Legalize / Liechtenstein / Gesetz

Cyber-Sicherheitsgesetz (CSG) vom 5. Dezember 2024

Typ Gesetz

Veröffentlichung 2025-01-29

Status In Kraft

Quelle Lilex

Änderungshistorie JSON API PDF

Dem nachstehenden vom Landtag gefassten Beschluss erteile Ich Meine Zustimmung:[^1]

I. Allgemeine Bestimmungen

Art. 1

Gegenstand und Geltungsbereich

1) Dieses Gesetz legt die Massnahmen fest, mit denen ein hohes Cybersicherheitsniveau der öffentlichen und privaten Einrichtungen nach den Anhängen 1 und 2 erreicht werden soll, die:

a) nach Art. 1064 Abs. 2 oder 3 des Personen- und Gesellschaftsrechts als mittelgrosse oder grosse Gesellschaften gelten; und

b) ihre Dienste oder Tätigkeiten in Liechtenstein erbringen bzw. ausüben.

2) Es gilt zudem, unabhängig der Grösse der Einrichtungen, für:

a) Einrichtungen nach den Anhängen 1 und 2, wenn:

1. die Dienste erbracht werden von:

aa) Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;

bb) Vertrauensdiensteanbietern;

cc) Namenregistern der Domäne der ersten Ebene (TLD-Namenregistern) und DNS-Diensteanbietern;

1. es sich bei der Einrichtung um den einzigen Anbieter handelt, der einen Dienst erbringt, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist;

1. sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;

1. eine Störung des von der Einrichtung erbrachten Dienstes zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte;

1. die Einrichtung aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor, die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren hat, kritisch ist; oder

1. die Einrichtung eine Einrichtung der öffentlichen Verwaltung des Landes ist;

b) Einrichtungen:

1. die nach der Richtlinie (EU) 2022/2557[^2] als kritische Einrichtungen eingestuft wurden;

1. die Domänennamen-Registrierungsdienste erbringen.

3) Die in diesem Gesetz vorgesehenen Risikomanagementmassnahmen und Berichtspflichten nach Art. 4 und 6 gelten nicht für Einrichtungen der öffentlichen Verwaltung des Landes, die ihre Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung ausüben, einschliesslich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten.

Art. 2

Umsetzung und Durchführung von EWR-Rechtsvorschriften

1) Dieses Gesetz dient der Umsetzung bzw. Durchführung folgender EWR-Rechtsvorschriften:

a) Richtlinie (EU) 2022/2555 über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union[^3];[^4]

b) Verordnung (EU) 2021/887 zur Einrichtung des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich der Cybersicherheit und des Netzwerks nationaler Koordinierungszentren[^5];

c) Verordnung (EU) 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik[^6].

2) Die gültige Fassung der EWR-Rechtsvorschriften, auf die in diesem Gesetz Bezug genommen wird, ergibt sich aus der Kundmachung der Beschlüsse des Gemeinsamen EWR-Ausschusses im Liechtensteinischen Landesgesetzblatt nach Art. 3 Bst. k des Kundmachungsgesetzes.

Art. 3

Begriffsbestimmungen und Bezeichnungen

1) Im Sinne dieses Gesetzes gelten als:

1. "Netz- und Informationssystem":

a) ein elektronisches Kommunikationsnetz nach Art. 3 Abs. 1 Ziff. 5 des Kommunikationsgesetzes;

b) ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen; oder

c) digitale Daten, die von den in Bst. a und b genannten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;

1. "Sicherheit von Netz- und Informationssystemen": die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können;

1. "Cybersicherheit": alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen;

1. "NIS-Strategie" (Nationale Cybersicherheitsstrategie): ein kohärenter Rahmen mit strategischen Zielen und Prioritäten im Bereich der Cybersicherheit und der zu ihrer Verwirklichung erforderlichen Governance;

1. "Beinahe-Vorfall": jedes Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden oder zugänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich verhindert wurde oder das nicht eingetreten ist;

