vorheriges Dokument
nächstes Dokument

BGBl II 67/2012

BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

67. Verordnung: Änderung der Informationssicherheitsverordnung, InfoSiV

67. Verordnung der Bundesregierung, mit der die Verordnung über die Informationssicherheit (Informationssicherheitsverordnung, InfoSiV) geändert wird

Auf Grund des § 6 des Informationssicherheitsgesetzes, InfoSiG, BGBl. I Nr. 23/2002, zuletzt geändert durch Bundesgesetz, BGBl. I Nr. 10/2006, wird verordnet:

Die Verordnung der Bundesregierung über die Informationssicherheit (Informationssicherheitsverordnung, InfoSiV), BGBl. II Nr. 548/2003, wird wie folgt geändert:

1. Die Überschrift „Inhalt“ wird durch die Überschrift „Inhaltsverzeichnis“ ersetzt; dieses lautet:

„§ 1. Geltungsbereich

§ 2. Klassifizierte Informationen

§ 3. Klassifizierungsstufen

§ 4. Informationssicherheitsbeauftragte

§ 5. Zugang zu klassifizierten Informationen

§ 6. Unterweisung

§ 7. Übermittlung klassifizierter Informationen

§ 8. Kennzeichnung

§ 9. Elektronische Verarbeitung und Übermittlung klassifizierter Informationen

§ 10. Dienstpflichten

§ 11. Administrative Behandlung

§ 12. Registrierung von klassifizierten Informationen

§ 13. Verwahrung von klassifizierten Informationen

§ 14. Kopien und Übersetzungen

§ 15. Vernichtung von klassifizierten Informationen

§ 16. Kontrolle“

2. In § 2 Abs. 1 wird die Wortfolge „Informationen, Tatsachen, Gegenstände und Nachrichten“ durch die Wortfolge „mit einem Klassifizierungsvermerk versehene Informationen und Materialien sowie Nachrichten“ ersetzt.

3. § 2 Abs. 2 Z 3 und 4 lautet:

  1. „3. elektronisch verarbeitete Daten und deren Datenträger (z.B. E-Mail);
  2. 4. Ton- und Bildträger;“

4. § 3 Abs. 2 lautet:

„(2) Die Klassifizierung, Deklassifizierung sowie die Herabstufung einer Information erfolgt durch ihren Urheber. Die Deklassifizierung ist schriftlich festzuhalten. Empfänger einer klassifizierten Information sind von der Deklassifizierung zu informieren.“

5. In § 5 Abs. 1 wird im Klammerausdruck dem Wort „Anlage 1“ das Wort „Muster:“ vorangestellt.

6. In § 5 Abs. 3 Z 2 wird der Punkt durch das Wort „und“ ersetzt und folgende Z 3 angefügt:

  1. „3. sie sich zur Geheimhaltung von klassifizierten Informationen auch nach Beendigung der Tätigkeit verpflichtet haben.“

7. §§ 6 bis 9 samt Überschriften lauten:

„Unterweisung

§ 6. (1) Die Unterweisung nach § 5 Abs. 4 hat jedenfalls über das InfoSiG, diese Verordnung, die jeweils gültigen völkerrechtlichen und unionsrechtlichen Verpflichtungen, allfällige schriftlich erlassene Durchführungsregelungen des Ressorts sowie über die Geheimhaltungspflichten und Sanktionen bei Verstößen gegen diese zu erfolgen.

(2) Die Unterweisung dient der Sensibilisierung für Bedrohungen der Sicherheit von klassifizierten Informationen und soll sicherstellen, dass die vorgesehenen Sicherheitsstandards eingehalten und alle Sicherheitsverletzungen, selbst ein Verdacht auf solche, gemeldet werden. Sie hat vor der Eröffnung des Zugangs zu klassifizierten Informationen zu erfolgen und ist regelmäßig zu wiederholen. Der Nachweis der Unterweisung ist schriftlich festzuhalten (Muster: Anlage 2).

Übermittlung klassifizierter Informationen

§ 7. (1) Vor der Übermittlung von klassifizierten Informationen ist durch Prüfung im Einzelfall oder durch Einhaltung der hiefür vorgesehenen generellen Regelungen sicherzustellen, dass beim Empfänger die Voraussetzungen des InfoSiG und dieser Verordnung gegeben sind.

(2) Im Rahmen der Amtshilfe dürfen klassifizierte Informationen nur übermittelt werden, wenn das ersuchende Organ dies ausdrücklich begehrt und belegt, dass es den erforderlichen Schutzstandard und die vom Gesetz und von der Verordnung verlangten personellen Voraussetzungen zu gewährleisten vermag. Der Informationssicherheitsbeauftragte ist von der beabsichtigten Weitergabe in Kenntnis zu setzen.

