bundeskanzleramt.gv.at bmi.gv.at

Anlaufstelle Netz- und Informationssystem­sicherheitsgesetz (NISG)

Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG)

Die wichtigste Maßnahme der Europäischen Cybersicherheitsstrategie der EU ist die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union ("NIS-Richtlinie"). Sie zielt darauf ab, ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der ganzen EU zu erreichen.

Österreich setzt die europäische NIS-Richtlinie mit dem Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) um. Dabei werden Aufgaben, die sich aus der NIS-Richtlinie ergeben, bereits bestehenden Strukturen übertragen.

Die vorliegende Seite stellt allgemeine Informationen über das NISG bereit und soll wichtige Fragen beantworten. Darüberhinausgehende Informationen können unter den jeweiligen Webseiten des Bundeskanzleramts und des Bundesministers für Inneres abgerufen werden.

Gesetze:

Fragen und Antworten

Was ist das NIS-Gesetz?

In Österreich wurde die europäische NIS-Richtlinie mit dem NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz) umgesetzt, welches am 28.12.2018 in Kraft trat. Dabei sollten Aufgaben, die sich aus der NIS-Richtlinie ergeben, auf bereits bestehenden Strukturen übertragen werden. Der Bundeskanzler nimmt dabei strategische Aufgaben und der Bundesminister für Inneres operative Aufgaben wahr.

NIS-Gesetz im RIS

Was wird das NIS-Gesetz bewirken?

Mit dem NIS-Gesetz werden Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen der Einrichtungen, die in den Anwendungsbereich fallen, erreicht werden soll. Netz- und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der heutigen Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind. Deswegen werden Verpflichtungen für Betreiber wesentlicher Dienste, Anbieter digitaler Dienste sowie für Einrichtungen der öffentlichen Verwaltung eingeführt.

Wer ist Adressat des NIS-Gesetzes?

Das NIS-Gesetz legt Aufgaben und Zuständigkeiten für die mit der Umsetzung betrauten Behörden fest sowie deren Befugnisse. Der Bundeskanzler nimmt gemäß NIS-Gesetz strategische Aufgaben und der Bundesminister für Inneres operative Aufgaben wahr.

In den sachlichen Anwendungsbereich fallen beispielsweise Betreiber eines wesentlichen Dienstes aus den Sektoren Energie, Luft-, Straßen- und Schienenverkehr, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur.
Zudem werden auch Einrichtungen der öffentlichen Verwaltung erfasst.

Nähere Regelungen für die Sicherheitsvorkehrungen finden sich in der zu dem NIS-Gesetz zu erlassenen NIS-Verordnung.

Welche Aufgaben hat der Bundeskanzler?

Dem Bundeskanzler kommen primär strategische Aufgaben zu. So hat er beispielsweise die Republik in EU-weiten und internationalen Gremien in strategischen Angelegenheiten zu vertreten und die Erstellung einer Strategie, den jährlichen Bericht über Cybersicherheit sowie die öffentlich-private Zusammenarbeit zu koordinieren.
Des Weiteren obliegt dem Bundeskanzler die Festlegung, wann ein Sicherheitsvorfall konkret vorliegt, die näheren Regelungen zu den jeweiligen Sektoren, zu den Sicherheitsvorkehrungen und die Regelung zu den Ausnahmen von den Verpflichtungen für Betreiber wesentlicher Dienste.
Als operativen Aspekt hat der Bundeskanzler den Betrieb des Computernotfallteams der öffentlichen Verwaltung zu gewährleisten.

Für die Aufzählung der Kompetenzen des Bundeskanzlers siehe § 4 NISG und EBs § 4 NISG.

Welche Aufgaben hat der Bundesminister für Inneres?

Dem Bundesminister für Inneres kommen zentrale operative Aufgaben zu, wie beispielsweise der Betrieb der zentralen Anlaufstelle (SPOC), die organisatorische Leitung der Koordinierungsstrukturen IKDOK (Innerer Kreis der Operativen Koordinierungsstruktur) und OpKoord (Operative Koordinierungsstruktur), die Entgegennahme und Analyse von Meldungen, die Überprüfung der Sicherheitsvorkehrungen, die Einhaltung der Meldepflichten sowie die Feststellung und Überprüfung der Qualifizierten Stellen.

Zudem trifft der Bundesminister für Inneres durch eine Verordnung nähere Regelungen zu den Qualifizierten Stellen.

Für die Aufzählung der Kompetenzen des Bundesministers für Inneres siehe § 5 NISG und EBs § 5 NISG.

Was sind Betreiber wesentlicher Dienste?

Betreiber wesentlicher Dienste sind private oder öffentliche Einrichtungen mit Niederlassung in Österreich, die einen wesentlichen Dienst in einem der im NIS-Gesetz genannten Sektoren erbringen.

Was ist ein wesentlicher Dienst?

Ein wesentlicher Dienst wird in einem der im NIS-Gesetz genannten Sektoren erbracht. Er muss von Netz- und Informationssystemen abhängig sein und zeichnet sich durch eine wesentliche Bedeutung für die Aufrechterhaltung des öffentlichen Gesundheitsdienstes, der öffentlichen Versorgung mit Wasser, Energie sowie lebenswichtigen Gütern, des öffentlichen Verkehrs oder die Funktionsfähigkeit öffentlicher Informations- und Kommunikationstechnologie aus.

Wann hat ein Dienst eine wesentliche Bedeutung?