1. "Sicherheitsvorfall": jedes Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über Netz- und Informationssysteme angeboten werden oder zugänglich sind, beeinträchtigen;

1. "erheblicher Sicherheitsvorfall": ein Sicherheitsvorfall, wenn er:

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann;

b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann;

1. "Cybersicherheitsvorfall grossen Ausmasses": ein Sicherheitsvorfall, der eine Störung verursacht, deren Ausmass die Reaktionsfähigkeit eines EWR-Mitgliedstaats übersteigt, oder der beträchtliche Auswirkungen auf mindestens zwei EWR-Mitgliedstaaten hat;

1. "Bewältigung von Sicherheitsvorfällen": alle Massnahmen und Verfahren zur Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon;

1. "Risiko": das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmasses eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;

1. "Cyberbedrohung": ein möglicher Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte;

1. "erhebliche Cyberbedrohung": eine Cyberbedrohung, die das Potenzial besitzt, die Netz- und Informationssysteme einer Einrichtung oder der Nutzer solcher Systeme aufgrund ihrer technischen Merkmale erheblich zu beeinträchtigen, indem sie erheblichen materiellen oder immateriellen Schaden verursacht;

1. "IKT-Produkt": ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems;

1. "IKT-Dienst": ein Dienst, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht;

1. "IKT-Prozess": jegliche Tätigkeiten, mit denen ein IKT-Produkt oder -Dienst konzipiert, entwickelt, bereitgestellt oder gepflegt werden soll;

1. "Schwachstelle": eine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann;

1. "Norm": eine Norm nach Art. 2 Ziff. 1 der Verordnung (EU) Nr. 1025/2012[^7];

1. "technische Spezifikation": eine technische Spezifikation nach Art. 2 Ziff. 4 der Verordnung (EU) Nr. 1025/2012;

1. "Internet-Knoten": eine Netzeinrichtung, die die Zusammenschaltung von mehr als zwei unabhängigen Netzen (autonomen Systemen) ermöglicht, in erster Linie zur Erleichterung des Austauschs von Internet-Datenverkehr, der nur der Zusammenschaltung autonomer Systeme dient und weder voraussetzt, dass der Internet-Datenverkehr zwischen zwei beliebigen teilnehmenden autonomen Systemen über ein drittes autonomes System läuft; noch den betreffenden Datenverkehr verändert oder anderweitig beeinträchtigt;

1. "DNS-Diensteanbieter": eine Einrichtung, die:

a) für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domänennamen anbietet; oder

b) autoritative Dienste zur Auflösung von Domänennamen zur Nutzung durch Dritte, mit Ausnahme von Root-Namenservern, anbietet;

1. "Namenregister der Domäne der ersten Ebene" oder "TLD-Namenregister": eine Einrichtung, der eine bestimmte Domäne der ersten Ebene (Top Level Domain, TLD) übertragen wurde und die für die Verwaltung der TLD, einschliesslich der Registrierung von Domänennamen unterhalb der TLD, sowie für den technischen Betrieb der TLD, einschliesslich des Betriebs ihrer Namenserver, der Pflege ihrer Datenbanken und der Verteilung von TLD-Zonendateien über die Namenserver, zuständig ist, unabhängig davon, ob der Betrieb durch die Einrichtung selbst erfolgt oder ausgelagert wird, jedoch mit Ausnahme von Situationen, in denen TLD-Namen von einem Register nur für seine eigenen Zwecke verwendet werden;

1. "Einrichtung, die Domänennamen-Registrierungsdienste erbringt": ein Registrar oder eine Stelle, die im Namen von Registraren tätig ist, wie etwa ein Anbieter oder Wiederverkäufer von Datenschutz- oder Proxy-Registrierungsdiensten;

1. "digitaler Dienst": ein Dienst nach Art. 3 Abs. 1 Bst. e des EWR-Notifikationsgesetzes;

