58. Verordnung der Präsidentin des Nationalrates über den Umgang mit klassifizierten und nicht-öffentlichen Informationen in Nationalrat und Bundesrat (Informationsverordnung - InfoV)
Auf Grund des Art. 30 Abs. 6 B-VG, BGBl. Nr. 1/1930, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 102/2014, sowie des § 26 des Informationsordnungsgesetzes - InfOG, BGBl. I Nr. 102/2014, wird im Einvernehmen mit dem Vorsitzenden des Bundesrates verordnet:
Geltungsbereich
§ 1. (1) Diese Verordnung gilt für den Bereich des Nationalrates und des Bundesrates.
(2) Soweit in dieser Verordnung auf bundesgesetzliche Bestimmungen verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden.
Sicherheitsbelehrung
§ 2. (1) Jede Person, der auf Grund des InfOG Zugang zu klassifizierten Informationen gewährt wird, ist über den Umgang mit solchen Informationen zu belehren und für Bedrohungen der Sicherheit entsprechend der jeweiligen Klassifizierungsstufe zu sensibilisieren. Die Sicherheitsbelehrung soll sicherstellen, dass die vorgesehenen Sicherheitsstandards eingehalten werden, damit klassifizierte Informationen nicht an Personen gelangen, die über keine Berechtigung gemäß den §§ 13, 14 und 16 InfOG verfügen.
(2) Personen, denen Zugang zu EU-Verschlusssachen gewährt wird, sind zudem über die Beachtung der EU-Vorschriften zu belehren.
(3) Die Sicherheitsbelehrung hat vor der Eröffnung des Zugangs zu klassifizierten Informationen schriftlich zu erfolgen und ist jedenfalls zu Beginn jeder Gesetzgebungsperiode des Nationalrates sowie im Fall einer Änderung oder Ergänzung der maßgeblichen Vorschriften und Verpflichtungen zu wiederholen. Der Nachweis der Sicherheitsbelehrung ist schriftlich festzuhalten.
(4) Die Sicherheitsbelehrung hat auch die Sanktionen bei der Verletzung von Geheimhaltungsvorschriften zu umfassen.
Verzeichnis berechtigter Personen
§ 3. Die Registraturen gemäß § 21 InfOG führen je ein ständiges Verzeichnis der Personen, denen auf Grund des InfOG Zugang zu klassifizierten oder nicht-öffentlichen Informationen gewährt wird.
Kennzeichnung
§ 4. (1) Klassifizierte Informationen sind eindeutig und gut erkennbar mit den in § 4 InfOG festgelegten Klassifizierungsstufen zu kennzeichnen.
(2) Folgende Informationen sind als „nicht-öffentlich“ zu kennzeichnen, wenn sie nicht zur Veröffentlichung geeignet sind (§ 3 Abs. 2 InfOG):
- 1. Vorlagen, Dokumente, Berichte, Informationen und Mitteilungen zu Vorhaben im Rahmen der Europäischen Union oder im Rahmen des Europäischen Stabilitätsmechanismus, soweit sie nicht bereits eine entsprechende Kennzeichnung aufweisen;
- 2. Ersuchen und Mitteilungen im Zusammenhang mit der behördlichen Verfolgung von Abgeordneten gemäß § 10 Abs. 2, 3 und 5 des Geschäftsordnungsgesetzes 1975, BGBl. Nr. 410/1975, Anträge von Behörden gemäß Art. 63 Abs. 2 B-VG sowie Ersuchen um die Ermächtigung zur Verfolgung von Personen wegen Beleidigung des Nationalrates gemäß § 117 Abs. 1 des Strafgesetzbuches, BGBl. Nr. 60/1974;
- 3. Meldungen nach dem Unvereinbarkeits- und Transparenz-Gesetz, BGBl. Nr. 330/1983, über die der Unvereinbarkeitsausschuss des Nationalrates oder des Bundesrates zu entscheiden hat, unbeschadet der Bestimmungen des § 9 des Bundesverfassungsgesetzes über die Begrenzung von Bezügen öffentlicher Funktionäre, BGBl. I Nr. 64/1997;
- 4. Informationen, für die ein Ausschuss eine Beschränkung der Einsichtnahme und der Verteilung gemäß § 14 InfOG beschlossen hat, unter Beifügung der Bezeichnung des Ausschusses.
