Security Framework Bund
Ausgangslage
In Österreich ist Cybersicherheit eine Querschnittsmaterie. Dies hat zur Folge, dass jedes Ministerium für die Beurteilung und Umsetzung der für sich als relevant eingestuften Cybersicherheitsmaßnahmen selbst zuständig und verantwortlich ist. Die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) und deren nationalen Umsetzung in Form des NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026), welches am 20. November 2025 im Ministerrat beschlossen wurde und derzeit im Parlament behandelt wird, schafft zwar den rechtlichen Rahmen für einen harmonisierten Cybersicherheitsstandard in der öffentlichen Verwaltung, dennoch obliegt die Implementierung der Maßnahmen den jeweiligen Ministerien.
Zielsetzung und Entwicklung
Im Jahr 2023 hat das Bundeskanzleramt unter Einbindung von 7 Ministerien und zentralen Dienstleistern das Projekt "Security Framework Bund" zur Entwicklung und Konsolidierung von allgemein gültigen Cybersicherheitsanforderungen im öffentlichen Dienst durchgeführt. Ziel war die Schaffung einer Grundlage für strategische Entscheidungen sowie ein klares, gemeinsames Verständnis über einen Mindeststandard im Bereich Cybersicherheit. Das daraus entwickelte Framework ermöglicht eine Selbst- und Fremdeinschätzung in Bezug auf den individuellen Reifegrad bei der Umsetzung der Maßnahmen.
Security Framework Bund 2.0
Basierend auf den Erfahrungen der implementierten Ministerien und der obersten Organe wurde nunmehr eine zweite Version des Frameworks entwickelt, "Security Framework Bund 2". Diese zweite Version adressiert nun auch die Herausforderungen der NIS-2-Richtlinie. In dem Projekt waren alle Ressorts im Wege der CISOs ("Chief Information Security Officer") eingebunden.
In starker Anlehnung an die Strukturen der NIS-2-Richtlinie sowie deren Durchführungsverordnung (EU) 2024/2690 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 wurden 13 Hauptkapitel mit 50 Subkapitel und insgesamt 286 Fragen erarbeitet. Zur Einstufung wurde ein Reifegradmodell entwickelt, welches erlaubt, Stärken und Schwächen im Bereich der eigenen strukturellen und prozessualen Cybersicherheit zu identifizieren.
Mit dem vorliegenden Framework können alle IKT- und Informationssicherheitsverantwortlichen einerseits konkret einen als Standard definierten Soll-Zustand benennen, andererseits erlaubt das gemeinsame Rahmenwerk auch die Hebung von Synergien.
Der Erfolg dieses gemeinsam entwickelnden Standards wurde auch von der neuen Bundesregierung wahrgenommen. Um flächendeckend und gemeinsam die Cybersicherheit der öffentlichen Verwaltung heben zu können, wurde daher im Regierungsprogramm "Jetzt das Richtige tun. Für Österreich." eine "verpflichtende Umsetzung des Cyber Security Framework Bund in allen Bundesministerien" beauftragt. Das Framework Security Bund 2.0 schafft hierfür die Grundlagen.