Mindestsicherheitsmaßnahmen
§ 5.
(1) Zur Gewährleistung eines angemessenen Sicherheitsniveaus und im Interesse einer Vermeidung von Sicherheitsvorfällen haben Betreiber von elektronischen Kommunikationsnetzen und Anbieter von elektronischen Kommunikationsdiensten Maßnahmen gemäß § 16a Abs. 1 TKG 2003 zu konzipieren, zu ergreifen und zu dokumentieren sowie eine Information Security Policy festzulegen. Diese Maßnahmen sollen ein Sicherheitsniveau der Netze und Dienste gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere haben die Maßnahmen und die Information Security Policy dem Stand der Technik zu entsprechen und folgende Bereiche abzudecken:
- 1. Governance und Risikomanagement (Risikomanagementsystem, Sicherheitsrollen und -verantwortung, Umgang mit Dritten),
- 2. Sicherheit im Hinblick auf Personal (Hintergrundüberprüfung, Sicherheitswissen und -training, Personalwechsel, Disziplinarmaßnahmen bei Verstößen),
- 3. Sicherheit von Systemen und Betriebsstätten (physische Sicherheit, Sicherheit des Umfelds, Sicherheit des Materials, Versorgungssicherheit, Zutrittskontrolle, Informationssicherheit),
- 4. Betriebsmanagement (Betriebsabläufe, Änderungsmanagement, Umgang mit Betriebsmitteln),
- 5. Störfallmanagement (Abläufe, Feststellung, Reaktion, Eskalation, Berichtswesen),
- 6. Betriebliches Kontinuitätsmanagement (Verfügbarkeit und Aufrechterhaltung der Dienste, Notfallpläne Notfallwiederherstellung),
- 7. Monitoring, Audits, Tests (Monitoring/Protokollierung, Stellvertretungs- und Notfallsübungen, Systemtests, Sicherheitsbewertung, Konformitätsüberwachung und Auditierungsverfahren).
(2) Betreiber elektronischer Kommunikationsnetze und Anbieter elektronischer Kommunikationsdienste haben Unterlagen über die Maßnahmen gemäß Abs. 1 vorzuhalten und der Regulierungsbehörde auf Anforderung in einem allgemein lesbaren elektronischen Format Informationen zur Beurteilung der Sicherheit ihrer Netze und Dienste sowie über die von ihnen ergriffenen und dokumentierten Sicherheitsmaßnahmen gemäß Abs. 1 und ihre Information Security Policy zu übermitteln.
Schlagworte
Sicherheitsverantwortung, Sicherheitstraining, Stellvertretungsübung
Zuletzt aktualisiert am
08.07.2020
Gesetzesnummer
20011212
Dokumentnummer
NOR40224368
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)