Allgemeines zum NIS-Gesetz

In Österreich wurde die europäische NIS-Richtlinie mit dem NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz) umgesetzt, welches am 28.12.2018 in Kraft trat. Dabei sollten Aufgaben, die sich aus der NIS-Richtlinie ergeben, auf bereits bestehende Strukturen übertragen werden. 

NIS-Gesetz im RIS

Mit dem NIS-Gesetz werden Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen der Einrichtungen, die in den Anwendungsbereich fallen, erreicht werden soll. Netz- und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der heutigen Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind. Deswegen werden Verpflichtungen für Betreiber wesentlicher Dienste, Anbieter digitaler Dienste sowie für Einrichtungen der öffentlichen Verwaltung eingeführt.

Das NIS-Gesetz legt Aufgaben und Zuständigkeiten sowie deren Befugnisse für die mit der Umsetzung betrauten Behörden fest. 

In den sachlichen Anwendungsbereich fallen beispielsweise Betreiber eines wesentlichen Dienstes aus den Sektoren Energie, Luft-, Straßen- und Schienenverkehr, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur.
Zudem werden auch Einrichtungen der öffentlichen Verwaltung erfasst.

Nähere Regelungen für die Sicherheitsvorkehrungen finden sich in der zu dem NIS-Gesetz zu erlassenen NIS-Verordnung.

Netz- und Informationssysteme mit den zugehörigen Diensten spielen heute eine zentrale Rolle in der Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

Tragweite, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen dar. Diese Systeme können zu einem Angriffsziel vorsätzlich schädigender Handlungen werden, die auf die Störung oder den Ausfall des Betriebes der Systeme gerichtet sind. Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, beträchtliche finanzielle Verluste verursachen, das Vertrauen der Nutzer und Nutzerinnen untergraben und unserer Wirtschaft großen Schaden zufügen.

Aus diesem Grund ist das Absichern von Netz- und Informationssystemen für die Gesellschaft wichtig.

Mit der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, die am 8. August 2016 in Kraft getreten ist, soll EU-weit ein hohes Sicherheitsniveau der Netz- und Informationssysteme erreicht werden.

Vor diesem Hintergrund soll(en) unter anderem die Zusammenarbeit zwischen den Mitgliedstaaten in strategischer und operationeller Hinsicht gestärkt werden, Mitgliedstaaten eine nationale NIS-Strategie erarbeiten, die strategische Ziele, Prioritäten und Maßnahmen enthalten soll, um in den einzelnen Mitgliedstaaten ein hohes Sicherheitslevel der Netz- und Informationssysteme zu erreichen, nationale Behörden und Computer-Notfallteams benannt werden und bestimmte, für das Gemeinwohl wichtige private und öffentliche Anbieter (Betreiber wesentlicher Dienste und digitale Diensteanbieter) zu angemessenen Sicherheitsmaßnahmen und Meldung erheblicher Störfälle verpflichtet werden.

Ein Netz- und Informationssystem im Sinne des NIS-Gesetzes ist/sind:

  • ein elektronisches Kommunikationsnetz im Sinne des § 3 Z 11 Telekommunikationsgesetz 2003 (TKG 2003), BGBl. I Nr. 70/2003,
  • räumlich verteilte, digitale Verarbeitungsvorrichtungen zur technischen Unterstützung der Erhebung, Verarbeitung, Speicherung, Wartung, Nutzung, Weitergabe, Verbreitung oder Disposition von digitalen Informationen,
  • digitale Daten, die in einem solchen elektronischen Kommunikationsnetz oder in solchen Vorrichtungen verarbeitet werden.

Der Begriff der Netz- und Informationssystemsicherheit umfasst nicht nur die Fähigkeit, Sicherheitsvorfälle abzuwehren, sondern auch die Fähigkeit, Sicherheitsvorfälle präventiv vorzubeugen, eine bereits entstandene Störung zu erkennen, zu beseitigen und möglichst rasch den Normalbetrieb wiederherzustellen.

NIS trägt dazu bei, Gefährdungen zu erkennen, zu bewerten und zu verfolgen, die Fähigkeit zu stärken, Störungen zu bewältigen, die damit verbundenen Folgen zu mindern sowie die Handlungs- und Funktionsfähigkeit der davon betroffenen Akteure, Infrastrukturen und Dienste wiederherzustellen.

Der Gegenstand der NIS-Verordnung ist die nähere Festlegung verschiedener Sachverhalte aus dem NIS-Gesetz. Dazu gehören Kriterien für die Parameter zu Sicherheitsvorfällen, nähere Regelungen hinsichtlich den Definitionen von wesentlichen Diensten in den einzelnen Sektoren und Festlegung von Kategorien und Maßnahmen hinsichtlich Sicherheitsvorkehrungen.

Jeder Mitgliedstaat hat gemäß NIS-Richtlinie eine oder mehrere für die Sicherheit von Netz- und Informationssystemen zuständige nationale Behörde zu benennen. Diese werden als "zuständige Behörde" bezeichnet. Ihre Aufgabe ist die Überwachung der Anwendung der NIS-Richtlinie auf nationaler Ebene. In Österreich ist dies das Bundesministerium für Inneres.

Die zentrale Anlaufstelle ist eine operative Verbindungsstelle, die der Gewährleistung der grenzüberschreitenden Zusammenarbeit mit den zuständigen Stellen in den anderen Mitgliedstaaten der Europäischen Union sowie der Kooperationsgruppe und dem CSIRTs-Netzwerk dient. Sie wird wegen des vorwiegend operativen Charakters beim Bundesministerium für Inneres eingerichtet. In Österreich werden generell alle Umsetzungsthemen der NIS-Richtlinie mit operativen Charakter vom Bundeministerium für Inneres wahrgenommen. Strategische Umsetzungsthemen werden vom Bundekanzleramt wahrgenommen.