Beschlüsse Nr. 21/2023, 22/2023 und 27/2023 des Gemeinsamen EWR-Ausschusses (Richtlinie (EU) 2016/1148 («NIS-Richtlinie»), Verordnung (EU) 2019/881 («ENISA-Verordnung») und Verordnung (EU) 2021/887 des Europäischen Parlaments und des Rates) (Nr. 36/2023)
Landtagspräsident Albert Frick
Wir kommen zu Traktandum 16: Beschlüsse Nr. 21/2023, 22/2023 und 27/2023 des Gemeinsamen EWR-Ausschusses (Richtlinie (EU) 2016/1148 («NIS-Richtlinie»), Verordnung (EU) 2019/881 («ENISA-Verordnung») und Verordnung (EU) 2021/887 des Europäischen Parlaments und des Rates. Der Bericht und Antrag trägt die Nr. 36/2023 und steht zur Diskussion.Abg. Günter Vogt
Danke, Herr Landtagspräsident. Mit der gegenständlichen Vorlage werden die am 3. Februar 2023 getroffenen EWR-Beschlüsse im Bereich der Cybersicherheit umgesetzt. Wir haben dafür vorgehend in Traktandum 15 bereits in 2. Lesung die Grundlagen im Gesetz über Cybersicherheit geschaffen. Ich hatte in der 1. Lesung zum Cyber-Sicherheitsgesetz schon erwähnt, dass die verbindliche Umsetzung dieser gesetzlichen Vorgaben für Liechtenstein anspruchsvoll sein wird und die Auswirkungen auf die Verwaltungstätigkeit, der Ressourceneinsatz und die personellen, finanziellen, organisatorischen und räumlichen Auswirkungen auch entsprechende Kosten verursachen werden.Die Zuständigkeit für die Durchführung des erwähnten Cyber-Sicherheitsgesetzes liegt gemäss Art. 9 bei der Stabsstelle Cyber-Sicherheit, folgend SCS genannt, und dem Computer-Notfallteam, folgend CSIRT genannt. Die SCS und das CSIRT können zur Erfüllung ihrer Aufgaben qualifizierte Dritte beauftragen. Die Regierung regelt diese Anforderungen mittels einer noch zu definierenden Verordnung. Es darf in diesem Kontext erwähnt werden, dass diese Auslagerungen höchste Sensibilität betrifft und diese sogenannten qualifizierten Dritten dem Amtsgeheimnis mit einer entsprechend klar regulierten Umsetzung dafür unterstehen müssen. In der Beantwortung zum Bericht und Antrag Nr. 35/2023 zur 2. Lesung zum Cyber-Sicherheitsgesetz wurde von der Regierung auf Seite 17 ausgeführt: «Inwiefern bestimmte Aufgaben ständig ausgelagert werden, wird im Einzelfall zu prüfen sein und soll eher die Ausnahme als die Regel darstellen. Wo möglich und zweckmässig soll das erforderliche Know-how intern in der Stabsstelle Cyber-Sicherheit auf- bzw. wo bereits vorhanden, noch ausgebaut werden.» Dies gibt der SCS somit die Möglichkeit, in Zusammenhang mit dem CSIRT entsprechende Kooperationen mit qualifizierten Dritten einzugehen. Dies könnten sowohl private als auch öffentliche Stellen sein.Aktuell befindet sich das CSIRT-Team im Aufbau und jene Stelle, die sich federführend damit beschäftigt, konnte gemäss meinen Informationen am 1. März 2023 besetzt werden. Es gebe auch bereits erste Überlegungen dazu, welche Dienstleistungen das CSIRT bei der SCS selbst anbieten kann und welche an die zuvor erwähnten qualifizierten Dritten ausgelagert werden sollen. Dazu befindet sich die SCS gemäss meinen Abklärungen im engen Austausch mit den Teams des NCSC in der Schweiz, des CERT.at in Österreich, des BSI in Deutschland und auch mit demjenigen in Luxemburg. Die IT-Resilienz strukturell zu stärken, bis hin zum präventiven Umgang mit der inhärenten Verletzlichkeit dieser Systeme, ist von essenzieller Bedeutung. Hier stellen sich wegweisende Fragen, die in viel grösserem Kontext, international wie zivilgesellschaftlich, unter Einbeziehung zahlreicher Akteure auf eine ganze andere Basis gestellt werden. Ich hoffe, dass die erwähnte Verordnungskompetenz in der Auslagerung von Aufgaben an Dritte diese Verantwortung auch trägt. Es sei bereits heute klar, dass die SCS beziehungsweise das CSIRT in Liechtenstein nicht sämtliche Dienstleistungen selbst erbringen kann. Dies sei gemäss meinen Informationen jedoch keine reine Ressourcenfrage, sondern leite sich eher von der Grösse unseres Landes und den zu erwartenden Ereignissen in diesem Bereich ab. So mache es aus Sicht der SCS aktuell wenig Sinn, hier Ressourcen für jene Fälle vorzuhalten, die hoffentlich nie oder wenn, dann nur sehr selten eintreten werden. Für jene Fälle brauche es aber Kooperationen mit Partnern, die mehr Erfahrung mit der erwähnten Ereignisbewältigung haben als allenfalls das CSIRT bei der SCS, die wir aufzubauen gedenken. Bestimmtes Schlüsselwissen solle jedenfalls bei der SCS aufgebaut werden, und vor allem durch Aus- und Weiterbildungen erhalten bleiben. Mit den aktuell verfügbaren Ressourcen der SCS kann deshalb aus Sicht der Regierung gestartet und der Aufbau der Cybersicherheit im Land weiter vorangetrieben werden. Mit der Umsetzung der NIS2-Richtlinie, wo die Ausarbeitung der Vernehmlassung noch in diesem Sommer beginnt, wird die Ressourcenfrage dann wiederholt gestellt und auch detailliert beantwortet werden müssen. Der Landtag wird sich voraussichtlich bereits in der ersten Jahreshälfte 2024 erneut mit dem Thema beschäftigen müssen. Obwohl die Umsetzung dieser Massnahmen zumindest aus meine Sicht erhebliche Kosten verursachen wird, bin ich mir sicher, dass diese, wenn sie mit einem definierten Rechtsrahmen und einem verantwortungsvollen Umgang in der Verordnungskompetenz dafür sorgen, beim Staat und bei der Wirtschaft für mehr Cybersicherheit zu sorgen, dann auch sehr wichtig sind. Eintreten ist aufgrund unserer Verpflichtungen, unserer EWR-Mitgliedschaft aus meiner Sicht unbestritten. Besten Dank.Landtagspräsident Albert Frick
Vielen Dank. Wünscht die Regierung noch das Wort? Das scheint nicht der Fall zu sein. Somit können wir uns dem Antrag der Regierung zuwenden. Der Antrag lautet: «der Hohe Landtag wolle den Beschlüssen Nr. 21/2023, 22/2023 und 27/2023 des Gemeinsamen EWR-Ausschusses zur Übernahme der Richtlinie (EU) 2016/1148 sowie der Verordnungen (EU) 2019/881 und 2021/887 in das EWR-Abkommen die Zustimmung erteilen.» Wer mit diesem Antrag einverstanden ist, möge bitte die Stimme abgeben. Abstimmung: Zustimmung mit 22 Stimmen
Landtagspräsident Albert Frick
Mit 22 Stimmen bei 23 Anwesenden wurde die Zustimmung erteilt und wir haben Traktandum 16 abgeschlossen. -ooOoo-