Für Anbieter digitaler Dienste
Informationen zum Netz- und Informationssystemsicherheitsgesetz (NISG) für Anbieter digitaler Dienste
Ein digitaler Dienst ist ein Dienst im Sinne des § 3 Z 1 E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001, bei dem es sich um einen Online-Marktplatz, eine Online-Suchmaschine oder einen Cloud-Computing-Dienst handelt, siehe § 3 Z 1 E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001.
Anbieter digitaler Dienste sind juristische Personen oder eingetragene Personengesellschaften, die einen digitalen Dienst in Österreich anbieten und eine Hauptniederlassung in Österreich haben oder einen Vertreter in Österreich namhaft gemacht haben.
Explizit ausgenommen sind natürliche Personen, Kleinstunternehmen und kleine Unternehmen (Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz beziehungsweise einer Jahresbilanz von unter 10 Millionen Euro).
Anbieter digitaler Dienste ohne Hauptniederlassung in der Europäischen Union sind verpflichtet, einen Vertreter in einem Mitgliedstaat namhaft zu machen. Dieser handelt im Auftrag des digitalen Diensteanbieters und ist die Kontaktstelle für die zuständigen Stellen in den Mitgliedstaaten, siehe Art. 2 Abs. 2 und 3 des "Anhangs der Empfehlung 2003/361/EG, ABl. Nr. L 124 vom 20. Mai 2003", S. 36.
Nein, Anbieter digitaler Dienste müssen sich nach dem NIS-Gesetz selbst identifizieren.
Anbieter digitaler Dienste haben in Hinblick auf die Netz- und Informationssysteme, die sie für die Bereitstellung des digitalen Dienstes nutzen, geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen. Diese haben unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, das dem bestehenden mit vernünftigem Aufwand feststellbaren Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:
- Sicherheit der Systeme und Anlagen,
- Bewältigung von Sicherheitsvorfällen,
- Betriebskontinuitätsmanagement,
- Überwachung, Überprüfung und Erprobung,
- Einhaltung der internationalen Normen.
Anbieter digitaler Dienste haben einen Sicherheitsvorfall, der einen digitalen Dienst betrifft, unverzüglich zu melden.
Zuständig für die Entgegennahme der Meldung ist das nationale Computer-Notfallteam; sollte kein nationales Computer-Notfallteam eingerichtet sein, das GovCERT. Die Meldung wird vom zuständigen Computer-Notfallteam an den Bundesminister für Inneres weitergeleitet.
Die Pflicht zur Meldung eines Sicherheitsvorfalls gilt nur, wenn der Anbieter digitaler Dienste Zugang zu Informationen hat, die benötigt werden, um die Auswirkung eines Sicherheitsvorfalls zu bewerten.
Anbieter digitaler Dienste unterliegen weniger strikten, reaktiven Aufsichtstätigkeiten, die durch die Art ihrer Dienste und Tätigkeiten gerechtfertigt sind.
Wenn dem Bundesminister für Inneres nachweisliche Umstände bekannt werden, dass ein Anbieter digitaler Dienste den Anforderungen aus dem NIS-Gesetz nicht nachkommt, ist er ermächtigt, zu verlangen, dass dieser Nachweise über geeignete Sicherheitsvorkehrungen erbringt.
Der Bundesminister für Inneres kann dazu Einschau in die Netz- und Informationssysteme, die für die Bereitstellung des digitalen Dienstes genutzt werden, und in diesbezügliche Unterlagen nehmen.
Ein Sicherheitsvorfall liegt vor, wenn eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen zu einer Einschränkung der Verfügbarkeit oder zu einem Ausfall des betriebenen Dienstes von erheblicher Auswirkung geführt hat. Der Dienst ist ein wesentlicher Dienst, ein digitaler Dienst oder ein wichtiger Dienst, den eine Einrichtung des Bundes erbringt.
Ein Sicherheitsvorfall kann neben Cyberangriffen oder Einwirkungen Dritter auch durch physische Ereignisse wie etwa Naturereignisse, aber auch durch Ereignisse wie zum Beispiel Stromausfälle oder das Verhalten eigener Mitarbeiter verursacht werden.
Bei der Beurteilung, ob eine Störung erhebliche Auswirkungen hat und somit einen Sicherheitsvorfall darstellt, sind insbesondere die Anzahl der betroffenen Nutzer, die Dauer der Störung, die geografische Ausbreitung der Störung sowie die Auswirkung auf wirtschaftliche oder gesellschaftliche Tätigkeiten zu berücksichtigen.
Im Falle von Anbietern digitaler Dienste sind die Parameter für die Feststellung erheblicher Auswirkungen eines Sicherheitsvorfalls in der Durchführungsverordnung (EU) 2018/151 festgelegt.