(3) Dokumente der Klassifizierungsstufe EINGESCHRÄNKT sind im verschlossenen Kuvert und Dokumente der Klassifizierungsstufe VERTRAULICH oder höher in einem doppelten undurchsichtigen verschlossenen Kuvert zu übermitteln, wobei nur am inneren Kuvert die Klassifizierungsstufe einschließlich der Anschrift des Empfängers anzugeben und eine Empfangsbestätigung beizulegen ist (Muster: Anlage 3). Vermerke am äußeren Kuvert dürfen nicht auf den Inhalt schließen lassen.

(4) Für die Übermittlung von klassifizierten Informationen der Stufe STRENG GEHEIM ist die schriftliche Zustimmung des Urhebers erforderlich.

(5) Die Übermittlung von klassifizierten Informationen an Drittstaaten oder internationale Organisationen sowie an einen in einem Drittstaat niedergelassenen Auftragnehmer ist nur mit vorheriger schriftlicher Zustimmung des Urhebers erlaubt, sofern nicht völkerrechtliche oder unionsrechtliche Verpflichtungen die Weitergabe ohne eine solche Zustimmung vorsehen.

(6) Klassifizierte Informationen sind auf folgende Arten zu übermitteln:

  1. 1. Mündliche Übermittlung: Bei Besprechungen mit einem Inhalt ab der Klassifizierungsstufe VERTRAULICH hat der Besprechungsleiter dafür Sorge zu tragen, dass die Teilnehmer entsprechend sicherheitsüberprüft oder verlässlichkeitsgeprüft und belehrt sind. Aufzeichnungen sind zu klassifizieren. Bei der mündlichen Darlegung von Informationen, die als GEHEIM oder STRENG GEHEIM klassifiziert sind, sind Maßnahmen gegen Abhören zu treffen.
  2. 2. Persönliche Übermittlung: Klassifizierte Informationen ab der Klassifizierungsstufe VERTRAULICH, die persönlich ausgehändigt werden, sind gegen Empfangsbestätigung zu übergeben. Die Übermittlung innerhalb eines Gebäudes hat durch Personen zu erfolgen, die für die betreffende Klassifizierungsstufe ermächtigt sind, und in einem verschlossenen Kuvert, auf dem nur der Name des Empfängers aufscheint; die Entgegennahme ist mit Empfangsbestätigung zu quittieren. Innerhalb eines Gebäudes oder einer geschlossenen Gebäudegruppe dürfen Informationen bis zur Stufe STRENG GEHEIM in einem verschlossenen undurchsichtigen Kuvert befördert werden.
  3. 3. Übermittlung durch Zustelldienste (Post oder private Kurierdienste), militärische und diplomatische Kuriere und diplomatisches Gepäck:
    1. a) Klassifizierte Informationen der Stufe EINGESCHRÄNKT dürfen durch die Post oder private Kurierdienste, militärische und diplomatische Kuriere, diplomatisches Gepäck oder Handgepäck einer Person, die entsprechend unterwiesen ist, übermittelt werden. Über die Erfüllung der Schutzmaßnahmen entscheidet die Informationssicherheitskommission.
    2. b) Klassifizierte Informationen der Stufe VERTRAULICH dürfen
      1. durch die Post oder private Kurierdienste innerhalb der EU-Mitgliedsstaaten sowie in Staaten, mit denen ein bilaterales Abkommen gemäß § 14 InfoSiG oder eine sonstige völkerrechtliche Vereinbarung mit Regelungen über die Übermittlung von solchen Informationen auf diesem Wege besteht, übermittelt werden, sofern die Dienste über geeignete Schutzmaßnahmen verfügen, über deren Erfüllung die Informationssicherheitskommission entscheidet;
      2. mit diplomatischem Gepäck oder durch militärische und diplomatische Kuriere sowie als Handgepäck befördert werden, sofern die Person (bzw. der Kurier), die die klassifizierte Information übermittelt, zumindest bis VERTRAULICH überprüft und hierzu ermächtigt ist (Muster: Anlage 4).
    3. c) Klassifizierte Informationen der Stufe GEHEIM dürfen
      1. im Inland durch die Post oder private Kurierdienste übermittelt werden, sofern sie über geeignete Schutzmaßnahmen verfügen, über deren Erfüllung die Informationssicherheitskommission entscheidet;
      2. durch militärische und diplomatische Kuriere sowie als Handgepäck befördert werden, sofern die Person (bzw. der Kurier), die die klassifizierte Information übermittelt, zumindest bis GEHEIM überprüft und ermächtigt ist (Muster: Anlage 4);
      3. in Ausnahmefällen durch das diplomatische Gepäck übermittelt werden, wenn keine andere Übermittlungsmöglichkeit zur Verfügung steht.
    4. d) Klassifizierte Informationen der Stufe STRENG GEHEIM dürfen durch militärische und diplomatische Kuriere sowie als Handgepäck befördert werden, sofern die Person (bzw. der Kurier), die die klassifizierte Information übermittelt, bis STRENG GEHEIM überprüft und ermächtigt ist (Muster: Anlage 4).

