Legalize
Legalize / Österreich / Sonstige

Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG)

Typ Sonstige
Veröffentlichung 2018-12-29
Status Aufgehoben · 2026-09-30
Ministerium BKA (Bundeskanzleramt)
Quelle RIS
Artikel 31
Änderungshistorie JSON API

Abkürzung

NISG

Präambel/Promulgationsklausel

Der Nationalrat hat beschlossen:

Abkürzung

NISG

1.

Abschnitt

Allgemeine Bestimmungen

Verfassungsbestimmung

§ 1. (Verfassungsbestimmung) Die Erlassung, Aufhebung, Änderung sowie Vollziehung von Vorschriften, wie sie in diesem Bundesgesetz enthalten sind, sind auch in den Belangen Bundessache, hinsichtlich derer das Bundes-Verfassungsgesetz (B-VG), BGBl. Nr. 1/1930, etwas anderes bestimmt. Dies gilt nicht im Bereich der Hoheitsverwaltung von Ländern und Gemeinden. Die in diesem Bundesgesetz geregelten Angelegenheiten können in unmittelbarer Bundesverwaltung besorgt werden.

Abkürzung

NISG

Gegenstand und Ziel des Gesetzes

§ 2. Mit diesem Bundesgesetz werden Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen von Betreibern wesentlicher Dienste in den Sektoren

1.

Energie,

2.

Verkehr,

3.

Bankwesen,

4.

Finanzmarktinfrastrukturen,

5.

Gesundheitswesen,

6.

Trinkwasserversorgung und

7.

Digitale Infrastruktur

sowie von Anbietern digitaler Dienste sowie Einrichtungen der öffentlichen Verwaltung erreicht werden soll.

Abkürzung

NISG

Begriffsbestimmungen

§ 3. Im Sinne dieses Bundesgesetzes bedeutet

1.

„Netz- und Informationssystem“

a)

ein elektronisches Kommunikationsnetz im Sinne des § 3 Z 11 Telekommunikationsgesetz 2003 (TKG 2003), BGBl. I Nr. 70/2003,

b)

eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder

c)

digitale Daten, die von den – in lit. a und b genannten – Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;

2.

„Netz- und Informationssystemsicherheit (NIS)“ die Fähigkeit, Sicherheitsvorfällen vorzubeugen, diese zu erkennen, abzuwehren und zu beseitigen;

3.

„NIS-RL“ die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. Nr. L 194 vom 19.07.2016 S. 1;

4.

„Innerer Kreis der Operativen Koordinierungsstruktur (IKDOK)“ eine interministerielle Struktur zur Koordination auf der operativen Ebene im Bereich der Sicherheit von Netz- und Informationssystemen bestehend aus Vertretern des Bundeskanzlers, des Bundesministers für Inneres, des Bundesministers für Landesverteidigung und des Bundesministers für Europa, Integration und Äußeres, die vor Beginn der Teilnahme einer Sicherheitsüberprüfung für den Zugang zu geheimer Information zu unterziehen sind;

5.

„Operative Koordinierungsstruktur (OpKoord)“ eine Struktur zur Koordination auf der operativen Ebene im Bereich der Sicherheit von Netz- und Informationssystemen bestehend aus dem IKDOK und den Computer-Notfallteams (§ 14);

6.

„Sicherheitsvorfall“ eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen, die zu einer Einschränkung der Verfügbarkeit oder zu einem Ausfall des betriebenen Dienstes mit erheblichen Auswirkungen geführt hat; bei der Beurteilung der Erheblichkeit sind insbesondere folgende Parameter zu berücksichtigen. Die voraussichtliche

a)

Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,

b)

Dauer des Sicherheitsvorfalls,

c)

geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet und

d)

Auswirkung auf wirtschaftliche und gesellschaftliche Tätigkeiten;

7.

„Vorfall“ alle Ereignisse, die tatsächlich nachteilige Auswirkungen auf die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen haben und kein Sicherheitsvorfall sind;

8.

„Risiko“ alle Umstände oder Ereignisse, die potenziell nachteilige Auswirkungen auf die Sicherheit von Netz- und Informationssystemen haben;

9.

„wesentlicher Dienst“ einen Dienst, der in einem der in § 2 genannten Sektoren erbracht wird und der eine wesentliche Bedeutung insbesondere für die Aufrechterhaltung des öffentlichen Gesundheitsdienstes, der öffentlichen Versorgung mit Wasser, Energie sowie lebenswichtigen Gütern, des öffentlichen Verkehrs oder die Funktionsfähigkeit öffentlicher Informations- und Kommunikationstechnologie hat und dessen Verfügbarkeit abhängig von Netz- und Informationssystemen ist;

10.