(3) Bei Informationen der Klassifizierungsstufen 2 oder höher sind das Datum, die Geschäftszahl und der Urheber sowie auf jeder Seite der Empfänger, die Klassifizierungsstufe, eine Seitennummerierung und gegebenenfalls die jeweilige Nummer der Kopie anzubringen. Ist eine solche Kennzeichnung im Einzelfall nicht möglich, werden nach Festlegung des zuständigen Registraturverantwortlichen andere geeignete Maßnahmen zur Kennzeichnung angewendet.
(4) Aufgrund einer Dienstanweisung gemäß § 13 Z 3 können unbeschadet des § 21 Abs. 5 der Anlage 1 zum Geschäftsordnungsgesetz 1975 zusätzliche Angaben etwa über den Empfänger angebracht werden.
Geschützte Bereiche
§ 5. (1) Als Verwaltungsbereiche im Sinne des § 20 Z 1 InfOG können Bürobereiche in den Parlamentsgebäuden, Ausschusslokale und speziell zur Bearbeitung und Aufbewahrung von klassifizierten Informationen vorgesehene Bereiche sowie die diese jeweils unmittelbar umgebenden Bereiche festgelegt werden.
(2) Als besonders geschützte Bereiche im Sinne des § 20 Z 2 und 3 InfOG können Bereiche innerhalb von Verwaltungsbereichen festgelegt werden, sofern durch entsprechende Vorkehrungen, insbesondere durch Schließanlage oder elektronische Zutrittskontrolle sichergestellt ist, dass nur speziell ermächtigte Personen diesen Bereich selbständig betreten können.
Aufbewahrung und Bearbeitung
§ 6. (1) Klassifizierte Informationen sind der jeweiligen Klassifizierungsstufe entsprechend gesichert in versperrten Behältnissen aufzubewahren. Dabei erfolgt die Aufbewahrung klassifizierter Informationen
- 1. der Stufe 1 im Verwaltungsbereich in einem geeigneten, verschließbaren Büromöbel oder im besonders geschützten Bereich,
- 2. der Stufen 2 und 3 im besonders geschützten Bereich in einem Sicherheitsbehältnis oder Tresorraum,
- 3. der Stufe 4 im besonders geschützten Bereich in
- a) einem Sicherheitsbehältnis mit ständiger Bewachung oder Kontrolle oder mit zugelassener Einbruchsmeldeanlage in Verbindung mit Bereitschaftspersonal im Sicherheitsdienst oder
- b) einem mit einer Einbruchsmeldeanlage ausgestatteten Tresorraum in Verbindung mit Bereitschaftspersonal im Sicherheitsdienst.
(2) Klassifizierte Informationen der Stufe 1 dürfen für einen begrenzten Zeitraum auch außerhalb der geschützten Bereiche aufbewahrt werden, wenn die Beförderung in einer Verpackung erfolgt, die keine Rückschlüsse auf den Inhalt ermöglicht, und der Besitzer entsprechend der Sicherheitsbelehrung gemäß § 2 einen vergleichbaren Sicherheitsstandard wie in den geschützten Bereichen garantiert.
(3) Die Bearbeitung klassifizierter Informationen erfolgt grundsätzlich in geschützten Bereichen, wobei die Bearbeitung klassifizierter Informationen
- 1. bis zur Stufe 2 im Verwaltungsbereich zulässig ist, sofern sie vor dem Zugang Unbefugter geschützt werden,
- 2. der Stufe 3 und 4 ausschließlich im besonders geschützten Bereich erfolgt.
(4) Klassifizierte Informationen bis zur Stufe 2 dürfen außerhalb der geschützten Bereiche bearbeitet werden, wenn
- 1. die Beförderung in einer Verpackung erfolgt, die keine Rückschlüsse auf den Inhalt ermöglicht, und der Besitzer entsprechend der Sicherheitsbelehrung gemäß § 2 einen vergleichbaren Sicherheitsstandard wie in den geschützten Bereichen garantiert, sowie
- 2. bei klassifizierten Informationen der Stufe 2 der Besitzer die klassifizierte Information jederzeit unter persönlicher Kontrolle hält.
(5) In der Öffentlichkeit sollen klassifizierte Informationen nicht gelesen oder erörtert werden.
Verteilung und Beförderung
§ 7. (1) Die Verteilung von EU-Verschlusssachen der Stufe 1 erfolgt durch die Datenbanken gemäß § 2 Abs. 2 und 3 des EU-Informationsgesetzes, BGBl. I Nr. 113/2011.
(2) Die Verteilung und Beförderung von klassifizierten Informationen erfolgt mit Ausnahme der Fälle des § 6 Abs. 2 und 4 ausschließlich durch die Registraturen gemäß § 21 InfOG.
