Bundesgesetz, mit dem das Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz ? NISG) erlassen und das Telekommunikationsgesetz 2003 geändert wird

111. Bundesgesetz, mit dem das Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz ? NISG) erlassen und das Telekommunikationsgesetz 2003 geändert wird

Der Nationalrat hat beschlossen:

Inhaltsverzeichnis

Artikel 1 Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz ? NISG)
Artikel 2 Änderung des Telekommunikationsgesetzes 2003

Artikel 1

Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz ? NISG) Inhaltsverzeichnis

1. AbschnittAllgemeine Bestimmungen
§ 1. Verfassungsbestimmung
§ 2. Gegenstand und Ziele des Gesetzes
§ 3. Begriffsbestimmungen
2. AbschnittAufgaben und Strukturen
§ 4. Aufgaben des Bundeskanzlers
§ 5. Aufgaben des Bundesministers für Inneres
§ 6. Zentrale Anlaufstelle
§ 7. Koordinierungsstrukturen
§ 8. Strategie für die Sicherheit von Netz- und Informationssystemen
3. AbschnittBefugnisse und Datenverarbeitung
§ 9. Datenverarbeitung
§ 10. Datenübermittlung
§ 11. NIS-Meldeanalysesystem
§ 12. IKDOK-Plattform
§ 13. Betrieb von IKT-Lösungen zur Vorbeugung von Sicherheitsvorfällen
4. AbschnittComputer-Notfallteams
§ 14. Aufgaben und Zweck der Computer-Notfallteams
§ 15. Anforderungen und Eignung eines Computer-Notfallteams
5. AbschnittVerpflichtungen für Betreiber wesentlicher Dienste, Anbieter digitaler Dienste sowie Einrichtungen der öffentlichen Verwaltung
§ 16. Ermittlung der Betreiber wesentlicher Dienste
§ 17. Sicherheitsvorkehrungen für Betreiber wesentlicher Dienste
§ 18. Qualifizierte Stellen
§ 19. Meldepflicht für Betreiber wesentlicher Dienste
§ 20. Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste
§ 21. Sicherheitsvorkehrungen und Meldepflicht für Anbieter digitaler Dienste
§ 22. Sicherheitsvorkehrungen und Meldepflicht für Einrichtungen der öffentlichen Verwaltung
§ 23. Freiwillige Meldungen
6. AbschnittStrukturen und Aufgaben im Falle der Cyberkrise
§ 24. Cyberkrise
§ 25. Koordinationsausschuss
7. AbschnittStrafbestimmungen
§ 26. Verwaltungsstrafbestimmungen
8. AbschnittSchlussbestimmungen
§ 27. Personenbezogene Bezeichnungen
§ 28. Bezugnahme auf Richtlinien
§ 29. Verweisungen
§ 30. Vollziehung
§ 31. Inkrafttreten

1. Abschnitt

Allgemeine Bestimmungen

Verfassungsbestimmung

§ 1.(Verfassungsbestimmung) Die Erlassung, Aufhebung, Änderung sowie Vollziehung von Vorschriften, wie sie in diesem Bundesgesetz enthalten sind, sind auch in den Belangen Bundessache, hinsichtlich derer das Bundes-Verfassungsgesetz (B-VG), BGBl. Nr. 1/1930, etwas anderes bestimmt. Dies gilt nicht im Bereich der Hoheitsverwaltung von Ländern und Gemeinden. Die in diesem Bundesgesetz geregelten Angelegenheiten können in unmittelbarer Bundesverwaltung besorgt werden.

Gegenstand und Ziel des Gesetzes

§ 2. Mit diesem Bundesgesetz werden Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen von Betreibern wesentlicher Dienste in den Sektoren

1. Energie,
2. Verkehr,
3. Bankwesen,
4. Finanzmarktinfrastrukturen,
5. Gesundheitswesen,
6. Trinkwasserversorgung und
7. Digitale Infrastruktur
sowie von Anbietern digitaler Dienste sowie Einrichtungen der öffentlichen Verwaltung erreicht werden soll.