Wird ein Dienst in der NIS-Verordnung als wesentlicher Dienst definiert, so hat er per legem eine wesentliche Bedeutung. Bei der Beurteilung, ob ein Dienst eine wesentliche Bedeutung hat, wurden insbesondere die Zahl der Nutzer, die Abhängigkeit anderer Betreiber von diesem Dienst, die geographische Ausbreitung eines Sicherheitsvorfalles, mögliche Auswirkungen eines Ausfalles und die Kritikalität des Dienstes berücksichtigt.
Darüber hinaus wurden auch sektorenspezifische Faktoren berücksichtigt.

Wie werden die Betreiber wesentlicher Dienste ausgewählt?

Der Bundeskanzler ermittelt nach Befassung des Bundesministers für Inneres und des zuständigen Bundesministers für jeden im NIS-Gesetz genannten Sektor, jene Betreiber wesentlicher Dienste mit einer Niederlassung in Österreich, die einen wesentlichen Dienst erbringen.

Wie werden die Betreiber wesentlicher Dienste verständigt?

Erbringt eine Einrichtung einen wesentlichen Dienst, so wird diese Einrichtung per Bescheid des Bundeskanzlers als Betreiber eines wesentlichen Dienstes ermittelt.
Eine Einrichtung, die keinen solchen Bescheid erhält, ist kein Betreiber wesentlicher Dienste.
Fallen die Voraussetzungen für den Bescheid, mit dem festgestellt wurde, dass eine bestimmte Einrichtung Betreiber wesentlicher Dienste ist, nachträglich weg oder stellt sich heraus, dass sie von vornherein nicht vorgelegen sind, so wird dies ebenfalls mit Bescheid gegenüber der Einrichtung ausgesprochen, dass sie kein Betreiber wesentlicher Dienste mehr ist.

Kontaktstellen

Betreiber wesentlicher Dienste müssen binnen zwei Wochen nach Zustellung des Bescheides eine Kontaktstelle für die Kommunikation mit dem Bundeskanzler, dem Bundesminister für Inneres oder den Computer-Notfallteams nennen.
Weiterführende Informationen können im NIS Fact Sheet 01/2019 gefunden werden.

Welche Verpflichtungen haben die Betreiber wesentlicher Dienste?

Einerseits haben Betreiber eines wesentlichen Dienstes geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen. Diese haben den Stand der Technik zu berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein.

Andererseits müssen Betreiber eines wesentlichen Dienstes einen Sicherheitsvorfall, der einen von ihnen bereitgestellten Dienst betrifft, unverzüglich an das für sie zuständige Computer-Notfallteam melden. Diese Meldung wird unverzüglich an den Bundesminister für Inneres weitergeleitet.

Wird die Umsetzung der Verpflichtungen überprüft?

Ja, die Umsetzung wird vom Bundesminister für Inneres überprüft.

Die Betreiber wesentlicher Dienste haben mindestens alle drei Jahre nach Zustellung des Bescheides die Erfüllung der Anforderungen gegenüber dem Bundesminister für Inneres nachzuweisen.
Zu diesem Zweck übermitteln sie eine Aufstellung der vorhandenen Sicherheitsvorkehrungen durch den Nachweis von Zertifizierungen oder durchgeführten Überprüfungen durch qualifizierte Stellen, einschließlich der dabei aufgedeckten Sicherheitsmängel.

Der Bundesminister für Inneres kann zur Kontrolle der Einhaltung der Anforderungen Einschau in die Netz- und Informationssysteme, die für die Bereitstellung des wesentlichen Dienstes genutzt werden, und in diesbezügliche Unterlagen nehmen.

Wird festgestellt, dass die Anforderungen gemäß NIS-Gesetz nicht erfüllt werden, so kann der Bundesminister für Inneres Handlungsempfehlungen aussprechen und einen Nachweis für deren Befolgung verlangen. Bei einer Weigerung wird eine Verwaltungsübertretung begangen, siehe §17 und § 26 NISG.

Was ist eine Qualifizierte Stelle?

Eine Qualifizierte Stelle ist eine Einrichtung mit Niederlassung in Österreich, deren Eignung zur Überprüfung der Sicherheitsvorkehrungen von Betreibern wesentlicher Dienste vom Bundesminister für Inneres per Bescheid festgestellt wurde.

Wie sieht ein Meldevorgang für Betreiber wesentlicher Dienste aus?

Gemäß § 19 NISG haben Betreiber wesentlicher Dienste einen Sicherheitsvorfall, der einen von ihnen bereitgestellten wesentlichen Dienst betrifft, unverzüglich an das für sie zuständige Computer-Notfallteam zu melden, das die Meldung unverzüglich an den Bundesminister für Inneres weiterleitet. Angaben über später bekanntgewordene Umstände sind ohne unangemessene weitere Verzögerung in Form von Nachmeldungen mitzuteilen, wobei schlussendlich eine Abschlussmeldung erfolgen soll.

Durch diese Regelung wird zum Ausdruck gebracht, dass einer möglichst frühzeitigen Meldung Vorrang gegenüber einer vollständigen Meldung eingeräumt wird. Die Pflicht, später bekanntgewordene Angaben zu melden, soll die Bewältigung eines Sicherheitsvorfalls nicht beeinträchtigen. Zur Erfüllung der Meldepflicht ist es jedoch jedenfalls erforderlich, sämtliche Umstände bekannt zu geben, die zum Zeitpunkt der Meldung bekannt sind.

