Stellungnahmen

Das Bundeskanzleramt hat den Entwurf für einen Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) veröffentlicht. Eine öffentliche Begutachtung des Entwurfs wurde bis 31.10.2018 durchgeführt.

Mit dem Gesetzesentwurf wird die europäische NIS-Richtlinie EU 2016/1148 in das nationale Recht umgesetzt und soll dafür sorgen, dass ein hohes Sicherheitsniveau von Netz- und Informationssystemen der in den Anwendungsbereich fallenden Einrichtungen erreicht wird. Die ISPA hat an den Sektorengesprächen – Digitale Infrastruktur im Bundeskanzleramt zur Umsetzung der NIS-RL teilgenommen, welche insbesondere der näheren Konkretisierung der von der NIS-RL erfassten Betreiber digitaler Infrastruktur (IXPs, DNS-Diensteanbieter sowie TLD-Name-Registries) dienten, welche im Rahmen einer Verordnung anhand von Schwellenwerten festgelegt werden.

Bei einer ersten Durchsicht sind uns folgende Eckpunkte aufgefallen:

• Der Entwurf erfasst Betreiber wesentlicher Dienste u.a. im Sektor Digitale Infrastruktur sowie Anbieter digitaler Dienste.
• Der Begriff „Digitaler Dienst“ ist im § 3 Z 9 als ein Dienst im Sinne des § 3 Z 1 E-Commerce-Gesetz (ECG) definiert, bei dem es sich um einen Online-Marktplatz (Z 12), eine Online-Suchmaschine (Z13) oder einen Cloud-Computing-Dienst (Z 14) handelt. Die präzisierenden Definitionen in § 3 Z 12, Z 13 und Z 14 wurden unverändert von der Richtlinie übernommen. In die Erläuterungen zum Entwurf wird ausgeführt, dass darunter Dienste der Informationsgesellschaft, also ein in der Regel gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf des Empfängers bereitgestellter Dienst (iSv § 1 Abs. 1 Z 2 Notifikationsgesetz 1999) zu verstehen sind, u.a. Online-Informationsangebote, die Online-Werbung sowie Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern.
• Ausnahme für KMUs: Anbieter digitaler Dienste (Z 10) sind laut Entwurf juristische Personen, die einen solchen digitalen Dienst in Österreich anbieten und eine Hauptniederlassung in Österreich haben oder einen Vertreter (Z 11) in Österreich namhaft gemacht haben. Explizit ausgenommen sind natürliche Personen, Kleinstunternehmen und kleine Unternehmen (Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz von unter 10 Mio. Euro).
• Befinden sich die Netz- und Informationssysteme eines Anbieters digitaler Dienste in einem anderen Mitgliedstaat, so ist vorgesehen, dass der Bundeskanzler Konsultationen mit den zuständigen Behörden dieses anderen Mitgliedstaates vornimmt (§ 4 Z 8). Dies ist insbesondere dann notwendig, wenn es erforderlich erscheint, die getroffenen Sicherheitsmaßnahmen für diese Netz- und Informationssysteme vor Ort zu überprüfen. 

