Cybersicherheit – Das NISG

Sichere Netz- und Informationssysteme

Lesedauer: 2 Minuten

11.03.2023

Aktuell: Nachlese zum NISG-Webinar der Fachgruppe UBIT Niederösterreich 

zum Video


Allgemeines

Mit der NIS-Richtlinie (EU) 2016/1148, die in Österreich Ende 2018 durch das Netz- und Informationssystemsicherheitsgesetz (NISG) umgesetzt wurde, gibt es erstmals umfassende Regelungen im Bereich Cybersicherheit auf europäischer und nationaler Ebene. Ziel ist es, ein hohes Sicherheitsniveau von Netz- und Informationssystemen sicherzustellen.

Es soll(en) die

  • die Zusammenarbeit zwischen den Mitgliedstaaten gestärkt
  • nationale NIS-Strategien erarbeitet
  • nationale Behörden und Computer-Notfallteams (in Ö: cert.at, sektorenspezifische certs und GovCert) eingerichtet und
  • bestimmte, für das Gemeinwohl wichtige private und öffentliche Anbieter zu angemessenen Sicherheitsmaßnahmen und der Meldung erheblicher Störfälle verpflichtet werden.

Betroffenheit

Das NISG richtet sich an Betreiber wesentlicher Dienste, Anbieter digitaler Dienste und Einrichtungen des Bundes.

Diese müssen

  • geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen treffen und
  • Sicherheitsvorfälle melden.

Betreiber wesentlicher Dienste

Betreiber wesentlicher Dienste sind öffentliche oder private Einrichtungen

  • aus den Sektoren
    • Energie
    • Verkehr
    • Bankwesen,
    • Finanzmarktinfrastrukturen
    • Gesundheitswesen
    • Trinkwasserlieferung und –versorgung oder
    • digitale Infrastruktur
  • mit Niederlassung in der EU
  • die einen Dienst bereitstellen, der für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich ist
  • der abhängig von Netz-und Informationssystemen ist und
  • bei denen ein Sicherheitsvorfall eine erhebliche Störung bei der Bereitstellung dieses Dienstes bewirkt

Betreiber wesentlicher Dienste werden mittels Bescheid ermittelt und müssen mindestens alle 3 Jahre nach Zustellung des Bescheids einen Nachweis entsprechender Sicherheitsvorkehrungen für ihre Netz- und Informationssysteme (Aufstellung der Sicherheitsvorkehrungen durch Zertifizierungen oder Überprüfungen durch qualifizierte Stellen) erbringen, wobei der Bundesminister für Inneres die Einhaltung der Anforderungen jederzeit überprüfen kann.

Anbieter digitaler Dienste

Anbieter digitaler Dienste sind juristische Person, die einen der folgenden digitalen Dienste anbieten:

  • Online Marktplatz
  • Online Suchmaschine
  • Cloud Computing-Dienst

Ausgenommen sind Kleinunternehmen mit weniger als 50 MitarbeiterInnen UND Jahresumsatz/bilanz von weniger als 10 Mio. EUR.

Im Bereich der Anbieter digitaler Dienste gibt es keine gesonderte Ermittlung durch die Mitgliedstaaten durch Bescheid.

Anbieter digitaler Dienste müssen geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen treffen. Sie sind aber grundsätzlich in deren Auswahl frei, sofern diese ein angemessenes Sicherheitsniveau gewährleisten und die Vorgaben der NIS-RL einhalten.

Bestimmungen über Sicherheitsvorkehrungen und erhebliche Auswirkungen eines Sicherheitsvorfalls sind in der Durchführungsverordnung (EU) 2018/151 präzisiert.

Meldepflichten

Betreiber wesentlicher Dienste, Anbieter digitaler Dienste und Einrichtungen des Bundes müssen einen Sicherheitsvorfall unverzüglich an das zuständige Computer-Notfallteam melden.

Ein Sicherheitsvorfall ist eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen, die zu einer Einschränkung oder einem Ausfall der Verfügbarkeit des Dienstes mit erheblichen Auswirkungen (betroffene Nutzer, Dauer, geografische Ausbreitung, Auswirkung auf Wirtschaft und Gesellschaft) geführt hat.

Das BMI kann nach Anhörung des betroffenen Unternehmens zur Verhütung von Sicherheitsvorfällen, zur Bewältigung akuter Sicherheitsvorfälle oder im öffentlichen Interesse die Öffentlichkeit informieren.

Anders als Sicherheitsvorfälle können Risken und Vorfälle– auch ohne die Identität der Einrichtung zu nennen – freiwillig gemeldet werden.

Sanktionen

Die Verwaltungsstrafe bei Verstößen (z.B. Meldepflicht, Sicherheitsvorkehrungen, Mitwirkungspflichten) betragen bis EUR 50.000, im Wiederholungsfall bis EUR 100.000.

Zuständig ist die jeweilige Bezirksverwaltungsbehörde.