Das Netz- und Informationssystemsicherheitsgesetz

Seit Ende Dezember 2018 ist das Netz- und Informationssystemsicherheitsgesetz (NISG) in Kraft. Vielen Rechtsunterworfenen sind die neuen Bestimmungen jedoch (noch) nicht bekannt, obwohl diese auf zahlreiche Sektoren und Organisationen Anwendung finden.


Das NISG setzt die NIS-Richtlinie (EU) 2016/1148 auf österreichischer nationaler Ebene um. Das Gesetz beinhaltet Regelungen betreffend die Cybersicherheit auf EU- und nationalem Level und zielt darauf ab, ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu gewährleisten.

Das NISG unterscheidet zwischen “Betreiber wesentlicher Dienste“ sowie “Anbieter digitaler Dienste“ und “Einrichtungen der öffentlichen Verwaltung“ und sieht für diese bestimmte Pflichten vor.

Betreiber wesentlicher Dienste sind Einrichtungen mit Niederlassung in Österreich, die einen wesentlichen Dienst erbringen (§ 3 Z 10 NISG). Ein wesentlicher Dienst ist ein Dienst, der in einem der vorgenannten Sektoren erbracht wird und der eine wesentliche Bedeutung insbesondere für die Aufrechterhaltung des öffentlichen Gesundheitsdienstes, der öffentlichen Versorgung mit Wasser, Energie sowie lebenswichtigen Gütern, des öffentlichen Verkehrs oder die Funktionsfähigkeit öffentlicher Informations- und Kommunikationstechnologie hat und dessen Verfügbarkeit abhängig von Netz- und Informationssystemen ist (§ 3 Z 9 NISG). Umfasst sind Unternehmen in den Sektoren

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasserversorgung und
  • Digitale Infrastruktur

Wer Betreiber wesentlicher Dienst ist, wird durch Bescheid bestimmt.

Bei Anbietern digitaler Dienste handelt es sich um juristische Person, die einen der folgenden digitalen Dienste anbieten: Online Marktplatz, Online Suchmaschine, Cloud Computing-Dienst (§ 3 Z 13 NISG). Zu beachten ist, dass Kleinunternehmen mit weniger als 50 MitarbeiterInnen sowie einem jährlichen Umsatz von weniger als EUR 10.000.000,00 ausgenommen sind.

Letztlich bezieht sich das NISG auch auf Einrichtungen der öffentlichen Verwaltung. Dies sind nur Einrichtungen des Bundes und jener Länder, die von der Möglichkeit gemäß § 22 Abs. 5 NISG Gebrauch gemacht haben (§ 3 Z 19 NISG). Die Einrichtungen des Bundes sind legal definiert; umfasst sind daher die Bundesministerien, die Gerichtshöfe des öffentlichen Rechts, der Rechnungshof, die Volksanwaltschaft, die Präsidentschaftskanzlei und die Parlamentsdirektion; weitere Dienststellen des Bundes können vom zuständigen Bundesminister durch Verordnung bestimmt werden (§ 3 Z 18 NISG). Bis dato gibt es keine Landesgesetze, aufgrund derer weitere Einrichtungen unter diese Bestimmung fallen.

Wesentlich sind vorgenannte Einrichtungen verpflichtet, Sicherheitsvorfälle unverzüglich an das zuständige Computer-Notfallteam bzw. GovCERT zu melden, das diese Meldung unverzüglich an den Bundesminister für Inneres weiterleitet. Als meldepflichtige Sicherheitsvorfälle sind gemäß § 3 Z 6 NISG die Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen, die zu einer Einschränkung oder einem Ausfall der Verfügbarkeit des Dienstes mit erheblichen Auswirkungen geführt hat, einzustufen.

Die Konsequenzen im Fall eines Verstoßes gegen das NISG sind beachtlich; so droht eine Verwaltungsstrafe bis EUR 50.000,00; im Wiederholungsfall bis EUR 100.000,00 (§ 26 NISG).