Welches Computer-Notfallteam ist für die Entgegennahme von Meldungen von Betreibern wesentlicher Dienste zuständig?

Zuständig für die Entgegennahme der Meldung ist das sektorenspezifische Computer-Notfallteam, falls ein solches eingerichtet ist und vom Betreiber wesentlicher Dienste unterstützt wird.

Wird das sektorenspezifische Computer-Notfallteam nicht vom Betreiber wesentlicher Dienste unterstützt oder ist keines eingerichtet, so ist das nationale Computer-Notfallteam zuständig.

Da bis dato noch kein sektorenspezifisches CSIRT ernannt worden ist, ist das zuständige Computer-Notfallteam das nationale Computer-Notfallteam.

Nationales Computer Notfallteam:
CERT.at - Computer Emergency Response Team Austria
Webseite: www.cert.at
Telefon: +43 1 5056416 78
Verpflichtende und freiwillige NIS-Meldungen: https://nis.cert.at
E-Mail-Adresse für Sicherheitsvorfälle: reports@cert.at
E-Mail-Adresse für andere Anfragen: team@cert.at

Inhalt der Meldung

Die Meldung muss sämtliche relevante Angaben zum Sicherheitsvorfall und den technischen Rahmenbedingungen, die zum Zeitpunkt der Erstmeldung bekannt sind, enthalten, insbesondere die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage.
Angaben über später bekanntgewordene Umstände zum Sicherheitsvorfall sind in Nachmeldungen und letztendlich in einer Abschlussmeldung ohne unangemessene weitere Verzögerung mitzuteilen. Die Meldung ist in einem standardisierten elektronischen Format zu übermitteln.

Was ist ein digitaler Dienst gemäß NIS-Gesetz?

Ein digitaler Dienst ist ein Dienst im Sinne des § 3 Z 1 E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001, bei dem es sich um einen Online-Marktplatz, eine Online-Suchmaschine oder einen Cloud-Computing-Dienst handelt, siehe § 3 Z 1 E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001.

Was sind Anbieter digitaler Dienste?

Anbieter digitaler Dienste sind juristische Personen oder eingetragene Personengesellschaften, die einen digitalen Dienst in Österreich anbieten und eine Hauptniederlassung in Österreich haben oder einen Vertreter in Österreich namhaft gemacht haben.

Explizit ausgenommen sind natürliche Personen, Kleinstunternehmen und kleine Unternehmen (Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz von unter 10 Mio. Euro).

Anbieter digitaler Dienste ohne Hauptniederlassung in der Europäischen Union sind verpflichtet, einen Vertreter in einem Mitgliedstaat namhaft zu machen. Dieser handelt im Auftrag des digitalen Diensteanbieters und ist die Kontaktstelle für die zuständigen Stellen in den Mitgliedstaaten, siehe Art. 2 Abs. 2 und 3 des Anhangs der Empfehlung 2003/361/EG, ABl. Nr. L 124 vom 20.05.2003 S. 36.

Werden Anbieter digitaler Dienste ermittelt?

Nein, Anbieter digitaler Dienste müssen sich nach dem NIS-Gesetz selbst identifizieren.

Welche Pflichten haben Anbieter digitaler Dienste?

Anbieter digitaler Dienste haben in Hinblick auf die Netz- und Informationssysteme, die sie für die Bereitstellung des digitalen Dienstes nutzen, geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen. Diese haben unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, das dem bestehenden mit vernünftigem Aufwand feststellbaren Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:

  • a) Sicherheit der Systeme und Anlagen,
  • b) Bewältigung von Sicherheitsvorfällen,
  • c) Betriebskontinuitätsmanagement,
  • d) Überwachung, Überprüfung und Erprobung,
  • e) Einhaltung der internationalen Normen.

Anbieter digitaler Dienste haben einen Sicherheitsvorfall, der einen digitalen Dienst betrifft, unverzüglich zu melden.

Zuständig für die Entgegennahme der Meldung ist das nationale Computer-Notfallteam. Sollte kein nationales Computer-Notfallteam eingerichtet sein, das GovCERT. Die Meldung wird vom zuständigen Computer-Notfallteam an den Bundesminister für Inneres weitergeleitet.

Die Pflicht zur Meldung eines Sicherheitsvorfalls gilt nur, wenn der Anbieter digitaler Dienste Zugang zu Informationen hat, die benötigt werden, um die Auswirkung eines Sicherheitsvorfalls zu bewerten.

Wird die Umsetzung der Verpflichtungen überprüft?

Anbieter digitaler Dienste unterliegen weniger strikten, reaktiven Aufsichtstätigkeiten, die durch die Art ihrer Dienste und Tätigkeiten gerechtfertigt sind.

Der Bundesminister für Inneres ist, wenn ihm nachweisliche Umstände bekannt werden, dass ein Anbieter digitaler Dienste den Anforderungen aus dem NIS-Gesetz nicht nachkommt, ermächtigt zu verlangen, dass dieser Nachweise über geeignete Sicherheitsvorkehrungen erbringt.

Der Bundesminister für Inneres kann dazu Einschau in die Netz- und Informationssysteme, die für die Bereitstellung des digitalen Dienstes genutzt werden, und diesbezügliche Unterlagen nehmen.

Wie sieht ein Meldevorgang für Anbieter digitaler Dienste aus?