(3) Klassifizierte Informationen der Stufe 2 oder höher sind gegen Empfangsbestätigung zu übergeben. Die Übermittlung hat durch Personen zu erfolgen, die für die betreffende Klassifizierungsstufe ermächtigt sind.
(4) Für die Beförderung innerhalb und zwischen der dem Parlament zugehörigen Gebäude sind klassifizierte Informationen der Stufen 1, 2 und 3 so zu verpacken, dass keine Rückschlüsse auf ihren Inhalt möglich sind. Klassifizierte Informationen der Stufe 4 sind in einem gesicherten Umschlag zu befördern.
Mündliche Übermittlung
§ 8. (1) Klassifizierte Informationen der Stufen 2 und 3 dürfen nur in geschützten Bereichen und in Anwesenheit von Personen, die für die jeweilige Stufe berechtigt sind, mündlich übermittelt werden.
(2) Telefongespräche über diese Informationen dürfen ohne Maßnahmen gegen Abhören nur in außergewöhnlichen und dringenden Fällen geführt werden. In diesen Fällen sind die Gespräche so vorsichtig zu führen, dass der Sachverhalt Dritten nicht verständlich wird.
(3) Bei der mündlichen Übermittlung von klassifizierten Informationen der Stufe 4 sind zusätzlich Maßnahmen gegen Abhören zu treffen.
Elektronische Verarbeitung
§ 9. (1) Bei der elektronischen Verarbeitung klassifizierter Informationen der Stufe 1 soll sichergestellt werden, dass die im InfOG und in der Maßnahmenbeschreibung gemäß Abs. 2 beschriebenen Sicherheitsstandards eingehalten werden, damit klassifizierte Informationen nicht an Personen gelangen, die über keine Berechtigung gemäß den §§ 12 bis 16 InfOG verfügen. Dazu dienen entsprechende Belehrungen der berechtigten Personen. Klassifizierte Informationen der Stufe 2 oder höher dürfen nicht elektronisch verarbeitet werden.
(2) Die Sicherungsmaßnahmen sind abhängig vom Ausmaß der Vernetzung, von den Speichermöglichkeiten und den örtlichen Gegebenheiten. Ihre konkrete Festlegung und Aktualisierung erfolgt anhand einer von der Parlamentsdirektion und den Klubs gemeinsam erarbeiteten Maßnahmenbeschreibung, die jedenfalls Folgendes zu beinhalten hat:
- 1. Es müssen entsprechende Vorkehrungen zur Erkennung von Schadsoftware getroffen werden. Jedes IKT-System muss geeignete Schutzmaßnahmen vor anderen, möglicherweise unsicheren Netzwerken oder verbundenen Computern treffen.
- 2. Die Übermittlung klassifizierter Informationen der Stufe 1 (elektronischer Transport oder Transport auf externen Datenträgern außerhalb geschützter Bereiche) hat grundsätzlich mittels kryptographischer Produkte und Verfahren zu erfolgen. Unverschlüsselte Dateinamen, Überschriften und Beschriftungen etc. dürfen dabei keine Rückschlüsse auf die klassifizierten Inhalte zulassen.
- 3. Findet die Übertragung innerhalb geschützter Bereiche statt, kann von einer Verschlüsselung abgesehen werden.
- 4. Findet die Übertragung außerhalb geschützter Bereiche statt, ist entweder eine Sicherung des Übertragungsweges mit kryptographischen Maßnahmen oder eine Ende-zu-Ende-Verschlüsselung vorzusehen. Beim Ausdruck klassifizierter Dokumente ist darauf zu achten, dass der Zugang zum Ausdruck nur für berechtigte Personen möglich sein darf und dass die Kennzeichnung gemäß § 4 erfolgt.
(3) In IKT-Systemen ist sicherzustellen, dass der Zugriff zu nicht-öffentlichen oder klassifizierten Informationen nur unter der Voraussetzung der §§ 12 bis 16 InfOG erfolgt. Für jedes IKT-System, in dem nicht-öffentliche oder klassifizierte Informationen verarbeitet werden, ist ein entsprechender Zugriffsschutz auf das System sicherzustellen. Jeder Benutzer muss eindeutig identifiziert werden.