• Mit Verordnung werden die in § 2 Abs. 1 genannten Sektoren und die Faktoren gemäß § 14 Abs. 2, die zur Ermittlung der Betreiber wesentlicher Dienste herangezogen werden sollen, näher konkretisiert (§ 14 Abs. 4). In dieser Verordnung werden insbesondere die betroffenen Teilsektoren und die Schwellenwerte bestimmt, die für die Beurteilung der Wesentlichkeit eines betriebenen Dienstes heranzuziehen sind. Außerdem können jene Vorschriften zu Sicherheitsvorkehrungen und zur Meldepflicht, die zumindest ein gleichwertiges Sicherheitsniveau für Netz- und Informationssysteme gewährleisten, festgelegt werden.
• Dem Bundeskanzler kommt gemäß § 14 Abs. 1 die Aufgabe zu, die vom Anwendungsbereich dieses Bundesgesetzes umfassten Betreiber wesentlicher Dienste zu ermitteln (§ 4 Z 6). Der Bundeskanzler führt und aktualisiert eine Liste der betroffenen „wesentlichen Dienste“ und übermittelt diese an die Europäische Kommission.
• Verfahren: Ein Betreiber wesentlicher Dienste ist erst vom Anwendungsbereich erfasst, wenn er durch den Bundeskanzler als solcher ermittelt wurde und ihm gegenüber über diesen Umstand ein Bescheid erlassen wurde (Z 1). Diesem Bescheid kommt daher für die Eigenschaft als Betreiber wesentlicher Dienste eine konstitutive Wirkung zu. Dabei ist gemäß Art. I Abs. 2 Z 1 EGVG auf das behördliche Verfahren das AVG anzuwenden. Fallen die Voraussetzungen weg, die für die Ermittlung eines Betreibers wesentlicher Dienste maßgeblich waren, so ist der Bescheid zu widerrufen, wenn dem Bundeskanzler diese Umstände bekannt werden. Betreiber wesentlicher Dienste haben dem Bundeskanzleramt innerhalb von zwei Wochen nach Zustellung des Bescheids gemäß Abs. 5 Z 1 eine Kontaktstelle für die Kommunikation mit den NIS-Büros und den Computer-Notfallteams zu nennen.

• Dem Bundeskanzleramt obliegt auch die Veröffentlichung einer Vorordnung zur Beurteilung, ob eine erhebliche Störung eines betriebenen Dienstes vorliegt und es sich daher um einen Sicherheitsvorfall (§ 3 Z 6) handelt. Dabei sind die in § 3 Z 6 lit. a bis d genannten Parameter – u.a. Zahl der Betroffenen Nutzer, Dauer des Sicherheitsvorfalls, geografische Ausbreitung - zu berücksichtigen.
• Betrifft ein Sicherheitsvorfall mehrere vom Anwendungsbereich des Entwurfs umfasste Sektoren, so obliegt es dem Bundeskanzleramtes, die Öffentlichkeit über diesen Vorfall zu informieren (§ 4 Z 5).

• Anbieter digitaler Dienste haben in Hinblick auf die von ihnen betriebenen digitalen Dienste (§ 3 Z 9) geeignete Sicherheitsvorkehrungen zur Gewährleistung der NIS (§ 3 Z 2) zu treffen.
• Diese Vorkehrungen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Die von ihnen zu treffenden Sicherheitsvorkehrungen können sowohl technischer als auch organisatorischer Art sein und sollen in Hinblick auf die betriebenen digitalen Dienste dazu dienen, die Netz- und Informationssystemsicherheit (NIS) zu gewährleisten. In der Praxis wird das Risiko für die Betreiber wesentlicher Dienste, die oft für die Aufrechterhaltung kritischer gesellschaftlicher und wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung sind, höher sein als das Risiko für die Anbieter digitaler Dienste.
• Der Entfall der Nachweispflicht (vgl. § 15 Abs. 3) sowie der Verzicht auf eine Verordnungsermächtigung zur Festlegung der Sicherheitsvorkehrungen (vgl. § 15 Abs. 6), wie dies bei Betreibern wesentlicher Dienste vorgesehen ist, begründen sich unmittelbar aus der NIS-RL (vgl. Art. 16 Abs. 10 NIS-RL) und somit dem Umstand, dass es in deren Verantwortungsbereich zu belassen ist, welche Maßnahmen sie ergreifen, die sie für die Bewältigung der Risiken für die Sicherheit ihrer Netze und Informationssysteme für angemessen halten.

• § 17 enthält eine Lex-specialis-Bestimmung als Nachbildung von Art. 1 Abs 7 der NIS-RL, wonach die Bestimmungen über die Sicherheitsanforderungen oder Meldepflichten für Anbieter digitaler Dienste oder Betreiber wesentlicher Dienste keine Anwendung finden, wenn sektorenspezifische Rechtsvorschriften der Europäischen Union für Sicherheitsanforderungen oder Meldepflichten gelten, die in ihrer Wirkung den in der NIS-RL enthaltenen Pflichten mindestens gleichwertig sind. Trotz Anwendbarkeit von Lex-specialis-Bestimmungen wird eine Einrichtung als Betreiber wesentlicher Dienste gemäß § 14 ermittelt, um solchen Einrichtungen insbesondere die Einrichtung eines sektorenspezifischen Computer-Notfallteams (§ 12 Abs. 1 zweiter Satz) sowie die Teilnahme an einer technischen Einrichtung nach § 9 Abs. 1 zu ermöglichen. Die Verpflichtung zur Nennung einer Kontaktstelle (§ 14 Abs. 3) bleibt auch unberührt.