„Betreiber wesentlicher Dienste“ eine Einrichtung mit Niederlassung in Österreich, die einen wesentlichen Dienst erbringt;

11.

„qualifizierte Stelle“ eine Einrichtung mit Niederlassung in Österreich, deren Eignung zur Überprüfung der Sicherheitsvorkehrungen von Betreibern wesentlicher Dienste vom Bundesminister für Inneres gemäß § 18 Abs. 1 festgestellt wurde;

12.

„digitaler Dienst“ einen Dienst im Sinne des § 3 Z 1 E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001, bei dem es sich um einen Online-Marktplatz, eine Online-Suchmaschine oder einen Cloud-Computing-Dienst handelt;

13.

„Anbieter digitaler Dienste“ eine juristische Person oder eingetragene Personengesellschaft, die einen digitalen Dienst in Österreich anbietet und kein Kleinstunternehmen oder kleines Unternehmen im Sinne von Art. 1 und Art. 2 Abs. 2 und 3 des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, ist

a)

mit Hauptniederlassung in Österreich oder

b)

ohne Hauptniederlassung in der Europäischen Union, die einen Vertreter namhaft gemacht hat;

14.

„Vertreter“ eine in Österreich niedergelassene natürliche oder juristische Person oder eingetragene Personengesellschaft, die ausdrücklich benannt wurde, um im Auftrag eines nicht in der Europäischen Union niedergelassenen Anbieters digitaler Dienste zu handeln, und an die sich der Bundeskanzler, der Bundesminister für Inneres oder die Computer-Notfallteams – statt an den Anbieter digitaler Dienste – hinsichtlich der Pflichten dieses Anbieters digitaler Dienste gemäß diesem Bundesgesetz wenden können;

15.

„Online-Marktplatz“ einen digitalen Dienst, der es Verbrauchern oder Unternehmern ermöglicht, Online-Kaufverträge oder Online-Dienstleistungsverträge mit Unternehmern entweder auf der Website des Online-Marktplatzes oder auf der Website eines Unternehmers, die von dem Online-Marktplatz bereitgestellte Rechendienste verwendet, abzuschließen;

16.

„Online-Suchmaschine“ einen digitalen Dienst, der es Nutzern ermöglicht, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, und der daraufhin Links anzeigt, über die Informationen im Zusammenhang mit dem angeforderten Inhalt gefunden werden können;

17.

„Cloud-Computing-Dienst“ einen digitalen Dienst, der den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht;

18.

„Einrichtungen des Bundes“ die Bundesministerien, die Gerichtshöfe des öffentlichen Rechts, den Rechnungshof, die Volksanwaltschaft, die Präsidentschaftskanzlei und die Parlamentsdirektion; weitere Dienststellen des Bundes können vom zuständigen Bundesminister durch Verordnung bestimmt werden;

19.

„Einrichtungen der öffentlichen Verwaltung“ die Einrichtungen des Bundes und jener Länder, die von der Möglichkeit gemäß § 22 Abs. 5 Gebrauch gemacht haben;

20.

„Kooperationsgruppe“ ein gemäß Art. 11 NIS-RL eingerichtetes Gremium, das sich aus Vertretern der Mitgliedstaaten der Europäischen Union, der Europäischen Kommission und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) zusammensetzt und der Unterstützung und Erleichterung der strategischen Zusammenarbeit sowie des Informationsaustausches zwischen den Mitgliedstaaten der Europäischen Union zum Aufbau von Vertrauen und zur Erreichung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union dient;

21.

„CSIRTs-Netzwerk“ ein gemäß Art. 12 NIS-RL eingerichtetes Gremium, das sich aus Vertretern der Computer-Notfallteams der Mitgliedstaaten der Europäischen Union und des europäischen Computer-Notfallteams zusammensetzt und zum Aufbau von Vertrauen zwischen den Mitgliedstaaten der Europäischen Union beitragen und eine rasche und wirksame operative Zusammenarbeit fördern soll;

22.

„Cyberkrise“ ein oder mehrere Sicherheitsvorfälle, die eine gegenwärtige und unmittelbare Gefahr für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen darstellen und schwerwiegende Auswirkungen auf die Gesundheit, die Sicherheit oder das wirtschaftliche und soziale Wohl großer Teile der Bevölkerung oder das effektive Funktionieren von staatlichen Einrichtungen nach sich ziehen können;

23.

„Cyberkrisenmanagement“ ein Koordinierungsverfahren zur Bewältigung von Cyberkrisen.

Abkürzung

NISG

2.

Abschnitt

Zuständigkeiten und Koordinierungsstrukturen

Aufgaben des Bundeskanzlers

§ 4. (1) Dem Bundeskanzler kommen folgende strategische Aufgaben zu:

1.