Kennzeichnung

§ 8. (1) Klassifizierte Informationen sind eindeutig und gut erkennbar durch die in § 3 oder in völkerrechtlichen oder unionsrechtlichen Regelungen festgelegten Kennzeichnungen kenntlich zu machen.

(2) Bei Informationen in Papierform sind das Datum, die Geschäftszahl, der Urheber und auf jeder Seite die Kennzeichnung oben und unten und eine Seitennummerierung anzubringen. Falls erforderlich können weiters angebracht werden:

  1. 1. eine Urheberidentifikation;
  2. 2. weitere Informationen, wie z.B. Verteilungseinschränkungen (auf jeder Seite);
  3. 3. ein Zeitpunkt für die Herabstufung der Klassifizierung.

(3) Bei Informationen in elektronischer Form ist der Dateiname mit der betreffenden Klassifizierungsstufe zu versehen.

(4) Auf der ersten Seite von Dokumenten der Klassifizierungsstufe VERTRAULICH oder höher sind alle Anhänge und Anlagen aufzulisten.

Elektronische Verarbeitung und Übermittlung klassifizierter Informationen

§ 9. (1) Die Verarbeitung von klassifizierten Informationen in Informations- und Kommunikationssystemen bedarf besonderer Sicherungsmaßnahmen, die abhängig sind von

  1. 1. der Klassifizierungsstufe,
  2. 2. dem Grad der Abstrahlsicherheit der Geräte,
  3. 3. der Art und dem Ausmaß der Vernetzung,
  4. 4. den Speichermöglichkeiten und
  5. 5. den örtlichen Gegebenheiten.

(2) Informationen ab der Klassifizierungsstufe VERTRAULICH dürfen auf allen Informations- und Kommunikationssystemen verarbeitet werden, sofern eine Akkreditierung durch die Informationssicherheitskommission vorliegt. Die spezifischen Voraussetzungen (Anforderungen sowie Maßstab und Grad der Detaillierung) sind dabei in Abstimmung mit der Informationssicherheitskommission festzulegen. Für Informations- und Kommunikationssysteme, die Informationen der Klassifizierungsstufe EINGESCHRÄNKT verarbeiten, sind je nach Art und Umfang des Systems (Risikostufe bzw. Komplexität und Vernetzung) die Vorgaben der Informationssicherheitskommission zu beachten. In jedem Fall sind Maßnahmen zur Identifizierung und Protokollierung von Zugriffen vorzusehen. Bei Informations- und Kommunikationssystemen, die der Erfüllung von Aufgaben des Bundesheeres gemäß Art. 79 Abs. 1 B-VG dienen, nimmt diese Aufgaben die vom Bundesminister für Landesverteidigung und Sport für seinen Wirkungsbereich bestimmte Zertifizierungsstelle wahr.

(3) Informationen ab der Klassifizierungsstufe VERTRAULICH, die auf elektronischen Geräten verarbeitet werden, sind so zu schützen, dass von den Informationen über elektromagnetische Abstrahlung nicht unbefugt Kenntnis erlangt werden kann (TEMPEST-Sicherheitsvorkehrungen).

(4) Bei der Übermittlung von klassifizierten Informationen auf elektronischem Wege sind besondere Schutzvorkehrungen, insbesondere die der jeweiligen Klassifizierungsstufe entsprechende Verschlüsselung, sowie die Vorgaben der Informationssicherheitskommission zu beachten. Ungeachtet dieser Anforderung können in Notsituationen spezielle Verfahren oder spezielle technische Konfigurationen nach Maßgabe der Informationssicherheitskommission angewendet werden. Die Übermittlung von klassifizierten Informationen ab der Klassifizierungsstufe VERTRAULICH ist gemäß den Vorgaben der Informationssicherheitskommission unter Einsatz qualifizierter Signatur bzw. bei automatischer Übermittlung mit technisch gleichwertigen Sicherheitsanforderungen zu protokollieren.

