Für Einrichtungen der öffentlichen Verwaltung

Informationen zum Netz- und Informationssystemsicherheitgesetz (NISG) für Einrichtungen der öffentlichen Verwaltung

Die Einrichtungen der öffentlichen Verwaltung umfassen die Einrichtungen des Bundes sowie die Einrichtungen der Länder.

Da Einrichtungen der öffentlichen Verwaltung für die Funktionsfähigkeit des (Rechts-)Staates und daher für das Gemeinwesen und die Daseinsvorsorge der Bevölkerung von hoher Bedeutung sind, wurden sie im Zuge der Umsetzung der NIS-Richtlinie berücksichtigt.

Einrichtungen des Bundes sind die Bundesministerien, die Gerichtshöfe des öffentlichen Rechts (VfGH und VwGH), der Rechnungshof, die Volksanwaltschaft, die Präsidentschaftskanzlei und die Parlamentsdirektion, mitsamt all ihren Organisationseinheiten und der damit verbundenen technischen Infrastruktur. Der zuständige Bundesminister kann weitere Dienststellen des Bundes durch Verordnung bestimmen.

Einrichtungen der Länder sind die Ämter der Landesregierungen, ebenso mitsamt all ihren Organisationseinheiten und der damit verbundenen technischen Infrastruktur, sowie gegebenenfalls weitere Dienststellen der Länder und Gemeinden. Anders als bei Einrichtungen des Bundes muss ein Bundesland in den Anwendungsbereich optieren, damit seine Einrichtungen den Pflichten des NIS-Gesetzes unterliegen.

Neben Betreibern wesentlicher Dienste und Anbietern digitaler Dienste kommt auch öffentlichen Stellen eine wesentliche Bedeutung bei der Aufrechterhaltung von zentralen gesellschaftlichen und staatlichen Funktionen zu. 

Zur Gewährleistung der Netz- und Informationssicherheit haben Einrichtungen der öffentlichen Verwaltung in Hinblick auf die Netz- und Informationssysteme, die sie für die Bereitstellung wichtiger Dienste nutzen, geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen.

Für die Einrichtungen der öffentlichen Verwaltungen ergibt sich die Verpflichtung zur Umsetzung der Maßnahmen aus den gesetzlichen Vorgaben. Es liegt in der Eigenverantwortung der jeweiligen Einrichtung, die Einhaltung der notwendigen und geeigneten Sicherheitsvorkehrungen zu gewährleisten. Eine regelmäßige oder anlassfallbezogene Überprüfung dieser Maßnahmen durch eine andere Stelle ist nicht vorgesehen.

Ein wichtiger Dienst der öffentlichen Verwaltung gemäß NIS-Gesetz ist entweder eine Sachgebietsverantwortung der Einrichtung, die von Netz- und Informationssystemen abhängig ist und bei der ein Sicherheitsvorfall diesen Dienst betreffend erhebliche Auswirkungen hat oder ein IKT-Dienst, dessen Ausfall oder Mangelfunktion zu einer erheblichen Beeinträchtigung der Funktionstüchtigkeit der Einrichtung führt.

Ein Sicherheitsvorfall liegt vor, wenn eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen zu einer Einschränkung der Verfügbarkeit oder zu einem Ausfall des betriebenen Dienstes von erheblicher Auswirkung geführt hat. Der Dienst ist ein wesentlicher Dienst, ein digitaler Dienst oder ein wichtiger Dienst, den eine Einrichtung des Bundes erbringt.

Ein Sicherheitsvorfall kann neben Cyberangriffen oder Einwirkungen Dritter auch durch physische Ereignisse wie etwa Naturereignisse, aber auch durch Ereignisse wie zum Beispiel Stromausfälle oder das Verhalten eigener Mitarbeiter verursacht werden.

Bei der Beurteilung, ob eine Störung erhebliche Auswirkungen hat und somit einen Sicherheitsvorfall darstellt, sind insbesondere die Anzahl der betroffenen Nutzer, die Dauer der Störung, die geografische Ausbreitung der Störung sowie die Auswirkung auf wirtschaftliche oder gesellschaftliche Tätigkeiten zu berücksichtigen.

