Umsetzung in Form eines neuen Cyber-Sicherheits-Gesetzes (CSG) hierzulande bereits zu starten und hat dieses in Vernehmlassung geschickt. Es handelt sich dabei um kein allgemeines Gesetz zur Cybersicherheit, vielmehr richtet es den Fokus im Sinne der EU-Vorlage auf Betreiber wesentlicher Dienste aus den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung und -versorgung sowie digitale Infrastruktur und Betreiber digitaler Dienste.
Das Gesetz soll dabei technische und organisatorische Sicherheitsanforderungen festlegen, die die Anbieter dieser essenziellen Dienste zu erfüllen haben. Ausserdem wird dadurch eine Meldepflicht gesetzlich verankert. So werden Betreiber wesentlicher Dienste verpflichtet, Sicherheitsvorfälle – unabhängig vom entstandenen Schaden – unverzüglich zu melden. Das soll dazu beitragen, dass jederzeit ein genereller Überblick über Zwischenfälle und potenzielle Auswirkung auf andere Bereiche besteht.
Stabsstelle für Cyber-Sicherheit
Als Anlaufstelle für die Betreiber bestimmt die Regierung im aktuellen Gesetzesentwurf die vergangenes Jahr zu diesem Zweck gegründete Stabsstelle Cyber-Sicherheit, deren konkretes Aufgabengebiet damit gesetzlich verankert wird. Sie dient künftig nicht nur als Meldestelle, sondern soll ihr gemeldete Sicherheitsvorfälle auch öffentlich kommunizieren. Voraussetzung ist, dass dies zur Sensibilisierung der Gesellschaft für Cybersicherheitsthemen beiträgt oder weiteren Vorfällen vorbeugen kann. Zudem wird sie künftig die grundsätzliche Aufsicht über den Vollzug des neuen Gesetzes innehaben. Dazu gehört auch sicherzustellen, dass die Sicherheitsbestimmungen in den vom Gesetz betroffenen Sektoren eingehalten werden sowie die Ausarbeitung einer nationalen Sicherheitsstrategie.
Austausch mit EWR-Staaten
Auch soll die Stabsstelle künftig Verbindungstelle für die grenzüberschreitende Zusammenarbeit sein, insbesondere mit den zuständigen Stellen in den EWR-Mitgliedsstaaten und der Kooperationsgruppe auf EWR-Ebene. Unter ihrer Aufsicht wird zudem ein europaweit vernetztes Computer-Notfallteam (CSIRT) geschaffen, das in Liechtensteinkünftig dabei helfen soll, Risiken und Cybersicherheitsvorfälle zu bewältigen. Als Nationales Koordinierungszentrum Cybersicherheit (NCC-FL) soll die Stabsstelle zudem künftig zentrale Schnittstelle des Landes zu Gesellschaft, Wirtschaft und Wissenschaft sein. In dieser Funktion gleise sie Kooperationen auf, beispielsweise mit der Universität Liechtenstein, und bilde als Teil des 2021 geschaffenen EWR-weiten Netzwerks nationaler Koordinierungszentren gemeinsam mit dem Europäischen Kompetenzzentrum für Cybersicherheit (ECCC) die europaweite Grundlage zur Unterstützung der Innovations- und Industriepolitik zu Cybersicherheit.
Unterstützung von aussen
Viele dieser Aufgaben – wie die Aufnahme und Analyse von gemeldeten Risiken oder Sicherheitsvorfällen, Erstellung von Lagebildern, Sensibilisierungsaufgaben sowie der Austausch mit Verbänden und der Wirtschaft – erfülle die Stabsstelle Cyber-Sicherheit laut Regierung bereits heute. Dass die Stabsstelle mit ihren 2,5 Vollzeitstellen all diese Aufgaben nicht im Alleingang bewältigen kann, ist der Regierung dabei durchaus bewusst. Deshalb soll im Gesetz explizit verankert werden, dass Aufgaben wie beispielsweise das Computer-Notfallteam oder die Kontrollen der Sicherheitsanforderungen auch an qualifizierte Dritte ausgelagert werden können. Zudem wird sie in ihrer Aufgabe auch intensiv mit öffentlichen Stellen wie der Landespolizei, der Staatsanwaltschaft, der Datenschutzstelle, dem Amt für Kommunikation, der Stabsstelle FIU und der Finanzmarktaufsicht (FMA) zusammenarbeiten. Die Vernehmlassungsfrist endet am 28. September.