1. "Vertrauensdienst": ein Vertrauensdienst nach Art. 3 Ziff. 16 der Verordnung (EU) Nr. 910/2014[^8];

1. "Vertrauensdiensteanbieter": ein Vertrauensdiensteanbieter nach Art. 3 Ziff. 19 der Verordnung (EU) Nr. 910/2014;

1. "qualifizierter Vertrauensdienst": ein qualifizierter Vertrauensdienst nach Art. 3 Ziff. 17 der Verordnung (EU) Nr. 910/2014;

1. "qualifizierter Vertrauensdiensteanbieter": ein qualifizierter Vertrauensdiensteanbieter nach Art. 3 Ziff. 20 der Verordnung (EU) Nr. 910/2014;

1. "Online-Marktplatz": ein Dienst, der es Verbrauchern durch die Verwendung von Software, einschliesslich einer Internetseite, eines Teils einer Internetseite oder einer Anwendung, die vom oder im Namen des Gewerbetreibenden betrieben wird, ermöglicht, Fernabsatzverträge mit anderen Gewerbetreibenden oder Verbrauchern, abzuschliessen;

1. "Online-Suchmaschine": ein digitaler Dienst, der es Nutzern ermöglicht, in Form eines Stichworts, einer Spracheingabe, einer Wortgruppe oder einer anderen Eingabe Anfragen einzugeben, um prinzipiell auf allen Internetseiten oder auf allen Internetseiten in einer bestimmten Sprache eine Suche zu einem beliebigen Thema vorzunehmen und Ergebnisse in einem beliebigen Format angezeigt zu bekommen, über die sie Informationen im Zusammenhang mit dem angeforderten Inhalt finden können;

1. "Cloud-Computing-Dienst": ein digitaler Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;

1. "Rechenzentrumsdienst": ein Dienst, mit dem spezielle Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von IT- und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Datentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungskontrolle bereitgestellt werden;

1. "Inhaltszustellnetz": ein Netz dezentraler Server zur Gewährleistung einer hohen Verfügbarkeit, Zugänglichkeit oder schnellen Zustellung digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern;

1. "Plattform für Dienste sozialer Netzwerke": eine Plattform, auf der Endnutzer mit unterschiedlichen Geräten insbesondere durch Chats, Posts, Videos und Empfehlungen miteinander in Kontakt treten und kommunizieren sowie Inhalte teilen und entdecken können;

1. "Vertreter": eine im EWR niedergelassene natürliche oder juristische Person, die ausdrücklich benannt wurde, um im Auftrag eines DNS-Diensteanbieters, einer Einrichtung, die Domänennamen-Registrierungsdienste erbringt, eines TLD-Namenregisters, eines Anbieters von Cloud-Computing-Diensten, eines Anbieters von Rechenzentrumsdiensten, eines Betreibers von Inhaltszustellnetzen, eines Anbieters verwalteter Dienste, eines Anbieters verwalteter Sicherheitsdienste oder eines Anbieters von einem Online-Marktplatz, von einer Online-Suchmaschine oder von einer Plattform für Dienste sozialer Netzwerke, der bzw. die nicht im EWR niedergelassen ist, zu handeln, und an die sich eine nationale zuständige Behörde oder ein CSIRT - statt an die Einrichtung - hinsichtlich der Pflichten dieser Einrichtung gemäss dieses Gesetzes wenden kann;

1. "öffentliches elektronisches Kommunikationsnetz": ein öffentliches elektronisches Kommunikationsnetz nach Art. 3 Abs. 1 Ziff. 16 des Kommunikationsgesetzes;

1. "elektronischer Kommunikationsdienst": ein elektronischer Kommunikationsdienst nach Art. 3 Abs. 1 Ziff. 9 des Kommunikationsgesetzes;

1. "Einrichtung": eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann;

1. "Anbieter verwalteter Dienste": eine Einrichtung, die Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung erbringt, die entweder in den Räumlichkeiten der Kunden oder aus der Ferne erbringt;