Anbieter digitaler Dienste haben einen Sicherheitsvorfall, der einen von ihnen bereitgestellten digitalen Dienst betrifft, unverzüglich an das für sie zuständige Computer-Notfallteam zu melden, das die Meldung unverzüglich an den Bundesminister für Inneres weiterleitet.

Welches Computer-Notfallteam ist für die Entgegennahme von Meldungen für Anbieter Digitaler Dienste zuständig?

Das zuständige Computer-Notfallteam ist das nationale Computer-Notfallteam.

Nationales Computer Notfallteam:
CERT.at - Computer Emergency Response Team Austria
Webseite: www.cert.at
Telefon: +43 1 5056416 78
Verpflichtende und freiwillige NIS-Meldungen: https://nis.cert.at
E-Mail-Adresse für Sicherheitsvorfälle: reports@cert.at
E-Mail-Adresse für andere Anfragen: team@cert.at

Was sind Computer-Notfallteams?

Computer Notfallteams bzw. CSIRTs – Computer Security Incident Response Teams (auch: CERTs – Computer Emergency Response Teams) sind für die Prävention, Erkennung, Reaktion und Folgenminderung bei Risiken, Vorfällen und Sicherheitsvorfällen wichtig. Durch das NIS-Gesetz werden zur Gewährleistung der Sicherheit von Netz- und Informationssystemen Computer-Notfallteams eingerichtet.

Zur Unterstützung der Betreiber wesentlicher Dienste können sektorenspezifische Computer-Notfallteams eingerichtet werden, die über das notwendige Fachwissen aus dem jeweiligen Sektor verfügen und so den Betreibern wesentlicher Dienste eine bestmögliche technische Unterstützung bieten können. Beispielsweise ist das beim Bundeskanzler eingerichtete GovCERT das Computer Notfallteam der öffentlichen Verwaltung.

Pro Sektor kann es jedenfalls nur ein sektorenspezifisches Computer-Notfallteam geben. Gemäß § 14 und §15 NISG müssen Computer Notfallteams bestimmte Anforderungen und Eignungen erfüllen.

Welche Aufgaben haben Computer-Notfallteams?

§ 14 NISG regelt die Aufgaben der Computer-Notfallteams. Zu den Hauptaufgaben der Computer-Notfallteams zählt die Entgegennahme von Meldungen über Risiken, Vorfälle und Sicherheitsvorfälle bei Betreibern wesentlicher Dienste oder Anbietern digitaler Dienste und deren Weiterleitung an den Bundesminister für Inneres. Zusätzlich nehmen Computer-Notfallteams noch weitere technische Aufgaben wahr.

Gemäß NIS-Gesetz haben Computer-Notfallteams folgende Aufgaben:

  • Meldungen über Risiken, Vorfälle oder Sicherheitsvorfälle entgegenzunehmen und an den Bundesminister für Inneres weiterzuleiten
  • Frühwarnungen, Alarmmeldungen und Handlungsempfehlungen auszugeben
  • Informationen über Risiken, Vorfälle oder Sicherheitsvorfälle bekanntzumachen und zu verbreiten
  • eine erste allgemeine technische Unterstützung bei der Reaktion auf einen Sicherheitsvorfall zu leisten
  • Risiken, Vorfälle oder Sicherheitsvorfälle zu beobachten und zu analysieren
  • eine Lagebeurteilung vorzunehmen
  • an der OpKoord teilzunehmen
  • sich am CSIRTs-Netzwerk zu beteiligen

Welche Computer Notfallteams im Sinne des NIS-Gesetzes gibt es in Österreich?

Nationales Computer Notfallteam:
CERT.at - Computer Emergency Response Team Austria
Webseite: www.cert.at
Telefon: +43 1 5056416 78
E-Mail-Adresse für Sicherheitsvorfälle: reports@cert.at
E-Mail-Adresse für andere Anfragen: team@cert.at

Computer Notfallteam - Sektor öffentliche Verwaltung
GovCERT.at - Computer Emergency Response Team Austria
Webseite: www.govcert.gv.at
Telefon: +43 1 5056416 78
E-Mail-Adresse für Sicherheitsvorfälle: reports@govcert.gv.at
E-Mail-Adresse für andere Anfragen: team@govcert.gv.at

Welche Aufgaben hat das GovCERT?

Das GovCERT hat als Computer Notfallteam Aufgaben und Pflichten gemäß § 14 und § 15 NISG zu erfüllen. Darüber hinaus nimmt es bezüglich folgender Punkte eine Sonderstellung ein:

  • Neben dem Bundesminister für Inneres kommt gemäß § 13 Abs. 2 zweiter Satz auch dem GovCERT innerhalb seines Zuständigkeitsbereichs die Befugnis zu, IKT-Lösungen zur Vorbeugung von Sicherheitsvorfällen zu betreiben oder zu nutzen, um zu wichtigen Informationen der aktuellen Gefährdungslage zu gelangen.
  • In Bezug auf das Meldewesen übernimmt das GovCERT Aufgaben des nationalen Computer-Notfallteams, sollte dieses (noch) nicht eingerichtet sein (weil beispielsweise dessen Eignung und Ermächtigung zu widerrufen war).
  • Das GovCERT benötigt keinen Nachweis über die Unterstützung von Betreibern wesentlicher Dienste (§ 15 Abs. 2).

Welche Aufgaben hat das nationale Computer-Notfallteam?