Registrierung
§ 10. (1) Klassifizierte Informationen der Klassifizierungsstufen 2, 3 und 4 sind zu registrieren. Die Registrierung erfolgt in dafür vorgesehenen Geschäftsbüchern, die nach Klassifizierungsstufen zu unterscheiden sind. Jede Registratur gemäß § 21 InfOG führt eigene Geschäftsbücher, die ausschließlich für ihren Bereich verwendet werden.
(2) Die Geschäftsbücher gemäß Abs. 1 sind mit einer eigenen Klassifizierungsstufe zu versehen. Geschäftsbücher, in denen Informationen der Klassifizierungsstufen 2 oder 3 registriert werden, sind zumindest mit der Klassifizierungsstufe 1 zu versehen. Geschäftsbücher, in denen Informationen der Klassifizierungsstufe 4 registriert werden, sind mit der Klassifizierungsstufe 3 zu versehen.
(3) Zu registrieren sind die Erstellung oder der Empfang einer registrierungspflichtigen klassifizierten Information sowie deren Vervielfältigung, Übersetzung, Verteilung, Rückgabe, Umstufung, Freigabe und Vernichtung.
(4) Jede registrierungspflichtige klassifizierte Information ist mit einer eigenen Geschäftszahl zu versehen. Festzuhalten sind jedenfalls das Erstellungs- oder Eingangsdatum, der Urheber, der Gegenstand und die Klassifizierungsstufe, die jeweilige Nummer der Kopie, der Name des Empfängers sowie das Datum der Übermittlung, Rückgabe, Umstufung, Freigabe und Vernichtung.
(5) Bei einer Umstufung hat die Registrierung in den Geschäftsbüchern sowohl der bisherigen als auch der neuen Klassifizierungsstufe zu erfolgen. Empfänger einer registrierten klassifizierten Information sind von der Umstufung oder Freigabe zu informieren.
(6) Werden EU-Verschlusssachen der Klassifizierungsstufe „Très Secret UE/EU Top Secret“ von einer anderen Stelle als der Zentralregistratur im Bundesministerium für europäische und internationale Angelegenheiten übermittelt, so ist diese davon unverzüglich nachweislich in Kenntnis zu setzen.
Kopien und Übersetzungen
§ 11. (1) Kopien und Übersetzungen von klassifizierten Informationen der Stufe 2 oder höher sind nur von der zuständigen Registratur in besonders geschützten Bereichen anzufertigen. Jede Kopie ist als solche zu kennzeichnen und durch die jeweilige Nummer der Kopie zu individualisieren.
(2) Die Anfertigung von Kopien oder Übersetzungen von klassifizierten Informationen der Stufe 4 ist nur mit vorheriger schriftlicher Zustimmung des Urhebers erlaubt.
(3) Die Anfertigung von Abschriften von klassifizierten Informationen der Stufe 2 oder höher und die Erstellung von Notizen über den die Klassifizierung begründenden Inhalt sind mit Ausnahme der Fälle des § 21 Abs. 1 Z 2 der Anlage 1 zum Geschäftsordnungsgesetz 1975 nicht zulässig.
(4) Die für das Original einer klassifizierten Information geltenden Bestimmungen finden auf Kopien, Notizen und Übersetzungen Anwendung.
Vernichtung
§ 12. (1) Klassifizierte Informationen sind mittels geeigneter Verfahren zu vernichten. Registrierungspflichtige klassifizierte Informationen werden ausschließlich von der zuständigen Registratur vernichtet.
(2) Über die Vernichtung registrierungspflichtiger klassifizierter Informationen ist ein Vernichtungsprotokoll anzulegen, das anstelle der vernichteten klassifizierten Information aufzubewahren ist. Vernichtungsprotokolle für klassifizierte Informationen der Stufen 2 und 3 sind mindestens fünf Jahre, Vernichtungsprotokolle für klassifizierte Informationen der Stufe 4 mindestens zehn Jahre aufzubewahren.
Dienstanweisungen
§ 13. Durch entsprechende Dienstanweisungen sind insbesondere festzulegen:
- 1. Verwaltungsbereiche und besonders geschützte Bereiche sowie die Verwaltung der jeweiligen Schlüssel und Codes in Absprache mit den über die jeweiligen Räume Verfügungsberechtigten,
- 2. Muster für den Nachweis der Sicherheitsbelehrung, die Registrierungsinformationen, die Empfangsbestätigung und das Vernichtungsprotokoll,
- 3. zusätzliche Angaben über den Empfänger, insbesondere die Bezeichnung des Klubs, der Fraktion oder der Parlamentsdirektion zur individuellen Kennzeichnung von Kopien gemäß § 4.
Bures
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)