bundeskanzleramt.gv.at bmi.gv.at

Für Betreiber wesentlicher Dienste

Informationen zum Netz- und Informationssystemsicherheitsgesetz (NISG) für Betreiber wesentlicher Dienste.

Fragen und Antworten

Was sind Betreiber wesentlicher Dienste?

Betreiber wesentlicher Dienste sind private oder öffentliche Einrichtungen mit Niederlassung in Österreich, die einen wesentlichen Dienst in einem der im NIS-Gesetz genannten Sektoren erbringen.

Was ist ein wesentlicher Dienst?

Ein wesentlicher Dienst wird in einem der im NIS-Gesetz genannten Sektoren erbracht. Er muss von Netz- und Informationssystemen abhängig sein und zeichnet sich durch eine wesentliche Bedeutung für die Aufrechterhaltung des öffentlichen Gesundheitsdienstes, der öffentlichen Versorgung mit Wasser, Energie sowie lebenswichtigen Gütern, des öffentlichen Verkehrs oder die Funktionsfähigkeit öffentlicher Informations- und Kommunikationstechnologie aus.

Wann hat ein Dienst eine wesentliche Bedeutung?

Wird ein Dienst in der NIS-Verordnung als wesentlicher Dienst definiert, so hat er per legem eine wesentliche Bedeutung. Bei der Beurteilung, ob ein Dienst eine wesentliche Bedeutung hat, wurden insbesondere die Zahl der Nutzer, die Abhängigkeit anderer Betreiber von diesem Dienst, die geographische Ausbreitung eines Sicherheitsvorfalles, mögliche Auswirkungen eines Ausfalles und die Kritikalität des Dienstes berücksichtigt.
Darüber hinaus wurden auch sektorenspezifische Faktoren berücksichtigt.

Was ist ein Sicherheitsvorfall?

Ein Sicherheitsvorfall liegt vor, wenn eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen zu einer Einschränkung der Verfügbarkeit oder zu einem Ausfall des betriebenen Dienstes von erheblicher Auswirkung geführt hat. Der Dienst ist ein wesentlicher Dienst, ein digitaler Dienst oder ein wichtiger Dienst, den eine Einrichtung des Bundes erbringt.
Ein Sicherheitsvorfall kann neben Cyberangriffen oder Einwirkungen Dritter auch durch physische Ereignisse wie etwa Naturereignisse, aber auch durch Ereignisse wie z. B. Stromausfälle oder das Verhalten eigener Mitarbeiter verursacht werden.

Wann liegt eine erhebliche Auswirkung vor?

Bei der Beurteilung, ob eine Störung erhebliche Auswirkungen hat und somit einen Sicherheitsvorfall darstellt, sind insbesondere die Anzahl der betroffenen Nutzer, die Dauer der Störung, die geografische Ausbreitung der Störung sowie die Auswirkung auf wirtschaftliche oder gesellschaftliche Tätigkeiten zu berücksichtigen.

Für die Betreiber wesentlicher Dienste sind die Parameter für die Beurteilung einer erheblichen Auswirkung in der NIS-Verordnung festgelegt. Die Parameter wurden im Dialog zwischen den NIS-Behörden und den Sektorenvertretern eruiert.

Wie werden die Betreiber wesentlicher Dienste ausgewählt?

Der Bundeskanzler ermittelt nach Befassung des Bundesministers für Inneres und des zuständigen Bundesministers für jeden im NIS-Gesetz genannten Sektor, jene Betreiber wesentlicher Dienste mit einer Niederlassung in Österreich, die einen wesentlichen Dienst erbringen.

Wie werden die Betreiber wesentlicher Dienste verständigt?

Erbringt eine Einrichtung einen wesentlichen Dienst, so wird diese Einrichtung per Bescheid des Bundeskanzlers als Betreiber eines wesentlichen Dienstes ermittelt.
Eine Einrichtung, die keinen solchen Bescheid erhält, ist kein Betreiber wesentlicher Dienste.
Fallen die Voraussetzungen für den Bescheid, mit dem festgestellt wurde, dass eine bestimmte Einrichtung Betreiber wesentlicher Dienste ist, nachträglich weg oder stellt sich heraus, dass sie von vornherein nicht vorgelegen sind, so wird dies ebenfalls mit Bescheid gegenüber der Einrichtung ausgesprochen, dass sie kein Betreiber wesentlicher Dienste mehr ist.

Kontaktstellen

Betreiber wesentlicher Dienste müssen binnen zwei Wochen nach Zustellung des Bescheides eine Kontaktstelle für die Kommunikation mit dem Bundeskanzler, dem Bundesminister für Inneres oder den Computer-Notfallteams nennen.
Weiterführende Informationen können im NIS Fact Sheet 01/2019 gefunden werden.

Welche Verpflichtungen haben die Betreiber wesentlicher Dienste?

Einerseits haben Betreiber eines wesentlichen Dienstes geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen. Diese haben den Stand der Technik zu berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein.

Andererseits müssen Betreiber eines wesentlichen Dienstes einen Sicherheitsvorfall, der einen von ihnen bereitgestellten Dienst betrifft, unverzüglich an das für sie zuständige Computer-Notfallteam melden. Diese Meldung wird unverzüglich an den Bundesminister für Inneres weitergeleitet.

Wird die Umsetzung der Verpflichtungen überprüft?

Ja, die Umsetzung wird vom Bundesminister für Inneres überprüft.

Die Betreiber wesentlicher Dienste haben mindestens alle drei Jahre nach Zustellung des Bescheides die Erfüllung der Anforderungen gegenüber dem Bundesminister für Inneres nachzuweisen.
Zu diesem Zweck übermitteln sie eine Aufstellung der vorhandenen Sicherheitsvorkehrungen durch den Nachweis von Zertifizierungen oder durchgeführten Überprüfungen durch qualifizierte Stellen, einschließlich der dabei aufgedeckten Sicherheitsmängel.

Der Bundesminister für Inneres kann zur Kontrolle der Einhaltung der Anforderungen Einschau in die Netz- und Informationssysteme, die für die Bereitstellung des wesentlichen Dienstes genutzt werden, und in diesbezügliche Unterlagen nehmen.

Wird festgestellt, dass die Anforderungen gemäß NIS-Gesetz nicht erfüllt werden, so kann der Bundesminister für Inneres Handlungsempfehlungen aussprechen und einen Nachweis für deren Befolgung verlangen. Bei einer Weigerung wird eine Verwaltungsübertretung begangen, siehe §17 und § 26 NISG.

Was ist eine qualifizierte Stelle?

Eine qualifizierte Stelle ist eine Einrichtung mit Niederlassung in Österreich, deren Eignung zur Überprüfung der Sicherheitsvorkehrungen von Betreibern wesentlicher Dienste vom Bundesminister für Inneres per Bescheid festgestellt wurde.

Wie sieht ein Meldevorgang für Betreiber wesentlicher Dienste aus?

Gemäß § 19 NISG haben Betreiber wesentlicher Dienste einen Sicherheitsvorfall, der einen von ihnen bereitgestellten wesentlichen Dienst betrifft, unverzüglich an das für sie zuständige Computer-Notfallteam zu melden, das die Meldung unverzüglich an den Bundesminister für Inneres weiterleitet. Angaben über später bekanntgewordene Umstände sind ohne unangemessene weitere Verzögerung in Form von Nachmeldungen mitzuteilen, wobei schlussendlich eine Abschlussmeldung erfolgen soll.

Durch diese Regelung wird zum Ausdruck gebracht, dass einer möglichst frühzeitigen Meldung Vorrang gegenüber einer vollständigen Meldung eingeräumt wird. Die Pflicht, später bekanntgewordene Angaben zu melden, soll die Bewältigung eines Sicherheitsvorfalls nicht beeinträchtigen. Zur Erfüllung der Meldepflicht ist es jedoch jedenfalls erforderlich, sämtliche Umstände bekannt zu geben, die zum Zeitpunkt der Meldung bekannt sind.

Welches Computer-Notfallteam ist für die Entgegennahme von Meldungen von Betreibern wesentlicher Dienste zuständig?

Zuständig für die Entgegennahme der Meldung ist das sektorenspezifische Computer-Notfallteam, falls ein solches eingerichtet ist und vom Betreiber wesentlicher Dienste unterstützt wird.

Wird das sektorenspezifische Computer-Notfallteam nicht vom Betreiber wesentlicher Dienste unterstützt oder ist keines eingerichtet, so ist das nationale Computer-Notfallteam zuständig.

Da bis dato noch kein sektorenspezifisches CSIRT ernannt worden ist, ist das zuständige Computer-Notfallteam das nationale Computer-Notfallteam.

Nationales Computer-Notfallteam:
CERT.at - Computer Emergency Response Team Austria
Webseite: www.cert.at
Telefon: +43 1 5056416 78
Verpflichtende und freiwillige NIS-Meldungen: https://nis.cert.at
E-Mail-Adresse für Sicherheitsvorfälle: reports@cert.at
E-Mail-Adresse für andere Anfragen: team@cert.at

Inhalt der Meldung

Die Meldung muss sämtliche relevante Angaben zum Sicherheitsvorfall und den technischen Rahmenbedingungen, die zum Zeitpunkt der Erstmeldung bekannt sind, enthalten, insbesondere die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage.
Angaben über später bekanntgewordene Umstände zum Sicherheitsvorfall sind in Nachmeldungen und letztendlich in einer Abschlussmeldung ohne unangemessene weitere Verzögerung mitzuteilen. Die Meldung ist in einem standardisierten elektronischen Format zu übermitteln.

Ab wann gelten die Umsetzungsverpflichtungen für die Betreiber wesentlicher Dienste?

Ab dem Zeitpunkt der Zustellung eines Bescheides müssen die Betreiber wesentlicher Dienste die vorgesehenen Sicherheitsvorkehrungen und die Meldepflichten im Hinblick auf die wesentlichen Dienste erfüllen.

Was ist eine freiwillige Meldung?

§ 23 des NISG ermöglicht es Betreibern wesentlicher Dienste, Anbietern digitaler Dienste und Einrichtungen der öffentlichen Verwaltung, Risiken und Vorfälle freiwillig an das zuständige Computer-Notfallteam zu melden. Der Meldeweg unterscheidet sich grundsätzlich nicht von jenem für eine verpflichtende Meldung, jedoch können freiwillige Meldungen auch zeitverzögert, aggregiert und ohne namentliche Nennung der Melder an das Bundesministerium für Inneres weitergeleitet werden.