Das nationale Computer-Notfallteam hat die Aufgaben wie in „Welche Aufgaben haben Computer Notfallteams“ definiert.  Der besondere Status des nationalen Computer-Notfallteams ergibt sich aus dem in §19 Abs. 2 definierten Umstand, dass beim Fehlen eines sektorenspezifischen Computer-Notfallteams die Aufgaben dem nationalen Computer-Notfallteam zufallen.

Das nationale Computer-Notfallteam ist daher grundsätzlich für alle Betreiber wesentlicher Dienste und Anbieter digitaler Dienste zuständig und hat die Aufgaben, die einem Computer-Notfallteam nach diesem Bundesgesetz zukommen, sektorenübergreifend zu erfüllen.

Was ist eine freiwillige Meldung?

§ 23 des NISG ermöglicht es Betreibern wesentlicher Dienste, Anbietern digitaler Dienste und Einrichtungen der öffentlichen Verwaltung, Risiken und Vorfälle freiwillig an das zuständige Computer-Notfallteam zu melden. Der Meldeweg unterscheidet sich grundsätzlich nicht von jenem für eine verpflichtende Meldung, jedoch können freiwillige Meldungen auch zeitverzögert, aggregiert und ohne namentliche Nennung der Melder an das Bundesministerium für Inneres weitergeleitet werden.

Welchen Inhalt hat eine freiwillige Meldung?

Die freiwillige Meldung kann Angaben zum Risiko oder der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zum Sektor des Betreibers enthalten.

Da der Inhalt von freiwilligen Meldungen für ein gesamtstaatliches und vollständiges Lagebild einen unerlässlichen Bestandteil bildet, sollen zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen meldende Einrichtungen, personenbezogene Kontakt- und Identitätsdaten sowie technische Daten von Personen, die mit einer Meldung zu einem Risiko, Vorfall oder Sicherheitsvorfall in Zusammenhang stehen, an das zuständige Computer-Notfallteam übermitteln können.

Sie soll jedoch nicht dazu führen, dass der meldenden Einrichtung Pflichten auferlegt werden, die nicht für sie gegolten hätten, wenn sie nicht freiwillig gemeldet hätte.

Für freiwillige Meldungen ist grundsätzlich der gleiche sichere Kommunikationskanal wie für verpflichtende Meldungen zu verwenden.

Was ist ein Online-Marktplatz?

Ein Online-Marktplatz ermöglicht es Verbrauchern und Unternehmern, Kaufverträge oder Dienstleistungsverträge mit Unternehmern online abzuschließen und ist als solcher der endgültige Bestimmungsort für den Abschluss dieser Verträge.

Er erstreckt sich nicht auf Online-Dienste, die lediglich als Vermittler für Drittdienste fungieren und durch die letztlich ein Vertrag geschlossen werden kann. Er erstreckt sich deshalb nicht auf Online-Dienste, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.

Die von einem Online-Marktplatz bereitgestellten IT-Dienste können die Verarbeitung von Transaktionen, die Aggregation von Daten oder die Erstellung von Nutzerprofilen einschließen. Als Online-Stores tätige Application-Stores, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen, sind Online-Marktplätze im weiteren Sinn.

Was ist eine Online-Suchmaschine?

Eine Online-Suchmaschine ermöglicht es dem Nutzer, Suchen grundsätzlich auf allen Websites anhand einer Abfrage zu einem beliebigen Thema vorzunehmen. Sie kann alternativ dazu auf Websites in einer bestimmten Sprache beschränkt sein.

Die Definition des Begriffs „Online-Suchmaschine“ erstreckt sich nicht auf Suchfunktionen, die auf den Inhalt einer bestimmten Website beschränkt sind, unabhängig davon, ob die Suchfunktion durch eine externe Suchmaschine bereitgestellt wird.

Sie erstreckt sich auch nicht auf Online-Dienste, die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten.

Was sind Cloud Computing Dienste?

Cloud Computing Dienste umfassen eine breite Palette von Tätigkeiten, die auf unterschiedliche Weise erbracht werden können. Für die Zwecke der NIS-Richtlinie und dieses Bundesgesetzes sind unter dem Begriff „Cloud Computing Dienste“ Dienste zu verstehen, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. Zu diesen Rechenressourcen zählen Ressourcen wie Netze, Server oder sonstige Infrastruktur, Speicher, Anwendungen und Dienste.

Der Begriff „skalierbar“ bezeichnet Rechenressourcen, die unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Dienstes flexibel zugeteilt werden, damit Nachfrageschwankungen bewältigt werden können. Der Begriff „elastischer Pool“ wird verwendet, um die Rechenressourcen zu beschreiben, die entsprechend der Nachfrage bereitgestellt und freigegeben werden, damit die verfügbaren Ressourcen je nach Arbeitsaufkommen rasch auf- bzw. abgebaut werden können. Der Begriff „gemeinsam nutzbar“ wird verwendet, um die Rechenressourcen zu beschreiben, die einer Vielzahl von Nutzern bereitgestellt werden, die über einen gemeinsamen Zugang auf den Dienst zugreifen, wobei jedoch die Verarbeitung für jeden Nutzer separat erfolgt, obwohl der Dienst von derselben elektronischen Einrichtung erbracht wird.

Was versteht man unter Einrichtungen der öffentlichen Verwaltung?

Die Einrichtungen der öffentlichen Verwaltung umfassen die Einrichtungen des Bundes sowie die Einrichtungen der Länder.

Da Einrichtungen der öffentlichen Verwaltung für die Funktionsfähigkeit des (Rechts-)Staates und daher für das Gemeinwesen und die Daseinsvorsorge der Bevölkerung von hoher Bedeutung sind, wurden sie im Zuge der Umsetzung der NIS-Richtlinie berücksichtigt.

Einrichtungen des Bundes sind die Bundesministerien, die Gerichtshöfe des öffentlichen Rechts (VfGH und VwGH), der Rechnungshof, die Volksanwaltschaft, die Präsidentschaftskanzlei und die Parlamentsdirektion, mitsamt all ihren Organisationseinheiten und der damit verbundenen technischen Infrastruktur.
Der zuständige Bundesminister kann weitere Dienststellen des Bundes durch Verordnung bestimmen.

Einrichtungen der Länder sind die Ämter der Landesregierungen, ebenso mitsamt all ihren Organisationseinheiten und der damit verbundenen technischen Infrastruktur, sowie gegebenenfalls weitere Dienststellen der Länder und Gemeinden. Anders als bei Einrichtungen des Bundes muss ein Bundesland in den Anwendungsbereich optieren, damit seine Einrichtungen den Pflichten des NIS-Gesetzes unterliegen.

Warum ist das Absichern von Netz- und Informationssystemen so wichtig für die Gesellschaft?

Netz- und Informationssysteme mit den zugehörigen Diensten spielen heute eine zentrale Rolle in der Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

Die Tragweite, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen dar. Diese Systeme können zu einem Angriffsziel vorsätzlich schädigender Handlungen werden, die auf die Störung oder den Ausfall des Betriebes der Systeme gerichtet sind. Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, beträchtliche finanzielle Verluste verursachen, das Vertrauen der Nutzer und Nutzerinnen untergraben und unserer Wirtschaft großen Schaden zufügen.

Aus diesem Grund ist das Absichern von Netz- und Informationssystemen wichtig für die Gesellschaft.

Welche Regelungen werden von der NIS-Richtlinie verlangt?

Mit der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (im Folgenden: NIS-RL), die am 8. August 2016 in Kraft getreten ist, soll EU-weit ein hohes Sicherheitsniveau der Netz- und Informationssysteme erreicht werden.

Vor diesem Hintergrund soll(en) unter anderem die Zusammenarbeit zwischen den Mitgliedstaaten in strategischer und operationeller Hinsicht gestärkt werden, Mitgliedstaaten eine nationale NIS-Strategie erarbeiten, die strategische Ziele, Prioritäten und Maßnahmen enthalten soll, um in den einzelnen Mitgliedstaaten ein hohes Sicherheitslevel der Netz- und Informationssysteme zu erreichen, nationale Behörden und Computer-Notfallteams benannt werden und bestimmte, für das Gemeinwohl wichtige private und öffentliche Anbieter (Betreiber wesentlicher Dienste und digitale Diensteanbieter) zu angemessenen Sicherheitsmaßnahmen und Meldung erheblicher Störfälle verpflichtet werden.

Welche Verpflichtungen haben Einrichtungen der öffentlichen Verwaltung?

Neben Betreibern wesentlicher Dienste und Anbietern digitaler Dienste kommt auch öffentlichen Stellen eine wesentliche Bedeutung bei der Aufrechterhaltung von zentralen gesellschaftlichen und staatlichen Funktionen zu. 

Zur Gewährleistung der Netz- und Informationssicherheit haben Einrichtungen der öffentlichen Verwaltung in Hinblick auf die Netz- und Informationssysteme, die sie für die Bereitstellung wichtiger Dienste nutzen, geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen.

Wird die Umsetzung der Verpflichtungen überprüft?

Für die Einrichtungen der öffentlichen Verwaltungen ergibt sich die Verpflichtung zur Umsetzung der Maßnahmen aus den gesetzlichen Vorgaben. Es liegt in der Eigenverantwortung der jeweiligen Einrichtung, die Einhaltung der notwendigen und geeigneten Sicherheitsvorkehrungen zu gewährleisten. Eine regelmäßige oder anlassfallbezogene Überprüfung dieser Maßnahmen durch eine andere Stelle ist nicht vorgesehen.

Was sind wichtige Dienste?

Ein wichtiger Dienst der öffentlichen Verwaltung gemäß NIS-Gesetz ist entweder eine Sachgebietsverantwortung der Einrichtung, die von Netz- und Informationssystemen abhängig ist und bei der ein Sicherheitsvorfall diesen Dienst betreffend erhebliche Auswirkungen hat oder ein IKT-Dienst, dessen Ausfall oder Mangelfunktion zu einer erheblichen Beeinträchtigung der Funktionstüchtigkeit der Einrichtung führt.

Was ist ein Sicherheitsvorfall?

Ein Sicherheitsvorfall liegt vor, wenn eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen zu einer Einschränkung der Verfügbarkeit oder zu einem Ausfall des betriebenen Dienstes von erheblicher Auswirkung geführt hat. Der Dienst ist ein wesentlicher Dienst, ein digitaler Dienst oder ein wichtiger Dienst, den eine Einrichtung des Bundes erbringt.
Ein Sicherheitsvorfall kann neben Cyberangriffen oder Einwirkungen Dritter auch durch physische Ereignisse wie etwa Naturereignisse, aber auch durch Ereignisse wie z. B. Stromausfälle oder das Verhalten eigener Mitarbeiter verursacht werden.

Wann liegt eine erhebliche Auswirkung vor?

