Home / Veröffentlichungen / Gesetz zur Erhöhung der Cybersicherheit in Kraft:...

Gesetz zur Erhöhung der Cybersicherheit in Kraft:

Was „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ beachten müssen

01/03/2019

Im Dezember 2018 wurde das Netz- und Informationssystemsicherheitsgesetz (NISG) beschlossen, welches zuweilen gerne auch als Cybersicherheitsgesetz bezeichnet wird. Das NISG trat mit 29.12.2018 in Kraft und setzt die EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen um. Grundlegendes Ziel dieses Gesetzes ist es vor der steigenden Internetkriminalität zu schützen. Welche Maßnahmen wurden mit dem neuen Gesetz also geschaffen?

Das NISG

  • soll zur Entwicklung einer Strategie für die Sicherheit von Netz- und Informationssystemen beitragen;
  • schafft staatliche Anlaufstellen zur koordinierten Bewältigung von Sicherheitsvorfällen;
  • richtet ein nationales Computer-Notfallteam ein, welches als Kommunikationsknotenpunkt zwischen Behörden und den erfassten Unternehmen agieren soll;
  • verpflichtet wichtige Infrastrukturanbieter, Anbieter digitaler Dienste und öffentliche Stellen dazu, angemessene Sicherheitsvorkehrungen zum Schutz ihrer Netze zu treffen und etwaige Sicherheitsvorfälle an das nationale Computer-Notfallteam bzw. das Innenministerium zu melden.

Wer ist erfasst?

Das NISG erfasst grundsätzlich Betreiber wesentlicher Dienste in den Sektoren

  • Energie (Elektrizität, Erdöl, Erdgas)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen (Kreditinstitute)
  • Finanzmarktinfrastrukturen (Handelsplätze, zentrale Gegenparteien)
  • Gesundheitswesen (insbesondere Krankenhäuser und Privatkliniken)
  • Trinkwasserversorgung
  • Digitale Infrastruktur (Internet Exchange Points, DNS-Diensteanbieter, TLD-Name-Registries)

sowie

  • Anbieter digitaler Dienste, das sind Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste

und

  • Einrichtungen der öffentlichen Verwaltung.

Betreiber wesentlicher Dienste (BwD) kann jede Einrichtung sein, die mit einer Niederlassung in Österreich einen wesentlichen Dienst erbringt. Das NISG selbst legt die Voraussetzungen für die Einordnung als wesentlicher Dienst nicht näher fest, sondern enthält bloß eine beispielhafte Auflistung relevanter Faktoren. Dazu gehören die Anzahl der User, ein allfälliges Abhängigkeitsverhältnis anderer Sektoren von einem Dienst, der Marktanteil des Betreibers, die Größe des von einem Sicherheitsvorfall potenziell betroffenen Gebiets, die potenzielle Auswirkung von Sicherheitsvorfällen, etc. Nähere Regelungen in diesem Kontext sollen durch Verordnung festgelegt werden.

Die Entscheidung darüber, ob ein bestimmtes Unternehmen ein BwD im Sinne des Gesetzes ist, trifft der Bundeskanzler nach Abstimmung mit dem Innenministerium und dem für den jeweiligen Sektor zuständigen Ministerium durch Bescheid, dem konstitutive Wirkung zukommt. Es besteht daher auch die Möglichkeit, rechtlich gegen einen solchen Entscheid vorzugehen. Der Gesetzgeber geht davon aus, dass es rund 150 BwD in Österreich geben wird.

Im Gegensatz dazu wird der Anbieter digitaler Dienste (AdD) abschließend definiert. Ein digitaler Dienst ist „[ein Dienst] der in der Regel gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf des Empfängers bereitgestellt [wird]“ (§ 3 Abs 1 E-Commerce-Gesetz), und bei dem es sich um einen „Online-Marktplatz, eine Online-Suchmaschine oder einen Cloud-Computing-Dienst handelt“. Ein Anbieter solcher digitaler Dienste ist eine juristische Person oder eine eingetragene Personengesellschaft, die einen digitalen Dienst in Österreich anbietet und kein Kleinstunternehmen (<10 Arbeitnehmer, Jahresumsatz bzw. Jahresbilanz maximal 2 Mio. EUR) oder kleines Unternehmen (<50 Arbeitnehmer, Jahresumsatz bzw. Jahresbilanz maximal 10 Mio. EUR) ist.

Welche Pflichten treffen Betreiber wesentlicher Dienste und Anbieter digitaler Dienste?

Sicherheitsvorkehrungen

Sowohl BwD als auch AdD sind zur Gewährleistung der Netz- und Informationssicherheit verpflichtet. Netz- und Informationssicherheit definiert das NISG als „die Fähigkeit, Sicherheitsvorfällen vorzubeugen, diese zu erkennen, abzuwehren und zu beseitigen“.

