Update 19.12.2018: Beschluss im Bundesrat erfolgt

21.11.2018 Regierungsvorlage abrufbar

Seit 19.9.2018 liegt ein Ministerialentwurf für ein Netz- und Informationssystemsicherheitsgesetz ("NISG") beim Parlament zur Begutachtung auf. Die Begutachtungsfrist endet am 31.10.2018.

Mit dem NISG wird die EU-Richtlinie 2016/1148 "über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" umgesetzt. 

Ausserhalb des öffentlichen Bereichs und von kritischer Infrastruktur wie Strom- und Wasserversorgern etc ist das Gesetz vor allem für Anbieter digitaler Dienste interessant, die folgendes betreiben:

  • Online - Marktplatz
  • Online-Suchmaschine
  • Cloud-Computing-Dienst

 Vorgesehen ist u.a. die Verpflichtung geeignete Sicherheitsvorkehrungen unter Berücksichtigung des Stands der Technik zu treffen, die ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Für Normunterworfene besteht somit eine Überschneidung zu u.a. Art 32 DSGVO. 

Interessant ist folgender Unterschied des Richtlinienwortlauts zum vorliegenden Gesetzesentwurf:

Art 16 Abs 1 der RL lautet:

(1)   Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie im Rahmen der Bereitstellung der in Anhang III aufgeführten Dienste innerhalb der Union nutzen, zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:

a)

Sicherheit der Systeme und Anlagen,

b)

Bewältigung von Sicherheitsvorfällen,

c)

Business continuity management,

d)

Überwachung, Überprüfung und Erprobung,

e)

Einhaltung der internationalen Normen.

 

§ 18 Abs 1 des Entwurf zum NISG lautet  hingegen:

§ 18. (1) Anbieter digitaler Dienste haben in Hinblick auf die von ihnen betriebenen digitalen Dienste (§ 3 Z 9) geeignete Sicherheitsvorkehrungen zur Gewährleistung der NIS (§ 3 Z 2) zu treffen. Diese Vorkehrungen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:

           a) Sicherheit der Systeme und Anlagen,

          b) Bewältigung von Sicherheitsvorfällen,

           c) Betriebskontinuitätsmanagement,

          d) Überwachung, Überprüfung und Erprobung,

           e) Einhaltung der internationalen Normen.

 


Die Richtlinie stellt somit auf die Verhältnismäßigkeit der Maßnahmen ab, wohingegen der Entwurf zum NISG dies nicht ausdrücklich anführt.

In der Richtlnien ist von "technischen und organisatorischen Maßnahmen" die Rede, somit "TOM", die bereits u.a. durch Art 32 DSGVO bekannt sind.

Art 32 Abs 1 DSGVO lautet:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

 

Auch in der DSGVO wird nicht explizit die Verhältnismäßigkeit der Maßnahmen angeführt.

 

Offen ist somit, aus welchem Grund der österr. Gesetzgeber den Terminus "technische und organisatorische Maßnahmen" durch "geeignete Sicherheitsvorkehrungen" tauscht und ob gem. dem österr. NISG-Entwurf die Verhältnismäßigkeit der Maßnahmen in die Beurteilung der Notwendigkeit von Maßnahmen einzufließen hat, dies v..a in Hinblick auf die Kosten von möglichen Sicherheitsvorkehrungen. Vorkehrungen müssen jedenfalls dem Risiko angemessen sein.

Anzumerken ist in diesem Zusammenhang, dass gem. Art 16 Abs 1 das Kapitel V der Richtlinie (und damit Art 16) nicht für Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gilt. Diese Einschränkung wurde durch § 3 Z 10 Entwurf NISG im Wesentlichen übernommen:

Anbieter digitaler Dienste“ eine juristische Person

                a) mit Hauptniederlassung in Österreich oder

               b) ohne Hauptniederlassung in der Europäischen Union, die einen Vertreter (Z 11) namhaft gemacht hat,

und einen digitalen Dienst (Z 9) in Österreich anbietet und kein Kleinstunternehmen oder kleines Unternehmen im Sinne von Art. 1 und Art. 2 Abs. 2 und 3 des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, ist;

Weiters können gem. Art 3 der RL die Mitgliedsstaaten Bestimmungen erlassen oder aufrechterhalten, mit denen ein höheres Sicherheitsniveau von Netz- und Informationssystemenen (Anm.: als jenes der RL ) erricht werden soll.

 

Verstöße gegen das NISG können laut Entwurf mit Verwaltungsstrafe bis zu EUR 50.000,00, im Wiederholungsfall bis zu EUR 100.000,00 geahndet werden. Dazu gehören etwa u.a. folgende Verstöße :

  • Verstoß gegen die Pflicht Nachweise über geeignete Sicherheitsvorkehrungen dem Bundesministerium für Inneres ("BMI") auf dessen Verlangen vorzulegen (siehe u.a. § 18 Abs 4 für die Voraussetzungen des Verlangens),

 

  • Verweigerung der Einschau in die Netz- und Informationssysteme durch das BMI (siehe u.a. § 18 Abs 4 für die Voraussetzungen einer Einschau),

 

  • Nicht fristgerechte Umsetzung von bescheidmäßig angeordneteten Empfehlungen des BMI (siehe § 18 Abs 4 für die Voraussetzungen)

 

  • Verstoß gegen die Meldepflicht  von Sicherheitsvorfällen gem. § 18 Abs 2 NISG (siehe u.a. §§ 3, 16, 18 Abs 4 für die Voraussetzungen)

 

Somit bestehen auch hinsichtlich der Meldepflichten Überschneidungen mit der DSGVO (Art 33, 34 DSGVO).

 

Weder die Richtlinie noch der Entwurf zum NISG enthalten konkrete Angaben zu Sicherheitsvorkehrungen, wie etwa ISO Standards oä. 

Gem. § 5 Z 4 des Entwurfs obliegt dem Bundesminister für Inneres die "Erstellung und Weitergabe von zur Gewährleistung der Sicherheit von Netz- und Informationssystemen relevanten Informationen zur Vorbeugung von Sicherheitsvorfällen (§ 3 Z 6).

Zur Umsetzung in der BRD siehe u.a. https://www.bsi.bund.de/DE/DasBSI/NIS-Richtlinie/NIS_Richtlinie_node.html

 

Für weitergehende Fragen/Antworten kontaktieren Sie uns.

Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.

 

Wir stehen in ständiger Kooperation mit IT-Sachverständigen

  • IT Litigation
  • Vertragswesen