• Zur Unterstützung der Betreiber wesentlicher Dienste und Anbieter digitaler Dienste bei der Bewältigung von Risiken und Sicherheitsvorfällen wird ein nationales Computer-Notfallteam eingerichtet. Betreiber wesentlicher Dienste können für ihren Sektor (§ 2 Abs. 1) ein sektorenspezifisches Computer-Notfallteam einrichten.
• Beim Bundesminister für Inneres wird eine zentrale Anlaufstelle bzw. SPOC (Single Point Of Contact) errichtet. Organisatorisch betrachtet, wird die zentrale Anlaufstelle im Cyber Security Center (CSC) des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung angesiedelt. Neben der zentralen Anlaufstelle (SPOC) fungiert das CSC auch als Meldesammelstelle aller nationalen Meldestellen (Computer-Notfallteams). Dabei werden die von den Computer-Notfallteams eingehenden Meldungen über Sicherheitsvorfälle (§§ 16, 18 Abs. 2 und § 19 Abs. 2) und Störungen (§§ 19 Abs. 3 und 20) sowie eingehenden Meldungen über schwerwiegende Betriebs- oder Sicherheitsvorfälle (§ 17 Abs. 2) entgegengenommen und entsprechend analysiert.

Die Eckpunkte der Stellungnahme sind:

• Forderung einer öffentlichen Konsultation für die Verordnungsentwürfe nach dem NISG, welche u.a. die Fragen regeln, welche Unternehmen als Betreiber wesentlicher Dienste identifiziert und wie die konkretisierten Vorschriften zu Sicherheitsvorkehrungen und zu Meldepflichten ausgestaltet werden
• Forderung, dass das österreichische NISG dem risikobasierten Ansatz der NIS-RL hinsichtlich der Sicherheitsvorkehrungen von Betreibern wesentlicher Dienste entspricht
• Forderung, dass die Ermächtigungen und Befugnisse der Behörden nach dem NISG den verfassungs- und datenschutzrechtlichen Prinzipien u.a. der Zweckbindung sowie der Datensparsamkeit Rechnung tragen müssen.
• Anmerkung, dass die DSGVO-konforme Datenverarbeitung nach dem NISG durch das Bundesministerium für Landesverteidigung zu hinterfragen ist.
• Ablehnung des Einsatzes von technischen Einrichtungen des BMI im Rahmen der Betreibernetze, da hierdurch die Integrität der Systeme von IKT-Betreibern oder die Vertraulichkeit der dadurch transportierten Kundendaten kompromittiert werden könnten.
• Forderung von Kostenersatz für die Mitwirkung der Betreiber wesentlicher Dienste an die Frühwarnsysteme des BMI sowie beim Einsatz von „Honeypots“ und „Sinkholes“, da dieser eine Inpflichtnahme von privaten Betreibern bei der Mitwirkung an staatlichen Aufgaben darstellt und somit auch verfassungsrechtlich geboten ist.
• Hinweis, dass für die Übermittlung von allfälligen personenbezogenen Daten im Rahmen freiwilliger Meldungen von Sicherheitsvorfällen eine hinreichende Rechtsgrundlage erforderlich ist.
• Forderung der Aufnahme einer ausdrücklichen Ausnahme für Telekombetreiber vom Anwendungsbereich des NISG, wie dies bereits in die NIS-RL vorgesehen ist.
• Anmerkung, dass redundante Meldungen und Meldestrukturen nach dem TKG 2003 und NISG hintanzuhalten sind.
• Hinweis, dass die Ausnahme für kleine und mittelgroße Anbieter digitaler Dienste präzisiert werden sollte, um eine rechtssichere und anwenderfreundliche Ausgestaltung des Gesetzesentwurfs zu gewährleisten.