Koordination der Erstellung einer Strategie (§ 8) und eines jährlichen Berichts zur Sicherheit von Netz- und Informationssystemen;

2.

Vertretung von Österreich in der Kooperationsgruppe sowie in anderen EU-weiten und internationalen Gremien für die Sicherheit von Netz- und Informationssystemen, denen strategische Aufgaben zugewiesen sind; die Zuständigkeiten anderer Ressorts bleiben davon unberührt;

3.

Koordination der öffentlich-privaten Zusammenarbeit im Bereich der Sicherheit von Netz- und Informationssystemen;

4.

Betrieb des GovCERT gemäß § 14 Abs. 4;

5.

Unterrichtung der Öffentlichkeit über einen Sicherheitsvorfall, der mehrere der in § 2 genannten Sektoren betrifft;

6.

Ermittlung von Betreibern wesentlicher Dienste gemäß § 16 Abs. 1 sowie Erstellung und laufende Aktualisierung einer Liste von wesentlichen Diensten;

7.

Konsultation mit den zuständigen Behörden anderer Mitgliedstaaten, wenn Anbieter digitaler Dienste ihre Hauptniederlassung in Österreich haben, sich ihre Netz- und Informationssysteme aber in einem anderen Mitgliedstaat befinden;

8.

Feststellung der Eignung und Ermächtigung von Computer-Notfallteams gemäß § 15 Abs. 3;

9.

Veröffentlichung und Aktualisierung einer Liste der Computer-Notfallteams gemäß § 14 Abs. 1 und 4 in geeigneter Form.

(2) Der Bundeskanzler kann im Einvernehmen mit dem Bundesminister für Inneres mit Verordnung Folgendes festlegen:

1.

Kriterien für die Parameter des § 3 Z 6 lit. a bis d;

2.

nähere Regelungen zu jedem in § 2 genannten Sektor gemäß § 16 Abs. 2;

3.

Sicherheitsvorkehrungen nach § 17 Abs. 1.

4.

Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste gemäß § 20 Abs. 1.

(3) Der Bundeskanzler legt im Einvernehmen mit dem Bundesminister für Inneres und dem Bundesminister für Landesverteidigung mit Verordnung die Aufteilung der Pflichten als gemeinsam datenschutzrechtlich Verantwortliche gemäß § 11 Abs. 3 fest.

Abkürzung

NISG

Aufgaben des Bundesministers für Inneres

§ 5. (1) Dem Bundesminister für Inneres kommen folgende operative zentrale Aufgaben zu:

1.

Betrieb einer zentralen Anlaufstelle (SPOC) für die Sicherheit von Netz- und Informationssystemen (§ 6);

2.

organisatorische Leitung der Koordinierungsstrukturen IKDOK und OpKoord (§ 7);

3.

Entgegennahme und Analyse von Meldungen über Risiken, Vorfälle oder Sicherheitsvorfälle, regelmäßige Erstellung eines diesbezüglichen Lagebildes und Weiterleitung der Meldungen sowie des Lagebildes und zusätzlicher relevanter Informationen an inländische Behörden oder Stellen nach Maßgabe des 3. Abschnitts;

4.

Erstellung und Weitergabe von zur Gewährleistung der Sicherheit von Netz- und Informationssystemen relevanten Informationen zur Vorbeugung von Sicherheitsvorfällen;

5.

Überprüfung der Sicherheitsvorkehrungen (§§ 17 und 21) und die Einhaltung der Meldepflichten (§§ 19 und 21);

6.

Feststellung und Überprüfung der qualifizierten Stellen (§ 18);

7.

Unterrichtung der Öffentlichkeit über einzelne Sicherheitsvorfälle (§ 10 Abs. 1);

8.

Leitung und Koordination des Cyberkrisenmanagements auf operativer Ebene (6. Abschnitt).

(2) Der Bundesminister für Inneres legt im Einvernehmen mit dem Bundeskanzler mit Verordnung die Erfordernisse, die eine qualifizierte Stelle erfüllen muss, oder besondere Kriterien fest, nach denen eine Einrichtung jedenfalls als qualifizierte Stelle gilt sowie das Verfahren zur Feststellung qualifizierter Stellen.

Abkürzung

NISG

Zentrale Anlaufstelle

§ 6. (1) Für die Sicherheit von Netz- und Informationssystemen wird eine zuständige zentrale Anlaufstelle (SPOC) beim Bundesminister für Inneres eingerichtet, die als operative Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit mit den zuständigen Stellen in den anderen Mitgliedstaaten der Europäischen Union sowie der Kooperationsgruppe und dem CSIRTs-Netzwerk dient.

(2) Die zentrale Anlaufstelle

Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.