6. Abschnitt
Offenes Internet und Netzsicherheit Sicherheit und Integrität
§ 44.
(1) Betreiber und Anbieter haben durch technische und organisatorische Maßnahmen ein Sicherheitsniveau zu gewährleisten, das zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten geeignet ist. Dabei sollten diese Maßnahmen unter Berücksichtigung des Standes der Technik ein Sicherheitsniveau der Netze und Dienste gewährleisten, das angesichts des bestehenden Risikos verhältnismäßig und angemessen ist. Insbesondere sind Maßnahmen, einschließlich gegebenenfalls Verschlüsselung, zu ergreifen, um Auswirkungen von Sicherheitsvorfällen auf Nutzer und auf andere Netze und Dienste zu vermeiden und so gering wie möglich zu halten. Die Regulierungsbehörde kann Betreibern und Anbietern verhältnismäßige und angemessene Sicherheitsmaßnahmen innerhalb bestimmter Fristen vorschreiben. Bei Gefahr in Verzug kann die Regulierungsbehörde auch ohne vorheriges Ermittlungsverfahren gemäß § 57 AVG gegenüber Betreibern und Anbietern vorläufig die Ergreifung verhältnimäßiger und angemessener Maßnahmen zur Behebung oder Verhinderung eines Sicherheitsvorfalls innerhalb bestimmter Fristen anordnen.
(2) Falls ein Sicherheitsvorfall in öffentlichen elektronischen Kommunikationsnetzen oder -diensten eine besondere und erhebliche Gefahr hervorruft, haben die betroffenen Betreiber und Anbieter die von der Gefahr potenziell betroffenen Nutzer kostenlos und unverzüglich über die Gefahr und alle möglichen Schutz- oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können, zu informieren.
(3) Betreiber und Anbieter sind verpflichtet, der Regulierungsbehörde im Rahmen ihrer gesetzlich übertragenen Aufgaben nach Aufforderung die zur Beurteilung der Sicherheit ihrer Dienste und Netze erforderlichen Informationen, einschließlich Unterlagen über ihre Sicherheitsmaßnahmen, zu übermitteln.
(4) Die Regulierungsbehörde kann im Rahmen ihrer gesetzlich übertragenen Aufgaben bei Vorliegen von Anhaltspunkten für einen Verstoß gegen die Verpflichtung aus Abs. 1 Betreiber und Anbieter verpflichten, sich auf deren Kosten einer Sicherheitsüberprüfung durch die Regulierungsbehörde oder durch eine von ihr beauftragte qualifizierte unabhängige Stelle zu unterziehen.
(5) Betreiber und Anbieter haben der Regulierungsbehörde Sicherheitsvorfälle, die beträchtliche Auswirkungen auf den Betrieb der Netze oder Dienste hatten, in der von der Regulierungsbehörde vorgeschriebenen Form unverzüglich mitzuteilen.
Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden – sofern verfügbar – insbesondere folgende Parameter berücksichtigt:
- 1. die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer,
- 2. die Dauer des Sicherheitsvorfalls,
- 3. die geografische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets,
- 4. das Ausmaß der Beeinträchtigung des Netzes oder Dienstes,
- 5. das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
(6) Die Regulierungsbehörde hat eine erfolgte Mitteilung nach Abs. 5 unverzüglich an den Bundesminister für Inneres weiterzuleiten. Dieser hat die darin enthaltenen Informationen in das gemäß § 5 Z 3 Netz- und Informationssystemsicherheitsgesetz (NISG), BGBl. I Nr. 111/2018, zu erstellende Lagebild aufzunehmen, das im Rahmen der Koordinierungsstrukturen (§ 7 NISG) zu erörtern ist.
(7) Die Regulierungsbehörde kann Regulierungsbehörden anderer Mitgliedstaaten oder die Europäische Agentur für Netz- und Informationssicherheit (ENISA) über eine erfolgte Mitteilung nach Abs. 5 informieren. In diesen Fällen hat die Regulierungsbehörde auch den Betreiber oder Anbieter, von dem die Meldung stammt, hievon unverzüglich und formlos in Kenntnis zu setzen.
(8) Liegt die Bekanntgabe des Sicherheitsvorfalls im öffentlichen Interesse, kann die Regulierungsbehörde die Öffentlichkeit selbst in geeigneter Weise darüber informieren oder die betroffenen Betreiber und Anbieter zur Information der Öffentlichkeit auffordern.
(9) Bis 31. März des Folgejahres hat die Regulierungsbehörde der Europäischen Kommission und der ENISA einen zusammenfassenden Bericht über die nach Abs. 5 eingegangenen Mitteilungen und die ergriffenen Maßnahmen vorzulegen.
(10) Die Regulierungsbehörde kann im Einvernehmen mit der Bundesministerin für Landwirtschaft, Regionen und Tourismus, mit dem Bundeskanzler und mit dem Bundesminister für Inneres unter Bedachtnahme auf die relevanten internationalen Vorschriften, auf die Art des Netzes oder des Dienstes, auf die technischen Möglichkeiten, auf den Schutz personenbezogener Daten und auf sonstige schutzwürdige Interessen von Nutzern mit Verordnung die näheren Bestimmungen zur Umsetzung dieser Bestimmung über
- 1. technische und organisatorische Sicherheitsmaßnahmen gemäß Abs. 1 sowie
- 2. Umstände, Form und Verfahren in Bezug auf die Meldepflichten gemäß Abs. 5
- festlegen.
(11) Eine Verordnung gemäß Abs. 10 ist in Bezug auf Rundfunknetze und die Übertragung von Rundfunksignalen von der KommAustria zu erlassen.
(12) Die Regulierungsbehörde hat sich in jenen Fällen, in denen auch die Zuständigkeit der Datenschutzbehörde berührt ist, mit der Datenschutzbehörde abzustimmen und die gewonnenen Informationen auszutauschen. Personenbezogene Daten dürfen im Rahmen dieses Informationsaustauschs nicht verarbeitet werden.
(13) Zur Erfüllung ihrer Aufgaben nach dieser Bestimmung kann die Regulierungsbehörde die Unterstützung eines gemäß § 14 Abs. 1 NISG eingerichteten Computer-Notfallteams zu Fragen, die zu dessen Aufgaben gemäß § 14 Abs. 2 NISG gehören, in Anspruch nehmen. In jenen Fällen, in denen auch die Zuständigkeit der in §§ 4 bis 7 NISG angeführten Behörden berührt ist, hat sich die Regulierungsbehörde mit den genannten Behörden abzustimmen und die gewonnenen Informationen auszutauschen.
(14) In der Verordnung nach Abs. 10 kann auch angeordnet werden, dass Betreiber von öffentlichen Kommunikationsnetzen oder öffentlichen Kommunikationsdiensten, die ihre Netze oder Dienste in Österreich betreiben und über keinen Aufenthalt oder Sitz in der Europäischen Union verfügen, eine inländische Zustelladresse bekannt geben müssen, an die in Verfahren nach diesem Bundesgesetz rechtskräftig zugestellt werden kann. Dies kann auch für Hersteller von Komponenten eines Netzes für elektronische Kommunikation oder für Bereitsteller von Dienstleistungen für solche Netze angeordnet werden, sofern sie ihre Waren oder Dienstleistungen in Österreich anbieten oder nach Österreich importiert werden und sie über keinen Aufenthalt oder Sitz in der Europäischen Union verfügen.
Schlagworte
Kommunikationsdienst, Schutzmaßnahme, Netzsicherheit
Zuletzt aktualisiert am
10.11.2021
Gesetzesnummer
20011678
Dokumentnummer
NOR40238502
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)