1. "Anbieter verwalteter Sicherheitsdienste": ein Anbieter verwalteter Dienste, der Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicherheit durchführt oder erbringt;

1. "Forschungseinrichtung": eine Einrichtung, deren primäres Ziel es ist, angewandte Forschung oder experimentelle Entwicklung im Hinblick auf die Nutzung der Ergebnisse dieser Forschung für kommerzielle Zwecke durchzuführen, die jedoch Bildungseinrichtungen nicht einschliesst;

1. "Kooperationsgruppe": ein nach Art. 14 der Richtlinie (EU) 2022/2555 eingerichtetes Gremium, das sich aus Vertretern der EWR-Mitgliedstaaten, der Europäischen Kommission und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) zusammensetzt und der Unterstützung und Erleichterung der strategischen Zusammenarbeit sowie des Informationsaustausches zwischen den EWR-Mitgliedstaaten zum Aufbau von Vertrauen und zur Erreichung eines hohen Cybersicherheitsniveaus im EWR dient;

1. "CSIRTs-Netzwerk": ein nach Art. 15 der Richtlinie (EU) 2022/2555 eingerichtetes Gremium, das sich aus Vertretern der Computer-Notfallteams der EWR-Mitgliedstaaten und des IT-Notfallteams für die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union (CERT-EU) zusammensetzt und zum Aufbau von Vertrauen zwischen den EWR-Mitgliedstaaten beitragen sowie eine rasche und wirksame operative Zusammenarbeit fördern soll;

1. "EU-CyCLONe" (European Cyber Crises Liaison Organisation Network): ein nach Art. 16 der Richtlinie (EU) 2022/2555 eingerichtetes Gremium, das sich aus Vertretern der Behörden für das Cyberkrisenmanagement der EWR-Mitgliedstaaten und der Europäischen Kommission zusammensetzt und bei der koordinierten Bewältigung von Cybersicherheitsvorfällen grossen Ausmasses und Krisen auf operativer Ebene sowie bei der Gewährleistung eines regelmässigen Austauschs relevanter Informationen zwischen den EWR-Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen unterstützen soll.

2) Im Sinne dieses Gesetzes gelten zudem als:

a) wesentliche Einrichtungen:

1. Einrichtungen nach Anhang 1, die die in Art. 1064 Abs. 2 des Personen- und Gesellschaftsrechts genannten Schwellenwerte für mittelgrosse Gesellschaften überschreiten;

1. qualifizierte Vertrauensdiensteanbieter und TLD-Namenregister sowie DNS-Diensteanbieter, unabhängig von ihrer Grösse;

1. Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste, die nach Art. 1064 Abs. 2 des Personen- und Gesellschaftsrechts als mittelgrosse Gesellschaften gelten;

1. Einrichtungen der öffentlichen Verwaltung des Landes;

1. sonstige Einrichtungen nach Anhang 1 oder 2, die von der Regierung mit Verordnung nach Massgabe der Kriterien von Art. 1 Abs. 2 Bst. a Ziff. 2 bis 6 als wesentliche Einrichtungen eingestuft werden;

1. Einrichtungen, die gemäss der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden;

b) wichtige Einrichtungen:

1. Einrichtungen nach Anhang 1 oder 2, die nicht als wesentliche Einrichtungen nach Abs. 2 gelten;

1. sonstige Einrichtungen nach Anhang 1 oder 2, die von der Regierung mit Verordnung nach Massgabe der Kriterien von Art. 1 Abs. 2 Bst. a Ziff. 2 bis 6 als wichtige Einrichtungen eingestuft wurden.

Dieses Dokument ersetzt nicht die offizielle Publikation im Landesgesetzblatt. Seit dem 1. Januar 2013 ist gemäss Art. 8 des Kundmachungsgesetzes (LGBl 2012 Nr. 174) ausschliesslich die signierte elektronische Fassung des LGBl rechtsverbindlich. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.