Bei der Beurteilung, ob eine Störung erhebliche Auswirkungen hat und somit einen Sicherheitsvorfall darstellt, sind insbesondere die Anzahl der betroffenen Nutzer, die Dauer der Störung, die geografische Ausbreitung der Störung sowie die Auswirkung auf wirtschaftliche oder gesellschaftliche Tätigkeiten zu berücksichtigen.

Für die Betreiber wesentlicher Dienste werden die Parameter für die Beurteilung einer erheblichen Auswirkung im Dialog zwischen NIS-Behörde und Sektorenvertretern festgelegt und mit Verordnung den betroffenen Betreibern mitgeteilt. Im Falle von Anbietern digitaler Dienste und Einrichtungen der Öffentlichen Verwaltung liegt die Beurteilung einer erheblichen Auswirkung im Ermessen der betroffenen Organisation.

Ab wann gelten die Umsetzungsverpflichtungen für die Einrichtungen der öffentlichen Verwaltung?

Ab dem Zeitpunkt des Inkrafttretens des NISG müssen die Einrichtungen der öffentlichen Verwaltung die vorgesehenen Sicherheitsvorkehrungen und die Meldepflichten im Hinblick auf die wichtigen Dienste erfüllen.

Ab wann gelten die Umsetzungsverpflichtungen für die Anbieter digitaler Dienste?

Ab dem Zeitpunkt des Inkrafttretens des NISG müssen die Anbieter digitaler Dienste die vorgesehenen Sicherheitsvorkehrungen und die Meldepflichten im Hinblick auf die digitalen Dienste erfüllen.

Ab wann gelten die Umsetzungsverpflichtungen für die Betreiber wesentlicher Dienste?

Ab dem Zeitpunkt der Zustellung eines Bescheides müssen die Betreiber wesentlicher Dienste die vorgesehenen Sicherheitsvorkehrungen und die Meldepflichten im Hinblick auf die wesentlichen Dienste erfüllen.

Was sind Netz- und Informationssysteme im Sinne des NIS-Gesetzes?

Ein Netz- und Informationssystem im Sinne des NIS-Gesetzes ist/sind

  • ein elektronisches Kommunikationsnetz im Sinne des § 3 Z 11 Telekommunikationsgesetz 2003 (TKG 2003), BGBl. I Nr. 70/2003,
  • räumlich verteilte, digitale Verarbeitungsvorrichtungen zur technischen Unterstützung der Erhebung, Verarbeitung, Speicherung, Wartung, Nutzung, Weitergabe, Verbreitung oder Disposition von digitalen Informationen,
  • digitale Daten, die in einem solchen elektronischen Kommunikationsnetz oder in solchen Vorrichtungen verarbeitet werden;

Wann spricht man von Netz- und Informationssystemsicherheit (NIS)?

Der Begriff der Netz- und Informationssystemsicherheit umfasst nicht nur die Fähigkeit, Sicherheitsvorfälle abzuwehren, sondern auch die Fähigkeit, Sicherheitsvorfälle präventiv vorzubeugen, eine bereits entstandene Störung zu erkennen, zu beseitigen und möglichst rasch den Normalbetrieb wiederherzustellen.

NIS trägt dazu bei, Gefährdungen zu erkennen, zu bewerten und zu verfolgen, die Fähigkeit zu stärken, Störungen zu bewältigen, die damit verbundenen Folgen zu mindern sowie die Handlungs- und Funktionsfähigkeit der davon betroffenen Akteure, Infrastrukturen und Dienste wiederherzustellen.

Welches Computer-Notfallteam ist für die Entgegennahme von Meldungen von den Einrichtungen der öffentlichen Verwaltung zuständig?

Vorfälle werden (derzeit) via E-Mail von BKA, BMI, BMEIA und BMLV in den IKDOK gemeldet, von allen anderen Einrichtungen der Öffentlichen Verwaltung an das Computerteam der öffentlichen Verwaltung (nis-meldungen@govcert.gv.at)

Wie sieht ein Meldevorgang für Einrichtungen der öffentlichen Verwaltung aus?

NIS-Pflichtmeldungen werden an das IKDOK oder an das Computerteam der öffentlichen Verwaltung gemeldet.

Meldungen über Risiken, Vorfälle und Sicherheitsvorfälle in der öffentlichen Verwaltung können über das NIS-Meldeportal unter nis.govcert.gv.at eingebracht werden. BKA, BMI, BMEIA und BMLV melden direkt in den IKDOK.

Im NIS-Meldesystem wählen Sie dazu die entsprechende Art der Meldung aus und befüllen das entsprechende Meldeformular, sodass Sie gegebenenfalls bestmöglich bei der Behandlung unterstützt werden können.

NIS-Pflichtmeldungen haben folgenden Inhalt aufzuweisen:

"Die Meldung muss sämtliche relevante Angaben zum Sicherheitsvorfall und den technischen Rahmenbedingungen, die im Zeitpunkt der Erstmeldung bekannt sind, enthalten, insbesondere die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage. Angaben über später bekanntgewordene Umstände zum Sicherheitsvorfall sind in Nachmeldungen und letztendlich in einer Abschlussmeldung ohne unangemessene weitere Verzögerung mitzuteilen."

Siehe dazu auch https://www.govcert.gv.at/nis-meldung/index/index.html.

Was ist der Unterschied zwischen wesentlichen Diensten, digitalen Diensten und wichtigen Diensten?