Ein Online-Marktplatz ermöglicht es Verbrauchern und Unternehmern, Kaufverträge oder Dienstleistungsverträge mit Unternehmern online abzuschließen und ist als solcher der endgültige Bestimmungsort für den Abschluss dieser Verträge.
Er erstreckt sich nicht auf Online-Dienste, die lediglich als Vermittler für Drittdienste fungieren und durch die letztlich ein Vertrag geschlossen werden kann. Er erstreckt sich deshalb nicht auf Online-Dienste, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.
Die von einem Online-Marktplatz bereitgestellten IT-Dienste können die Verarbeitung von Transaktionen, die Aggregation von Daten oder die Erstellung von Nutzerprofilen einschließen. Als Online-Stores tätige Application-Stores, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen, sind Online-Marktplätze im weiteren Sinn.
Eine Online-Suchmaschine ermöglicht es dem Nutzer, Suchen grundsätzlich auf allen Websites anhand einer Abfrage zu einem beliebigen Thema vorzunehmen. Sie kann alternativ dazu auf Websites in einer bestimmten Sprache beschränkt sein.
Die Definition des Begriffs "Online-Suchmaschine" erstreckt sich nicht auf Suchfunktionen, die auf den Inhalt einer bestimmten Website beschränkt sind, unabhängig davon, ob die Suchfunktion durch eine externe Suchmaschine bereitgestellt wird.
Sie erstreckt sich auch nicht auf Online-Dienste, die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten.
Cloud-Computing-Dienste umfassen eine breite Palette von Tätigkeiten, die auf unterschiedliche Weise erbracht werden können. Für die Zwecke der NIS-Richtlinie und dieses Bundesgesetzes sind unter dem Begriff "Cloud-Computing-Dienste" Dienste zu verstehen, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. Zu diesen Rechenressourcen zählen Ressourcen wie Netze, Server oder sonstige Infrastruktur, Speicher, Anwendungen und Dienste.
Der Begriff "skalierbar" bezeichnet Rechenressourcen, die unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Dienstes flexibel zugeteilt werden, damit Nachfrageschwankungen bewältigt werden können. Der Begriff "elastischer Pool" wird verwendet, um die Rechenressourcen zu beschreiben, die entsprechend der Nachfrage bereitgestellt und freigegeben werden, damit die verfügbaren Ressourcen je nach Arbeitsaufkommen rasch auf- bzw. abgebaut werden können. Der Begriff "gemeinsam nutzbar" wird verwendet, um die Rechenressourcen zu beschreiben, die einer Vielzahl von Nutzern bereitgestellt werden, die über einen gemeinsamen Zugang auf den Dienst zugreifen, wobei jedoch die Verarbeitung für jeden Nutzer separat erfolgt, obwohl der Dienst von derselben elektronischen Einrichtung erbracht wird.
Anbieter digitaler Dienste haben einen Sicherheitsvorfall, der einen von ihnen bereitgestellten digitalen Dienst betrifft, unverzüglich an das für sie zuständige Computer-Notfallteam zu melden, das die Meldung unverzüglich an den Bundesminister für Inneres weiterleitet.
Das zuständige Computer-Notfallteam ist das nationale Computer-Notfallteam.
Nationales Computer-Notfallteam:
CERT.at - Computer Emergency Response Team Austria
Webseite: www.cert.at
Telefon: +43 1 5056416 78
Verpflichtende und freiwillige NIS-Meldungen: nis.cert.at
E-Mail-Adresse für Sicherheitsvorfälle: reports@cert.at
E-Mail-Adresse für andere Anfragen: team@cert.at
Die Meldung muss sämtliche relevante Angaben zum Sicherheitsvorfall und den technischen Rahmenbedingungen, die zum Zeitpunkt der Erstmeldung bekannt sind, enthalten, insbesondere die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage.
Angaben über später bekanntgewordene Umstände zum Sicherheitsvorfall sind in Nachmeldungen und letztendlich in einer Abschlussmeldung ohne unangemessene weitere Verzögerung mitzuteilen. Die Meldung ist in einem standardisierten elektronischen Format zu übermitteln.
§ 23 des NISG ermöglicht es Betreibern wesentlicher Dienste, Anbietern digitaler Dienste und Einrichtungen der öffentlichen Verwaltung, Risiken und Vorfälle freiwillig an das zuständige Computer-Notfallteam zu melden. Der Meldeweg unterscheidet sich grundsätzlich nicht von jenem für eine verpflichtende Meldung, jedoch können freiwillige Meldungen auch zeitverzögert, aggregiert und ohne namentliche Nennung der Melder an das Bundesministerium für Inneres weitergeleitet werden.
Ab dem Zeitpunkt des Inkrafttretens des NISG müssen die Anbieter digitaler Dienste die vorgesehenen Sicherheitsvorkehrungen und die Meldepflichten im Hinblick auf die digitalen Dienste erfüllen.