Das Netz- und Informationssystemsicherheitsgesetz – Pflichten für Betreiber wesentlicher Dienste

Mit der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union („NIS-RL“) soll EU-weit ein hohes Sicherheitsniveau von Netz- und Informationssystemen erreicht werden.

In Österreich wurde die NIS-RL durch das am 29. Dezember 2018 in Kraft getretene Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen („NISG“) umgesetzt bzw. einzelne Pflichten unter dem NISG durch die Verordnung des Bundesministers für EU, Kunst, Kultur und Medien zur Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen nach dem Netz- und Informationssystemsicherheitsgesetz („NISV“) konkretisiert.

Das NISG regelt neben den Zuständigkeiten und Koordinierungsstrukturen sowie einer nationalen Strategie unter anderem auch Verpflichtungen von sogenannten Betreibern wesentlicher Dienste. Bei Betreibern wesentlicher Dienste handelt es sich nach dem NISG um Einrichtungen in Österreich, die einen wesentlichen Dienst erbringen. Wesentliche Dienste sind Dienste in den im NISG festgelegten Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur) erbracht werden, eine wesentliche Bedeutung für die Aufrechterhaltung des öffentlichen Lebens haben und von Netz- und Informationssystemen abhängig sind.

Der Gesetzgeber hat festgelegt, dass Einrichtungen in Österreich nicht selbst aufgefordert sind, festzustellen, ob es sich bei Ihnen um „Betreiber wesentlicher Dienste“ iSd NISG handelt; vielmehr die „Betreibereigenschaft“ mit Bescheid des Bundeskanzlers festgestellt. Der Bescheid hat somit für die Eigenschaft als Betreiber wesentlicher Dienste konstitutive Wirkung, ab Zustellung des Bescheids ist das NISG auf den jeweiligen Betreiber bzw die jeweiligen im Bescheid festgelegten Dienste anwendbar.

Das NISG legt umfassende Pflichten für Betreiber wesentlicher Dienste fest. So sind diese zunächst verpflichtet, eine Kontaktstelle einzurichten und zu nennen und deren Erreichbarkeit zumindest für jenen Zeitraum, in dem der wesentliche Dienst zur Verfügung gestellt wird, sicherzustellen. Üblicherweise wird dies also 24 Stunden und sieben Tage die Woche sein.

Weiters haben die Betreiber im Hinblick auf jene Netz- und Informationssysteme, die zur Bereitstellung der wesentlichen Dienste genutzt werden, „geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen“ zu treffen. Sicherheitsvorfällen ist vorzubeugen bzw sind diese zu erkennen, abzuwehren und zu beseitigen. Die NISV (insb Anlage 1) enthält nähere Regelungen und Konkretisierungen zu den Sicherheitsvorkehrungen. Darüber hinaus hat das Bundeskanzleramt eine Anlaufstelle NISG eingerichtet und sogenannte NIS Fact Sheets erstellt, die weitere Erläuterungen enthalten (https://www.nis.gv.at/).

Das NISG verpflichtet Betreiber zudem, Sicherheitsvorfälle, dh Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Netz- und Informationssysteme, die einen wesentlichen Dienst betreffen, unverzüglich an das Computer-Notfallteam zu melden. Ab welcher Intensität der Störung ein Sicherheitsvorfall vorliegt, regelt wiederum die NISV.

Bescheidmäßig festgestellte Betreiber wesentlicher Dienste sind gut beraten, sich rechtliche sowie technische Unterstützung zur Umsetzung der Pflichten gemäß dem NISG zu holen, da das NISG für Verstöße empfindliche Verwaltungsstrafen bis zu EUR 50.0000, im Wiederholungsfall bis zu EUR 100.000, vorsieht.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.