Zur Gewährleistung der Netz- und Informationssicherheit haben Betreiber von wesentlichen Diensten Anbieter digitaler Dienste und Einrichtungen der öffentlichen Verwaltung in Hinblick auf die Netz- und Informationssysteme, die sie für die Bereitstellung genau definierter Dienste nutzen, geeignete und verhältnismäßige, technische und organisatorische Sicherheitsvorkehrungen zu treffen.

Diese genau definierten Dienste werden folgendermaßen bezeichnet

  • Wichtige Dienste bei den Einrichtungen des Bundes                   
  • Wesentliche Dienste bei den Betreibern wesentlicher Dienste                
  • Digitale Dienste bei den Anbietern digitaler Dienste                     

Wofür gibt es eine NIS-Verordnung?

Der Gegenstand der NIS-Verordnung ist die nähere Festlegung verschiedener Sachverhalte aus dem NIS-Gesetz. Dazu gehören Kriterien für die Parameter zu Sicherheitsvorfällen, nähere Regelungen hinsichtlich den Definitionen von wesentlichen Diensten in den einzelnen Sektoren und Festlegung von Kategorien und Maßnahmen hinsichtlich Sicherheitsvorkehrungen.

Was sind nationale zuständige Behörden gemäß NIS-Richtlinie?

Jeder Mitgliedstaat hat gemäß NIS-Richtlinie eine oder mehrere für die Sicherheit von Netz- und Informationssystemen zuständige nationale Behörde zu benennen. Diese werden als „zuständige Behörde“ bezeichnet. Ihre Aufgabe ist die Überwachung der Anwendung der NIS-Richtlinie auf nationaler Ebene. In Österreich sind dies das Bundeskanzleramt und das Bundesministerium für Inneres.

Was ist eine zentrale Anlaufstelle?

Die zentrale Anlaufstelle ist eine operative Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit mit den zuständigen Stellen in den anderen Mitgliedstaaten der Europäischen Union sowie der Kooperationsgruppe und dem CSIRTs-Netzwerk dient. Sie wird wegen dem vorwiegend operativen Charakter beim Bundesministerium für Inneres eingerichtet. In Österreich werden generell alle Umsetzungsthemen der NIS-Richtlinie mit operativen Charakter vom Bundeministerium für Inneres wahrgenommen. Strategische Umsetzungshemen werden vom Bundekanzleramt wahrgenommen.

Wird bei Anbietern digitaler Dienste die Umsetzung der Verpflichtungen überprüft?

Anbieter digitaler Dienste unterliegen weniger strikten, reaktiven Aufsichtstätigkeiten, die durch die Art ihrer Dienste und Tätigkeiten gerechtfertigt sind. Der Bundesminister für Inneres wird daher nur dann tätig werden, wenn ihm nachweisliche Umstände zur Kenntnis gelangen, dass ein Anbieter digitaler Dienste die Anforderungen dieses Bundesgesetzes nicht erfüllt, vor allem dann, wenn sich ein Sicherheitsvorfall ereignet hat.

Was ist eine Qualifizierte Stelle?

Eine Qualifizierte Stelle ist ein Unternehmen mit Hauptniederlassung oder Sitz in Österreich, das legitimiert ist, die Sicherheitsvorkehrungen bei Betreibern wesentlicher Dienste zu überprüfen.

Was ist der Aufgabenbereich einer Qualifizierten Stelle?

Der Aufgabenbereich einer Qualifizierten Stelle zeigt, welchen spezifischen Bereich der Sicherheitsvorkehrungen von dieser geprüft werden kann. Dieser kann von einzelnen Sicherheitsmaßnahmen bis hin zu mehreren bzw. allen Kategorien reichen. Die Sicherheitsvorkehrungen mit ihren Kategorien und einzelnen Sicherheitsmaßnahmen werden in der NISV des Bundeskanzleramtes festgelegt.

Welche Voraussetzungen muss eine Qualifizierte Stelle erfüllen?

Die Voraussetzungen an Qualifizierte Stellen werden durch die Verordnung über Qualifizierte Stellen (QuaSteV) des Bundesministeriums für Inneres festgelegt.

Qualifizierte Stellen haben insbesondere

  • befähigte Prüfer einzusetzen, die sicherheitsüberprüft im Sinne des Sicherheitspolizeigesetzes (SPG) sein müssen,
  • eine laufende Weiterbildung der Prüfer nachzuweisen,
  • technische und organisatorische Sicherheitsvorkehrungen hinsichtlich ihrer Netz- und Informationssysteme zu treffen,
  • die Sicherheit der Prüfdaten zu gewährleisten,
  • geeignete Werkzeuge (Soft- und Hardware) für Überprüfungen zu verwenden und
  • einen geeigneten Prüfprozess sowie
  • einen geeigneten Meldeprozess bei Vorfällen anzuwenden.

Wie wird man eine Qualifizierte Stelle?

Unternehmen, die Qualifizierte Stellen werden wollen, können einen Antrag an den Bundesminister für Inneres stellen, in dem sie ihr Interesse und den gewünschten Aufgabenbereich darlegen. Zudem haben sie durch schriftliche Belege nachzuweisen, dass sie die generellen Voraussetzungen an qualifizierten Stellen erfüllen.

Kontakt NIS@bvt.gv.at

Gibt es eine Liste von Qualifizierten Stellen?

Der Bundesminister für Inneres führt eine Liste von Qualifizierten Stellen mit ihrem jeweiligen Aufgabenbereich, in die Betreibern wesentlicher Dienste Einsicht gewährt werden kann.

Kontakt NIS@bvt.gv.at