Informationspflichten
§ 3.
(1) Bei Sicherheitsvorfällen, die zu beträchtlichen Auswirkungen auf die Sicherheit von elektronischen Kommunikationsnetzen oder -diensten geführt haben oder noch führen, haben Betreiber elektronischer Kommunikationsnetze und Anbieter elektronischer Kommunikationsdienste die Regulierungsbehörde unverzüglich ab Kenntnis des Vorfalls hiervon unter Übermittlung der im Hinblick auf die Datenlage verfügbaren Angaben gemäß Z 1 bis 14 in einem von der Regulierungsbehörde vorgegebenen elektronischen Format zu informieren („Erstmeldung“). Die Wiederherstellung der betroffenen Dienste ist der Regulierungsbehörde unverzüglich mitzuteilen. Darüber hinaus sind der Regulierungsbehörde in dem von ihr vorgegebenen elektronischen Format binnen maximal 24 Stunden ab Wiederherstellung der betroffenen Dienste folgende Informationen zu übermitteln („Folgemeldung“):
- 1. Datum und Uhrzeit des Beginns des Vorfalls;
- 2. Ursache des Vorfalls nach folgenden Kategorien: Naturereignis, menschliches Versagen, böswilliger Angriff, Systemfehler oder Drittversagen;
- 3. betroffenes Betriebsmittel (zB mobile Basisstation, Netzknoten, Home Subscriber Server, internationale Datenübertragungsanbindung);
- 4. betroffener Dienst (nach Kategorien: Festnetztelefonie, Mobiltelefonie, fester Internetzugang, mobiler Internetzugang) und zu Grunde liegende Technologie;
- 5. Anzahl der in der jeweiligen Dienstekategorie betroffenen Teilnehmer:
- a. bei Festnetztelefonie nach Anzahl der betroffenen Anschlüsse,
- b. bei Mobiltelefonie nach Anzahl der betroffenen aktivierten SIM-Karten,
- c. bei festen Internetzugängen nach Anzahl der betroffenen Anschlüsse,
- d. bei mobilen Internetzugängen nach Anzahl der betroffenen aktivierten SIM-Karten;
- 6. Auswirkungen auf die Erreichbarkeit von Notrufnummern (betroffene Notrufnummern, Anzahl der betroffenen Teilnehmer in der jeweiligen Dienstekategorie);
- 7. Anzahl der in allen Dienstekategorien insgesamt betroffenen Teilnehmer;
- 8. ergriffene Maßnahmen zur Behebung des Vorfalls und Wiederherstellung des Dienstes;
- 9. Vorgehen nach dem Vorfall (Risikominimierung in künftigen Fällen, Schätzung der Effizienz der ergriffenen Maßnahmen);
- 10. langfristig bedeutsame Erkenntnisse aus dem Vorfall;
- 11. Wiederherstellungszeitraum vom Beginn des Vorfalls bis zur Wiederherstellung des betroffenen Dienstes;
- 12. betroffene Zusammenschaltungen in Form der betroffenen Zusammenschaltungspartner und betroffenen Zusammenschaltungsstandorte;
- 13. Kurzbeschreibung und Analyse des Vorfalls;
- 14. gegebenenfalls Angaben über eine erfolgte oder geplante Information der Öffentlichkeit.
Erst- und Folgemeldungen sind über das Meldeportal der Regulierungsbehörde einzubringen. Bei den Erst- und Folgemeldungen muss der Einmelder auf einen allfälligen von ihm zuvor übermittelten Warnhinweis gemäß § 4 Bezug nehmen. Bei Nichtverfügbarkeit des Meldeportals der Regulierungsbehörde können Meldungen in Bezug auf einen Sicherheitsvorfall mit beträchtlichen Auswirkungen abweichend von dem in Satz 1 und 2 beschriebenen elektronischen Format erfolgen.
(2) Beträchtliche Auswirkungen liegen dann vor, wenn
- 1. der Vorfall bis zu einschließlich einer Stunde dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Abs. 1 Z 5 500 000 übersteigt oder
- 2. der Vorfall mehr als eine Stunde dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Abs. 1 Z 5 15% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 500 000 übersteigt oder
- 3. der Vorfall mehr als zwei Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Abs. 1 Z 5 10% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 250 000 übersteigt oder
- 4. der Vorfall mehr als vier Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Abs. 1 Z 5 5% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 150 000 übersteigt oder
- 5. der Vorfall mehr als sechs Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Abs. 1 Z 5 2% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 100 000 übersteigt oder
- 6. der Vorfall mehr als acht Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Abs. 1 Z 5 1% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 50 000 übersteigt oder
- 7. der Vorfall mehr als 16 Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Abs. 1 Z 5 10 000 übersteigt oder
- 8. eine Notrufnummer aus einem Kommunikationsnetz für Teilnehmer eines verfügbaren öffentlichen Telefondienstes nicht erreichbar ist oder der Telefondienst für den Teilnehmer nur teilweise verfügbar und mindestens eine Notrufnummer nicht erreichbar ist. Beträchtliche Auswirkungen liegen auch dann vor, wenn der Telefondienst der Notrufleitstelle, an der ein Notruf terminiert, für passive Gespräche nicht verfügbar ist, unabhängig davon, ob die Notrufnummer erreichbar ist oder nicht.
(3) Liegt die Bekanntgabe des Vorfalls im öffentlichen Interesse, haben Betreiber von Kommunikationsnetzen und -diensten auf Verlangen der Regulierungsbehörde unverzüglich die Öffentlichkeit darüber zu informieren. Bei Gefahr in Verzug kann die Regulierungsbehörde die Öffentlichkeit auch unmittelbar informieren.
(4) Die Regulierungsbehörde hat Daten zur Ermittlung der in Abs. 2 angeführten Schwellwerte auf ihrer Website zu veröffentlichen.
(5) Die Regulierungsbehörde hat eine erfolgte Mitteilung nach Abs. 1 unverzüglich an den Bundesminister für Inneres weiterzuleiten (§ 16a Abs. 5a TKG 2003, BGBl I Nr. 70/2003 idF BGBl I Nr. 23/2020).
Schlagworte
Kommunikationsdienst, Erstmeldung
Zuletzt aktualisiert am
08.07.2020
Gesetzesnummer
20011212
Dokumentnummer
NOR40224366
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)