Gesetzlicher Standard für die von BwD geforderten Sicherheitsvorkehrungen ist die technische und organisatorische Eignung und Verhältnismäßigkeit. Sicherheitsvorkehrungen müssen außerdem dem Stand der Technik genügen und dem Risiko, das mit „vernünftigem Aufwand feststellbar ist“, angemessen sein (sogenannter risikobasierter Ansatz). AdD trifft an sich derselbe Standard, jedoch ist noch anderen Faktoren Rechnung zu tragen, so etwa der Sicherheit der Systeme und Anlagen und der Bewältigung von Sicherheitsvorfällen. Unklar ist hier freilich, wie dieser Prüfungsmaßstab konkret aussehen wird. Für BwD wird es eine entsprechende Verordnung geben, die hier ein gewisses Maß an Rechtssicherheit schafft. AdD stehen hier angesichts des unklaren Gesetzeswortlautes sicherlich vor größeren Problemen.

Bedeutsam in diesem Zusammenhang ist die für BwD eingeführte Nachweispflicht. Der Nachweis über die Erfüllung der gesetzlich geforderten Sicherheitsvorkehrungen ist von BwD alle 3 Jahre von neuem zu erbringen und muss mit Zertifizierungen oder mittels Überprüfung durch qualifizierte Stellen untermauert werden. Bei AdD sind die Anforderungen an die Nachweispflicht geringer: Sie haben entsprechende Nachweise nur zu erbringen, wenn sie im Anlassfall vom Innenministerium dazu aufgefordert werden.

Sowohl bei BwD als auch bei AdD hat das Innenministerium aber die gesetzliche Befugnis, die Betriebsräumlichkeiten, an denen die Netz- und Informationssysteme gelegen sind, zum Zweck der Überprüfung zu betreten. Zwar ist diese Einschau auf das unbedingt erforderliche Ausmaß zu beschränken und unter möglichster Schonung der Rechte des betroffenen Unternehmens durchzuführen, doch ist ein Gerichtsbeschluss für eine solche Einschau nicht erforderlich. Ungeregelt ist überdies die Frage, ob dem Innenministerium im Rahmen der Einschau etwa auch die Befugnis zukommt, auf Computersysteme zuzugreifen oder über eine Netzwerkverbindung, gegebenenfalls unter Verwendung eigener Computer, softwareseitige Prüfungshandlungen vorzunehmen.

Einrichtung einer Kontaktstelle

BwD müssen eine Kontaktstelle für die Kommunikation mit den Behörden und den Computer-Notfallteams einrichten. Die Erreichbarkeit muss für den gesamten Zeitraum, in dem der wesentliche Dienst zur Verfügung steht, gegeben sein. Eine vergleichbare Verpflichtung für AdD besteht nicht.

Strikte Meldepflichten

BwD und AdD müssen Sicherheitsvorfälle unverzüglich an das zuständige Computer-Notfallteam melden, welches die Meldung an das Innenministerium weiterreicht. Die Meldung muss dem Gesetzeswortlaut zufolge „sämtliche relevante Angaben zum Sicherheitsvorfall und den technischen Rahmenbedingungen, die im Zeitpunkt der Erstmeldung bekannt sind, enthalten, insbesondere die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage.“ Diese Formulierung wirft insbesondere die Frage auf, wie mit Meldungen umzugehen ist, die die Offenlegung geheimer bzw. vertraulicher Informationen oder von Betriebs- und Geschäftsgeheimnissen erfordern würden.

Strafrahmen

Verletzungen der vorstehend erörterten Pflichten sind mit einer Geldstrafe von bis zu EUR 50.000 bedroht. Im Wiederholungsfalle kann die Strafe auf bis zu EUR 100.000 anwachsen.

Conclusio

Das NISG dürfte Betreiber wesentlicher Dienste, die bereits über eine professionelle IT-Infrastruktur verfügen, vor überschaubare Herausforderungen stellen. Gleichwohl wird die Dokumentation zum Zweck der Nachweispflichten einen spürbaren Aufwand mit sich bringen. Anbieter digitaler Dienste stehen hingegen vor einer ungewissen Zukunft. Zwar sind Kleinst- und Kleinunternehmen unter den AdD nicht vom NISG erfasst. Die Frage nach den in der Realität einzuhaltenden Sicherheitsstandards für Netzwerk- und Informationssysteme und der Umfang der Meldepflicht werden aber selbst mittlere und größere Unternehmen vor Herausforderungen stellen.

Welche Unternehmen als BwD eingestuft werden, wird sich im Laufe der kommenden Monate zeigen. Die Ausführungsverordnung zum NISG wird voraussichtlich in den kommenden Wochen erlassen. In weiterer Folge sollen BwD die entsprechenden Bescheide erhalten.

Nicht unheikel ist die Prüfungsbefugnis des Innenministeriums, zumal einerseits Betriebs- und Geschäftsgeheimnisse gefährdet sein könnten und andererseits die Reichweite nicht klar geregelt ist.

Autoren

Klaus-Pateter-CMS-AT
Klaus Pateter
Rechtsanwalt
Wien