Begriffsbestimmungen

§ 3. Im Sinne dieses Bundesgesetzes bedeutet

1. ?Netz- und Informationssystem?
a) ein elektronisches Kommunikationsnetz im Sinne des § 3 Z 11 Telekommunikationsgesetz 2003 (TKG 2003), BGBl. I Nr. 70/2003,
b) eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder
c) digitale Daten, die von den ? in lit. a und b genannten ? Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;
2. ?Netz- und Informationssystemsicherheit (NIS)? die Fähigkeit, Sicherheitsvorfällen vorzubeugen, diese zu erkennen, abzuwehren und zu beseitigen;
3. ?NIS-RL? die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. Nr. L 194 vom 19.07.2016 S. 1;
4. ?Innerer Kreis der Operativen Koordinierungsstruktur (IKDOK)? eine interministerielle Struktur zur Koordination auf der operativen Ebene im Bereich der Sicherheit von Netz- und Informationssystemen bestehend aus Vertretern des Bundeskanzlers, des Bundesministers für Inneres, des Bundesministers für Landesverteidigung und des Bundesministers für Europa, Integration und Äußeres, die vor Beginn der Teilnahme einer Sicherheitsüberprüfung für den Zugang zu geheimer Information zu unterziehen sind;
5. ?Operative Koordinierungsstruktur (OpKoord)? eine Struktur zur Koordination auf der operativen Ebene im Bereich der Sicherheit von Netz- und Informationssystemen bestehend aus dem IKDOK und den Computer-Notfallteams (§ 14);
6. ?Sicherheitsvorfall? eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen, die zu einer Einschränkung der Verfügbarkeit oder zu einem Ausfall des betriebenen Dienstes mit erheblichen Auswirkungen geführt hat; bei der Beurteilung der Erheblichkeit sind insbesondere folgende Parameter zu berücksichtigen. Die voraussichtliche
a) Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
b) Dauer des Sicherheitsvorfalls,
c) geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet und
d) Auswirkung auf wirtschaftliche und gesellschaftliche Tätigkeiten;
7. ?Vorfall? alle Ereignisse, die tatsächlich nachteilige Auswirkungen auf die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen haben und kein Sicherheitsvorfall sind;
8. ?Risiko? alle Umstände oder Ereignisse, die potenziell nachteilige Auswirkungen auf die Sicherheit von Netz- und Informationssystemen haben;
9. ?wesentlicher Dienst? einen Dienst, der in einem der in § 2 genannten Sektoren erbracht wird und der eine wesentliche Bedeutung insbesondere für die Aufrechterhaltung des öffentlichen Gesundheitsdienstes, der öffentlichen Versorgung mit Wasser, Energie sowie lebenswichtigen Gütern, des öffentlichen Verkehrs oder die Funktionsfähigkeit öffentlicher Informations- und Kommunikationstechnologie hat und dessen Verfügbarkeit abhängig von Netz- und Informationssystemen ist;
10. ?Betreiber wesentlicher Dienste? eine Einrichtung mit Niederlassung in Österreich, die einen wesentlichen Dienst erbringt;
11. ?qualifizierte Stelle? eine Einrichtung mit Niederlassung in Österreich, deren Eignung zur Überprüfung der Sicherheitsvorkehrungen von Betreibern wesentlicher Dienste vom Bundesminister für Inneres gemäß § 18 Abs. 1 festgestellt wurde;
12. ?digitaler Dienst? einen Dienst im Sinne des § 3 Z 1 E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001, bei dem es sich um einen Online-Marktplatz, eine Online-Suchmaschine oder einen Cloud-Computing-Dienst handelt;
13. ?Anbieter digitaler Dienste? eine juristische Person oder eingetragene Personengesellschaft, die einen digitalen Dienst in Österreich anbietet und kein Kleinstunternehmen oder kleines Unternehmen im Sinne von Art. 1 und Art. 2 Abs. 2 und 3 des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, ist
a) mit Hauptniederlassung in Österreich oder
b) ohne Hauptniederlassung in der Europäischen Union, die einen Vertreter namhaft gemacht hat;
14. ?Vertreter? eine in Österreich niedergelassene natürliche oder juristische Person oder eingetragene Personengesellschaft, die ausdrücklich benannt wurde, um im Auftrag eines nicht in der Europäischen Union niedergelassenen Anbieters digitaler Dienste zu handeln, und an die sich der Bundeskanzler, der Bundesminister für Inneres oder die Computer-Notfallteams ? statt an den Anbieter digitaler Dienste ? hinsichtlich der Pflichten dieses Anbieters digitaler Dienste gemäß diesem Bundesgesetz wenden können;
15. ?Online-Marktplatz? einen digitalen Dienst, der es Verbrauchern oder Unternehmern ermöglicht, Online-Kaufverträge oder Online-Dienstleistungsverträge mit Unternehmern entweder auf der Website des Online-Marktplatzes oder auf der Website eines Unternehmers, die von dem Online-Marktplatz bereitgestellte Rechendienste verwendet, abzuschließen;
16. ?Online-Suchmaschine? einen digitalen Dienst, der es Nutzern ermöglicht, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, und der daraufhin Links anzeigt, über die Informationen im Zusammenhang mit dem angeforderten Inhalt gefunden werden können;
17. ?Cloud-Computing-Dienst? einen digitalen Dienst, der den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht;
18. ?Einrichtungen des Bundes? die Bundesministerien, die Gerichtshöfe des öffentlichen Rechts, den Rechnungshof, die Volksanwaltschaft, die Präsidentschaftskanzlei und die Parlamentsdirektion; weitere Dienststellen des Bundes können vom zuständigen Bundesminister durch Verordnung bestimmt werden;
19. ?Einrichtungen der öffentlichen Verwaltung? die Einrichtungen des Bundes und jener Länder, die von der Möglichkeit gemäß § 22 Abs. 5 Gebrauch gemacht haben;
20. ?Kooperationsgruppe? ein gemäß Art. 11 NIS-RL eingerichtetes Gremium, das sich
...

Um weiterzulesen

FORDERN SIE IHR PROBEABO AN

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT