Verordnung des Bundesministers für EU, Kunst, Kultur und Medien zur Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen nach dem Netz- und Informationssystemsicherheitsgesetz (Netz- und Informationssystemsicherheitsverordnung ? NISV)
215. Verordnung des Bundesministers für EU, Kunst, Kultur und Medien zur Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen nach dem Netz- und Informationssystemsicherheitsgesetz (Netz- und Informationssystemsicherheitsverordnung ? NISV) Auf Grund des § 4 Abs. 2 des Netz- und Informationssystemsicherheitsgesetzes (NISG), BGBl. I Nr. 111/2018, wird im Einvernehmen mit dem Bundesminister für Inneres verordnet:
Inhaltsverzeichnis
| 1. AbschnittAllgemeine Bestimmungen | |
| § 1. | Gegenstand der Verordnung |
| § 2. | Begriffsbestimmungen zu wesentlichen Diensten |
| § 3. | Begriffsbestimmungen zu Sicherheitsvorfällen |
| 2. AbschnittWesentliche Dienste und Sicherheitsvorfälle | |
| § 4. | Sektor Energie |
| § 5. | Sektor Verkehr |
| § 6. | Sektor Bankwesen |
| § 7. | Sektor Finanzmarktinfrastrukturen |
| § 8. | Sektor Gesundheitswesen |
| § 9. | Sektor Trinkwasserversorgung |
| § 10. | Sektor Digitale Infrastruktur |
| 3. AbschnittSicherheitsvorkehrungen | |
| § 11. | Sicherheitsvorkehrungen |
| 4. AbschnittSchlussbestimmungen | |
| § 12. | Personenbezogene Bezeichnungen |
| § 13. | Verweisungen |
| § 14. | Inkrafttreten |
1. Abschnitt
Allgemeine Bestimmungen
Gegenstand der Verordnung
§ 1. Gegenstand dieser Verordnung ist die Festlegung
| 1. | von Kriterien für die Parameter zu Sicherheitsvorfällen gemäß § 3 Z 6 lit. a bis d NISG; |
| 2. | näherer Regelungen zu den in § 2 NISG genannten Sektoren gemäß § 16 Abs. 2 NISG; |
| 3. | von Sicherheitsvorkehrungen nach § 17 Abs. 1 NISG; |
| 4. | von Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste gemäß § 20 Abs. 1 NISG. |
Begriffsbestimmungen zu wesentlichen Diensten
§ 2. Im Sinne dieser Verordnung bedeutet
| 1. | ?Internet-Knoten? (IXP ? Internet Exchange Point) eine Netzeinrichtung, die die Zusammenschaltung von mehr als zwei unabhängigen autonomen Systemen ermöglicht, in erster Linie zur Erleichterung des Austauschs von Internet-Datenverkehr; |
| 2. | ?Domain-Namen-System? (DNS) ein hierarchisch unterteiltes Bezeichnungssystem in einem Netz zur Beantwortung von Anfragen zu Domain-Namen; |
| 3. | ?Top-Level-Domain-Name-Registry? eine Einrichtung, die die Registrierung von Internet-Domain-Namen innerhalb einer spezifischen Top-Level-Domain (TLD) verwaltet und betreibt; |
| 4. | ?DNS-Resolver? Programme, die Informationen von DNS-Servern zur Beantwortung von Client-Anfragen abfragen (Namensauflösung) und bei Unkenntnis der Antwort die Client-Anfragen an übergeordnete DNS-Server weiterreichen; |
| 5. | ?Autoritativer DNS-Server? ein Server, der den Inhalt einer DNS-Zone kennt und somit Abfragen zu dieser Zone beantworten kann, ohne andere DNS-Server abfragen zu müssen; |
| 6. | ?Verkehrssteuerungs- und Leitsysteme? Einrichtungen zur Regelung und Sicherung des Verkehrs, deren Funktionsfähigkeit von Netz- und Informationssystemen abhängig ist; |
| 7. | ?kommunaler Straßenverkehr? der Straßenverkehr in Städten mit mehr als 88 000 Einwohnern; |
| 8. | ?Krankenanstalten? |
| a) | öffentliche Krankenanstalten gemäß § 2 Abs. 1 Z 1 des Bundesgesetzes über Krankenanstalten- und Kuranstalten (KAKuG), BGBl. Nr. 1/1957, mit Ausnahme der Pflegeabteilungen in öffentlichen Krankenanstalten für Psychiatrie; |
| b) | private Krankenanstalten der im § 2 Abs. 1 Z 1 KAKuG bezeichneten Art, die gemäß § 16 KAKuG gemeinnützig geführte Krankenanstalten sind; |
| c) | Sonderkrankenanstalten gemäß § 2 Abs. 1 Z 2 KAKuG, die überwiegend unfallchirurgische Akutversorgung leisten und gemeinnützig geführt sind; |
| 9. | ?Versorgungsregionen? die 32 Versorgungsregionen gemäß dem Österreichischen Strukturplan Gesundheit (ÖSG); |
| 10. | ?zentral gelegene Versorgungsregionen mit großem Einzugsgebiet? |
| a) | Versorgungsregionen mit mehr als 300 000 Einwohnern, sofern in diesen eine Landeshauptstadt gelegen ist; |
| b) | die Versorgungsregionen in der Bundeshauptstadt; |
| 11. | ?akutambulante ärztliche Versorgung? die ambulante ärztliche Versorgung, die rund um die Uhr oder während der Öffnungszeiten ohne Terminvereinbarung zur Verfügung steht. |
Begriffsbestimmungen zu Sicherheitsvorfällen
§ 3. Im Sinne dieser Verordnung bedeutet
| 1. | ?Ausfall des betriebenen Dienstes? die Unverfügbarkeit des Dienstes für Nutzer; |
| 2. | ?Einschränkung der Verfügbarkeit des betriebenen Dienstes? die signifikant geminderte Verfügbarkeit des Dienstes in qualitativer Dimension für Nutzer; |
| 3. | ?Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen? (§ 3 Z 6 lit. a NISG) die Zahl der von einem Sicherheitsvorfall betroffenen natürlichen und juristischen Personen, mit denen ein Vertrag über die Bereitstellung des Dienstes abgeschlossen wurde, oder die Zahl der betroffenen Nutzer, die den Dienst im Zeitpunkt des Sicherheitsvorfalls genutzt haben oder für die voraussichtliche Dauer des Sicherheitsvorfalls nutzen würden; |
| 4. | ?Dauer des Sicherheitsvorfalls? (§ 3 Z 6 lit. b NISG) der in Stunden angegebene Zeitraum vom Ausfall oder von der Einschränkung der Verfügbarkeit des betriebenen Dienstes bis zum Zeitpunkt der uneingeschränkten Wiederherstellung; |
| 5. | ?geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet? (§ 3 Z 6 lit. c NISG) eine geografische Ausbreitung, bei der der Ausfall oder die Einschränkung der Verfügbarkeit des betriebenen wesentlichen Dienstes Gebiete in einem oder mehreren Mitgliedstaaten der Europäischen Union oder der Europäischen Freihandelsassoziation betrifft; |
| 6. | ?Auswirkung auf wirtschaftliche und gesellschaftliche Tätigkeiten? (§ 3 Z 6 lit. d NISG) nachteilige Auswirkungen auf Einrichtungen und Personen, insbesondere betroffene Nutzer, unabhängig davon, ob diese Auswirkungen materielle oder immaterielle Verluste für diese verursacht haben; |
| 7. | ?Nutzerstunden? das Produkt der Anzahl der von dem Sicherheitsvorfall betroffenen Nutzer (Z 3) mit der Dauer des Sicherheitsvorfalls (Z 4); |
| 8. | ?Zählpunktstunden? das Produkt der Anzahl der Zählpunkte mit der Dauer des Sicherheitsvorfalls (Z 4). |
2. Abschnitt
Wesentliche Dienste und Sicherheitsvorfälle
Sektor Energie
§ 4. (1) Wegen ihrer Bedeutung für die Aufrechterhaltung der öffentlichen Versorgung mit Energie im Sinne des § 16 Abs. 2 NISG sind im Sektor Energie wesentliche Dienste:
| 1. | im Teilsektor Elektrizität |
| a) | im Bereich der Stromerzeugung |
| aa) | der Betrieb einer Erzeugungsanlage, die mehr als 340 MW Engpassleistung hat; |
| bb) | der Betrieb von Systemen zur Steuerung von Erzeugungsanlagen, die zusammen mehr als 340 MW Engpassleistung haben; |
| b) | im Bereich der Stromverteilung der Betrieb eines Verteilernetzes, über das Elektrizität an mehr als 88 000 Zählpunkte transportiert wird, oder das in einer Landeshauptstadt gelegen ist; |
| c) | im Bereich der Stromübertragung der Betrieb eines Übertragungsnetzes durch Übertragungsnetzbetreiber; |
