Die RTR-GmbH führte bis 05. Juni eine öffentliche Konsultation des Entwurfs der Telekom-Netzsicherheitsverordnung (TK-NSiV 2020) durch.
Die Verordnung dient der näheren Ausformung der Anforderungen an Betreiber von elektronischen Kommunikationsnetzen und - diensten zur Gewährleistung der Sicherheit und Integrität ihrer Netze (§ 16a TKG). Sie enthält daher insbesondere Angaben zu Mindestsicherheitsmaßnahmen welche durch die Betreiber zu treffen sind sowie zum anderen umfassende Informationspflichten gegenüber der RTR.
Die Informationspflichten (§ 3) umfassen insbesondere jene Angaben, die bereits derzeit im Rahmen des RTR Formulars zur „Mitteilung von Vorfällen mit beträchtlichen Auswirkungen“ anzuführen sind. Darüber hinaus sollen nunmehr auch „langfristig bedeutsame Erkenntnisse aus dem Vorfall“ sowie gegebenenfalls „Angaben über eine erfolgte oder geplante Information der Öffentlichkeit“ ergänzt werden.
Zu beachten ist, dass Meldungen von Sicherheitsvorfällen „unverzüglich“ zu erfolgen haben, das gemäß den EB als „ohne schuldhaftes Verzögern“ auszulegen ist. Die Informationspflichten sind daher jedenfalls nicht auf die Geschäftszeiten des Betreibers beschränkt.
Die Verordnung sieht darüber hinaus einen Meldeweg auch für Vorfälle vor, die nicht das Ausmaß eines Sicherheitsvorfalls erreichen und daher nicht der Informationspflicht unterliegen. Solche Vorfälle können als „Warnhinweis“ (§ 4) an die Behörde gemeldet werden.
Hinsichtlich der Mindestsicherheitsanforderungen (§ 5) gibt die Verordnung eine Reihe von Maßnahmen vor die dokumentiert und in einer Information Security Policy festzuhalten sind. Wir gehen davon aus, dass diese Maßnahmen bereits zum Großteil durch eine Umsetzung des ISPA Mustersicherheitskonzepts erfüllt sind. Wir sind jedoch gerade dabei dies näher nachzuprüfen und werden eine entsprechende Information noch nachreichen.
Darüber hinaus legt die Verordnung einen Schwerpunkt auf Sicherheitsanforderungen an 5G-Netze (§ 6) wobei die Regulierungsbehörde dabei einige der Empfehlungen der EU-Kommission aus deren „5G-Toolbox“ umsetzen möchte. Die entsprechenden Pflichten betreffen Betreiber von 5G Netzen mit mehr als 100 000 Teilnehmern in allen von diesen betriebenen Netzen. Die Verordnung bietet hierfür in Anhang 1 eine Reihe von Standards, deren Erfüllung im Rahmen einer Konformitätserklärung erstmals bis 30. Juni 2021 und anschließend im Abstand von maximal drei Jahren nachzuweisen ist.
Auf Nachfrage kann der Betreiber darüber hinaus zum Nachweis zusätzlicher Sicherheitsmaßnahmen aufgefordert werden, wie etwa der Erfüllung einer „Multi Vendor Strategie“. Darunter wird die Auswahlmöglichkeit eines Betreibers unter zumindest zwei Lieferanten für Netzinfrastrukturelemente eines 5G-Netzes verstanden wodurch Abhängigkeiten von Lieferanten, die als hohes Sicherheitsrisiko angesehen werden, vermeiden werden sollen.
Die Eckpunkte der ISPA Stellungnahme sind: