Seit dieser Woche ist es fix und unangefochten: Das von nic.at 2008 gegründete CERT.at ist vom Bundeskanzleramt und Bundesministerium für Inneres „zur Wahrnehmung der Aufgaben gemäß § 14 Abs. 2 NISG als nationales Computer-Notfallsteam“ für geeignet erklärt und per Bescheid zu deren Erfüllung ermächtigt worden. Damit ist ein wesentlicher Meilenstein in der 11-jährigen Geschichte des CERT.at erreicht.

Die EU-weite „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystem in der Union“ wurde 2016 beschlossen und Ende 2018 in Form des NIS-Gesetzes national umgesetzt.

Kernstück des Gesetzes ist die Identifikation Betreiber wesentlicher Dienste, die ab sofort Mindeststandards für ihre IT-Sicherheit erfüllen und Security-Vorfälle melden müssen – und zwar an ein nationales Computer-Notfallteam (CSIRT – Computer Security Incident Response Team), das eng mit den nationalen Behörden und EU-weit mit dem CSIRT-Netzwerk kooperiert. Für diese Rolle hat sich nic.at mit seinem 2008 gegründeten CERT (Computer Emergency Response Team) im Dezember 2018 beworben. Der positive Bescheid wurde nic.at am 14. März 2019 zugestellt, innerhalb der vorgesehenen Frist von niemandem angefochten und erlangte somit vier Wochen nach Zustellung seine Rechtsgültigkeit.

Abgesehen von der jahrelangen Erfahrung als nationales CERT waren zahlreiche weitere Gründe ausschlaggebend, warum CERT.at nun auch als gesetzlich eingesetzte Meldestelle operieren darf:
nic.at ist seit 2015 und CERT.at seit 2018 nach ISO/IEC 27001-2013 zertifiziert, darüber hinaus kooperiert das CERT.at seit Beginn an eng mit dem GovCERT Austria, betreibt das Austrian Energy CERT und gemeinsam mit dem Bundeskanzleramt auch den Austrian Trust Circle. CERT.at ist sowohl national als auch international bestens vernetzt und hat sich als primärer Ansprechpartner für Cybersecurity in Österreich etabliert. Die verwendeten Systeme und Infrastruktur sind branchenüblich und hochverfügbar aufgebaut, außerdem ist das eingesetzte Personal durch laufende Schulungen und Weiterbildungen immer am neuesten Stand.

Daher steht für das Bundeskanzleramt und das Innenministerium fest, dass „die Antragstellerin sämtliche für die Ernennung als nationales Computer-Notfallteam erforderlichen Eigenschaften nach §15 NISG aufweist, demnach als nationales Computer-Notfallteam zu ernennen ist und für die ihr zukommenden Aufgaben nach §14 Abs. 2 Z 1 und 2 NISG zu ermächtigen ist“.

Robert Schischka, nic.at Geschäftsführer und Leiter des CERT.at, dazu: „Fast genau elf Jahre nach dem Start haben wir nun diesen wichtigen Meilenstein für das CERT.at erreicht. Ich danke dem gesamten Team, aber auch allen außerhalb der Kernmannschaft, die diese Entwicklung mit unterstützt haben.“