| 2. | im Teilsektor Erdöl |
| a) | im Bereich der Erdölförderung der Betrieb von Anlagen zur Förderung von Erdöl, wenn die geförderte Menge mehr als 20% Anteil am jährlichen inländischen Mineralölverbrauch ausmacht; |
| b) | im Bereich der Erdöllagerung der Betrieb einer Anlage, in der Pflichtnotstandsreserven in Form von Erdöl, Erdölprodukten, Biokraftstoffen oder Rohstoffen zur direkten Erzeugung von Biokraftstoffen gelagert werden, und die einen Lagerbestand von mehr als 10 000 Tonnen hat; |
| c) | im Bereich des Erdöltransports der Betrieb einer Erdölfernleitung, wenn die transportierte Menge vier Millionen Tonnen pro Jahr übersteigt; |
| d) | im Bereich der Erdölraffination der Betrieb von Anlagen zur Raffination und Aufbereitung von Erdöl, die mehr als acht Millionen Tonnen pro Jahr verarbeiten; |
| 3. | im Teilsektor Erdgas |
| a) | im Bereich der Gasförderung der Betrieb von Gasförderungsanlagen, wenn die geförderte Menge mehr als 20% Anteil am jährlichen Inlandgasverbrauch ausmacht; |
| b) | im Bereich der Gasspeicherung der Betrieb einer Speicheranlage, die mehr als 10 000 GWh Arbeitsgasvolumen pro Jahr hat; |
| c) | im Bereich des Gastransports der Betrieb einer Fernleitungsanlage; |
| d) | im Bereich der Gasverteilung der Betrieb eines Verteilernetzes, über das Erdgas an mehr als 88 000 Zählpunkte transportiert wird; |
| e) | im Bereich des Marktgebietsmanagements die Koordination der Netzsteuerung und des Einsatzes von Netzpufferung (Linepack) sowie der Abruf der physikalischen Ausgleichsenergie; |
| f) | im Bereich des Verteilergebietsmanagements |
| aa) | der Abruf der physikalischen Ausgleichsenergie im Verteilergebiet; |
| bb) | die Bereitstellung der Systemdienstleistung (Leistungs- und Druckregelung bzw. Druckhaltung) durch Vornahme des technisch-physikalischen Ausgleichs; |
| cc) | die Steuerung der Verteilerleitungsanlagen der Netzebene 1 durch Vorgaben an die Verteilernetzbetreiber. |
(2) Im Sektor Energie liegt ein Sicherheitsvorfall im Sinne des § 3 Z 6 NISG vor, wenn
| 1. | im Teilsektor Elektrizität |
| a) | im Bereich der Stromerzeugung |
| aa) | bei dem in Abs. 1 Z 1 lit. a sublit. aa genannten Dienst die Erzeugungsleistung einer Erzeugungsanlage in Summe um mehr als 340 MW verringert ist; |
| bb) | bei dem in Abs. 1 Z 1 lit. a sublit. bb genannten Dienst die von den Systemen steuerbare Erzeugungsleistung aller Erzeugungsanlagen in Summe um mindestens 340 MW verringert ist; |
| b) | im Bereich der Stromverteilung der in Abs. 1 Z 1 lit. b genannte Dienst für mehr als 1 056 000 Zählpunktstunden ausfällt oder nur eingeschränkt verfügbar ist; |
| c) | im Bereich der Stromübertragung der in Abs. 1 Z 1 lit. c genannte Dienst für mehr als drei Stunden ausfällt oder nur eingeschränkt verfügbar ist; |
| 2. | im Teilsektor Erdöl |
| a) | der in Abs. 1 Z 2 lit. a genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist; |
| b) | der in Abs. 1 Z 2 lit. b genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist; |
| c) | bei dem in Abs. 1 Z 2 lit. c genannten Dienst die geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet mehr als einen Mitgliedstaat der Europäischen Union betrifft; |
| d) | der in Abs. 1 Z 2 lit. d genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist; |
| 3. | im Teilsektor Erdgas |
| a) | im Bereich der Gasförderung der in Abs. 1 Z 3 lit. a genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar |
Um weiterzulesen
FORDERN SIE IHR PROBEABO AN