Im Falle von Einrichtungen der öffentlichen Verwaltung liegt die Beurteilung einer erheblichen Auswirkung im Ermessen der betroffenen Organisation.

Zur Gewährleistung der Netz- und Informationssicherheit haben Betreiber von wesentlichen Diensten, Anbieter digitaler Dienste und Einrichtungen der öffentlichen Verwaltung in Hinblick auf die Netz- und Informationssysteme, die sie für die Bereitstellung genau definierter Dienste nutzen, geeignete und verhältnismäßige, technische und organisatorische Sicherheitsvorkehrungen zu treffen.

Diese genau definierten Dienste werden folgendermaßen bezeichnet

  • Wichtige Dienste bei den Einrichtungen des Bundes                   
  • Wesentliche Dienste bei den Betreibern wesentlicher Dienste                
  • Digitale Dienste bei den Anbietern digitaler Dienste                     

Vorfälle werden (derzeit) via E-Mail von BKA, BMI, BMEIA und BMLV in den Inneren Kreis der Operativen Koordinierungsstruktur (IKDOK)  gemeldet, von allen anderen Einrichtungen der öffentlichen Verwaltung an das Computerteam der öffentlichen Verwaltung (nis-meldungen@govcert.gv.at)

NIS-Pflichtmeldungen werden an den Inneren Kreis der operativen Koordinierungsstrukturen (IKDOK) oder an das Computer-Notfallteam der öffentlichen Verwaltung (GovCERT) gemeldet.

Meldungen über Risiken, Vorfälle und Sicherheitsvorfälle in der öffentlichen Verwaltung können über das NIS-Meldeportal unter nis.govcert.gv.at eingebracht werden. BKA, BMI, BMEIA und BMLV melden direkt in den IKDOK.

Im NIS-Meldesystem wählen Sie dazu die entsprechende Art der Meldung aus und befüllen das entsprechende Meldeformular, sodass Sie gegebenenfalls bestmöglich bei der Behandlung unterstützt werden können.

NIS-Pflichtmeldungen haben folgenden Inhalt aufzuweisen:

"Die Meldung muss sämtliche relevante Angaben zum Sicherheitsvorfall und den technischen Rahmenbedingungen, die im Zeitpunkt der Erstmeldung bekannt sind, enthalten, insbesondere die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage. Angaben über später bekanntgewordene Umstände zum Sicherheitsvorfall sind in Nachmeldungen und letztendlich in einer Abschlussmeldung ohne unangemessene weitere Verzögerung mitzuteilen."

Siehe dazu auch NIS-Meldung (GovCERT)

Die Meldung muss sämtliche relevante Angaben zum Sicherheitsvorfall und den technischen Rahmenbedingungen, die zum Zeitpunkt der Erstmeldung bekannt sind, enthalten, insbesondere die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage.

Angaben über später bekanntgewordene Umstände zum Sicherheitsvorfall sind in Nachmeldungen und letztendlich in einer Abschlussmeldung ohne unangemessene weitere Verzögerung mitzuteilen. Die Meldung ist in einem standardisierten elektronischen Format zu übermitteln.

§ 23 des NISG ermöglicht es Betreibern wesentlicher Dienste, Anbietern digitaler Dienste und Einrichtungen der öffentlichen Verwaltung, Risiken und Vorfälle freiwillig an das zuständige Computer-Notfallteam zu melden. Der Meldeweg unterscheidet sich grundsätzlich nicht von jenem für eine verpflichtende Meldung, jedoch können freiwillige Meldungen auch zeitverzögert, aggregiert und ohne namentliche Nennung der Melder an das Bundesministerium für Inneres weitergeleitet werden.

Ab dem Zeitpunkt des Inkrafttretens des NISG müssen die Einrichtungen des Bundes die vorgesehenen Sicherheitsvorkehrungen und die Meldepflichten im Hinblick auf die wichtigen Dienste erfüllen. Bei Einrichtungen der Länder hängt der Beginn der Umsetzungsverpflichtungen von der Ausgestaltung des Landesgesetzes, mit dem ein Land die Pflichten für anwendbar erklärt, ab.