(5) Die Zusammenschaltung eines Informations- und Kommunikationssystems, in dem klassifizierte Informationen verarbeitet werden, mit anderen Systemen bedarf entsprechender Schutzmaßnahmen.“

8. In § 10 wird folgender Abs. 3 angefügt:

„(3) Der Verlust von klassifizierten Informationen ist unverzüglich dem Dienststellenleiter und dem Informationssicherheitsbeauftragten zu melden. Diese haben alle erforderlichen Maßnahmen zur Auffindung der Informationen, Vermeidung allfälliger weiterer Nachteile und Aufklärung des Vorfalls zu treffen. Diese Maßnahmen sind in geeigneter Weise festzuhalten. Vom Verlust ist auch jene Stelle zu verständigen, von der diese Information stammt.“

9. In der Überschrift zu § 11 wird das Wort „Kanzleimäßige“ durch das Wort „Administrative“ ersetzt.

10. In § 11 wird im Klammerausdruck in Abs. 1 dem Wort „Anlage 1“ das Wort „Muster:“ vorangestellt und in Abs. 2 das Wort „Kanzleisysteme“ durch das Wort „Verwaltungssysteme“ ersetzt.

11. §§ 12 bis 14 samt Überschriften lauten:

„Registrierung von klassifizierten Informationen

§ 12. (1) Der Eingang und Ausgang jedes als VERTRAULICH oder höher klassifizierten Dokuments ist zu registrieren, wobei im Register neben den Angaben gemäß § 11 Abs. 1 der Urheber, der Zeitpunkt des Einlangens, der Zeitpunkt der Übermittlung und die Verwaltungseinheit festzuhalten sind (Muster: Anlage 1). Jede Phase des Umlaufs der klassifizierten Informationen ist in geeigneter Weise aufzuzeichnen.

(2) Registerbücher für die Klassifizierungsstufen VERTRAULICH und GEHEIM sind zumindest mit der Klassifizierungsstufe EINGESCHRÄNKT, Registerbücher für die Klassifizierungsstufe STRENG GEHEIM mit der Klassifizierungsstufe GEHEIM zu versehen.

(3) Abs. 1 und 2 sind sinngemäß auch bei elektronischer Registrierung zu erfüllen.

Verwahrung von klassifizierten Informationen

§ 13. (1) Informationen sind der jeweiligen Klassifizierungsstufe entsprechend in den Diensträumen gesichert zu verwahren und dürfen nur bei unabdingbaren dienstlichen Notwendigkeiten aus diesen verbracht werden.

(2) Zum physischen Schutz klassifizierter Informationen sind folgende entsprechend abgesicherte Bereiche einzurichten:

  1. 1. Verwaltungsbereiche: Bereiche mit sichtbarer äußerer Abgrenzung zur Ermöglichung der Kontrolle von Personen und Fahrzeugen, die nur von Personen betreten werden dürfen, die eine Ermächtigung erhalten haben. Bei allen anderen Personen ist eine ständige Begleitung bzw. gleichwertige Kontrolle sicherzustellen.
  2. 2. Besonders geschützte Bereiche: Bereiche mit sichtbarer und geschützter Abgrenzung mit vollständiger Eingangskontrolle (Ausweiskontrolle oder Kontrolle nach Identifikationsklasse 2 gemäß ÖNORM EN 50133-1:2003 „Alarmanlagen - Zutrittskontrollanlagen für Sicherungsanwendungen“ vom 1.11.2003) und Ausgangskontrolle (Kontrolle nach Identifikationsklasse 0 gemäß ÖNORM EN 50133-1:2003), die nur von sicherheitsüberprüften, verlässlichkeitsgeprüften oder speziell ermächtigten Personen unbegleitet betreten werden dürfen. Bei allen anderen Personen ist eine ständige Begleitung bzw. gleichwertige Kontrolle sicherzustellen.
  3. 3. Besonders geschützte Bereiche mit Abhörschutz: Bereiche, die zusätzlich technisch abgesichert und mit Einbruchsmeldeanlagen ausgestattet sind. Nicht zugelassene Kommunikationsverbindungen oder elektronische Ausrüstung oder Kommunikationsgeräte sind verboten. Im Zuge der Eingangskontrolle sind Personen, die den Bereich betreten, auf die Mitnahme verbotener Geräte zu kontrollieren. Regelmäßige Inspektionen und technische Überprüfungen sind durchzuführen.

(3) Die Auswahl geeigneter Maßnahmen zur physischen Absicherung der Räumlichkeiten erfolgt auf der Grundlage einer Einschätzung der Bedrohungslage durch die zuständigen Behörden, wobei Verwaltungsbereiche und besonders geschützte Bereiche zu unterscheiden sind. Derartige Maßnahmen oder eine Kombination von diesen können sein:

  1. 1. Zutrittssperre;
  2. 2. Einbruchmeldeanlage;
  3. 3. Zugangskontrolle;
  4. 4. Sicherheitspersonal;
  5. 5. Videoüberwachung;
  6. 6. Sicherheitsbeleuchtung;
  7. 7. sonstige geeignete physische Maßnahmen.

(4) Informationen gemäß § 2 Abs. 2 Z 1, 2 und 4 aller Klassifizierungsstufen sind in versperrten Behältnissen zu verwahren. Dabei sind für die Klassifizierungsstufe EINGESCHRÄNKT Büromöbel, für VERTRAULICH, GEHEIM bzw. STRENG GEHEIM Wertbehältnisse entsprechend der Zuordnung durch die Informationssicherheitskommission zu verwenden.

(5) Für Verwaltungsbereiche und besonders geschützte Bereiche sind entsprechende Dienstanweisungen festzulegen.

(6) Verfahren über die Verwaltung der Schlüssel und Codes sind vom zuständigen Informationssicherheitsbeauftragten festzulegen. Diese Verfahren müssen Schutz vor unbefugtem Zugang gewähren.

Kopien und Übersetzungen

§ 14. (1) Werden Kopien und/oder Übersetzungen von Dokumenten der Klassifizierungsstufe VERTRAULICH, GEHEIM oder STRENG GEHEIM angefertigt, so ist dies in geeigneter Weise festzuhalten. Jede Kopie ist durch einen geeigneten Zusatz, der auf jeder Seite zu vermerken ist, zu individualisieren. Die Anfertigung von Kopien und Übersetzungen von Informationen der Klassifizierungsstufe STRENG GEHEIM durch Empfänger ist nur mit vorheriger schriftlicher Zustimmung des Urhebers erlaubt. Kopien dürfen ausschließlich unter der unmittelbaren Verantwortung des jeweiligen Leiters der Organisationseinheit und unter Kennzeichnung als Kopie angefertigt werden.

(2) Dokumente der Klassifizierungsstufe VERTRAULICH, GEHEIM oder STRENG GEHEIM dürfen nur von solchen Personen kopiert, abgeschrieben, übersetzt, gescannt, archiviert oder verarbeitet werden, die die Voraussetzungen des § 5 Abs. 2 erfüllen.“

12. § 15 Abs. 1 lautet:

§ 15. (1) Der Bestand an klassifizierten Informationen ist möglichst gering zu halten. Werden Informationen nicht mehr benötigt, sind sie mittels geeigneter Verfahren unter Beachtung internationaler und nationaler Vorgaben zu vernichten. Registrierungspflichtige Dokumente werden von der zuständigen Registratur auf Anweisung des Leiters der aufbewahrenden Stelle vernichtet und die Registrierungsinformationen entsprechend aktualisiert. Die Vernichtung von Informationen der Klassifizierungsstufen GEHEIM oder höher hat unter Anwesenheit eines Zeugen zu erfolgen, der über eine Sicherheitsüberprüfung oder Verlässlichkeitsprüfung der entsprechenden Klassifizierungsstufe verfügen muss, und ist im Protokoll durch Unterschrift festzuhalten (Muster: Anlage 5). Die Vernichtung von Datenträgern hat nach den von der Informationssicherheitskommission genehmigten Verfahren zu erfolgen.“

13. § 16 samt Überschrift entfällt; der Text des bisherigen § 17 erhält die Paragrafenbezeichnung „§ 16.“; weiters wird die Wortfolge „EDV-Systemen“ durch die Wortfolge „Kommunikations- und Informationssystemen“ ersetzt.

14. Die Anlage 1 lautet:

Anlage 1

Register

Register haben jedenfalls die nachstehenden Informationen zu enthalten. Sie können zentral oder dezentral, für Entnahmen, Weiterleitungen und Verteilungen gesondert geführt werden.

Evidenzliste

Dokumentenname

 

Geschäftszahl (Fremdzahl)

 

Ausfertigungsnummer

 

Datum

 

Seitenumfang

 

Klassifizierungsstufe

 

Urheber

 

Eingang

……………….. …………………

Datum Unterschrift

Eigene Geschäftszahl

 

Übermittlung an

……………….. …………………

Datum Unterschrift

oder Beilage der Empfangsbestätigung

Vernichtung

……………….. …………………

Datum Unterschrift

Faymann Spindelegger Fekter Heinisch-Hosek Stöger Mikl-Leitner Karl Berlakovich Darabos Schmied Bures Mitterlehner Töchterle

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)