Zum Menü springen Zum Inhalt springen Zum Footer springen Suchen Seite downloaden Seite teilen
Vorhaben

Netz- und Informationssystemsicherheitsverordnung – NISV

Recht und Sicherheit Energie, Infrastruktur und Mobilität Gesundheit Institutionen und öffentlicher Sektor Bundeskanzleramt UG 10 - Bundeskanzleramt
2022
Vorhaben zur Gänze erreicht

Finanzjahr: 2019

Inkrafttreten / Wirksamwerden: 2019

Nettoergebnis in Tsd. €: 0

Vorhabensart: Verordnung

Beitrag zu Wirkungszielen

Um die Verlinkung zwischen Wirkungsorientierter Steuerung und Wirkungsorientierter Folgenabschätzung darzustellen, wird angegeben, ob das Regelungs- beziehungsweise sonstige Vorhaben den Wirkungszielen eines Ressorts förderlich ist.

Das Bundeskanzleramt als inhaltlicher Impulsgeber, Koordinator und Brückenbauer. Angestrebte Wirkung: hoher Nutzen der Koordinationsleistungen des Bundeskanzleramts im Rahmen der Regierungs- und Europapolitik

Beitrag zu Globalbudget-Maßnahmen

Um die Verlinkung zwischen Wirkungsorientierter Steuerung und Wirkungsorientierter Folgenabschätzung darzustellen, wird angegeben, ob das Regelungs- beziehungsweise sonstige Vorhaben den Maßnahmen eines Ressorts förderlich ist.

Monitoring der bescheidmäßig erlassenen Sicherheitsvorkehrungen für BetreiberInnen wesentlicher Dienste durch die Behörde für strategische Netz- und Informationssystem-Sicherheit (NIS), damit entsprechend der EU-Richtlinie NIS bei sensiblen Infrastrukturen Österreichs (Wasser- und Energieversorgung, Bankwesen, digitale Dienste etc.) eine wirksame Widerstandskraft gegen Cyber-Bedrohungen aufgebaut werden kann.

Problemdefinition

Netz- und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der heutigen Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten ist es daher von entscheidender Bedeutung, dass sie verlässlich und sicher sind. Mit dem Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG), BGBl. I Nr. 111/2018, werden Maßnahmen festgelegt, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen der in den Anwendungsbereich fallenden Einrichtungen erreicht werden soll.
Mit dem vorliegenden Verordnungsvorhaben wird gemäß § 4 Abs. 2 des Netz- und Informationssystemsicherheitsgesetzes (NISG) ein Regelwerk für Kriterien für die Parameter zu Sicherheitsvorfällen gemäß § 3 Z 6 lit. a bis d NISG, nähere Regelungen zu den in § 2 NISG genannten Sektoren gemäß § 16 Abs. 2, die Sicherheitsvorkehrungen nach § 17 Abs. 1 NISG und die Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste gemäß § 20 Abs. 1 NISG geschaffen.

+ mehr lesen

Erläuterung des Zusammenhangs zwischen dem Vorhaben und mittel- und langfristigen Strategien des Ressorts/ obersten Organs bzw. der Bundesregierung

Die NISV führt einzelne Bestimmungen des NISG näher aus und dient somit der Umsetzung der RL (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union („NIS-RL“). Die NIS-RL war die wichtigste Maßnahme der Cybersicherheitsstrategie der EU aus dem Jahr 2013 und der erste horizontale Unionsrechtsakt über Cybersicherheit.

+ mehr lesen

Ziele des Vorhabens

Durch die Angabe von konkreten, nachvollziehbaren Zielen pro Vorhaben wird transparent dargestellt, welchen Zweck der staatliche Eingriff verfolgt.

Ziel 1: Umsetzung des NISG durch Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen für Betreiber wesentlicher Dienste

Beschreibung des Ziels

Monitoring der bescheidmäßig erlassenen Sicherheitsvorkehrungen für BetreiberInnen wesentlicher Dienste durch die Behörde, in der das Büro für strategische Netz- und Informationssystemsicherheit (NIS) eingerichtet ist, damit entsprechend der EU-Richtlinie NIS bei sensiblen Infrastrukturen Österreichs (Wasser und Energieversorgung, Bankwesen, digitale Dienste etc.) eine wirksame Widerstandskraft gegen Cyber-Bedrohungen aufgebaut werden kann. Wirkungsziel 3 des Bundesfinanzgesetz 2019 (BFG), Globalbudget 10.01 Steuerung, Koordination und Services.

Kennzahlen und Meilensteine des Ziels

Meilenstein 1: Betreiber wesentlicher Dienste, deren Sicherheitsvorfälle und Sicherheitsvorkehrungen sind rechtlich näher definiert

Ausgangszustand 2019:

Nähere Regelungen zu jedem in § 2 NISG genannten Sektor, insbesondere Teilsektoren, Bereiche, wesentliche Dienste sowie Arten von Einrichtungen, die als Betreiber wesentlicher Dienste in Frage kommen, sind nicht festgelegt. Konkrete Sicherheitsvorkehrungen im Bereich der Netz- und Informationssysteme, die von Betreibern wesentlicher Dienste nach dem NISG zu treffen sind, sind nicht festgelegt. Kriterien für Parameter zu Sicherheitsvorfällen, die von Betreibern wesentlicher Dienste nach dem NISG zu melden sind, liegen nicht vor. Es sind keine Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste festgelegt.

Zielzustand 2022:

Alle aufgrund des § 4 Abs. 2 NISG festzulegenden Kriterien bestehen.

Istzustand 2022:

Die näheren Regelungen zu jedem in § 2 NISG genannten Sektor, konkrete Sicherheitsvorkehrungen im Bereich der Netz- und Informationssysteme, die von Betreibern wesentlicher Dienste nach dem NISG zu treffen sind, Kriterien für Parameter zu Sicherheitsvorfällen, die von Betreibern wesentlicher Dienste nach dem NISG zu melden sind, und Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste wurden in der NISV festgelegt.

Datenquelle:
NISV

Zielerreichungsgrad des Meilensteins:

zur Gänze erreicht

Zugeordnete Ziel-Maßnahmen

Die Maßnahmen stellen die konkreten, geplanten Handlungen der öffentlichen Verwaltung dar. Die Ziele des Vorhabens sollen durch diese Tätigkeiten erreicht werden. Durch die Darstellung der Maßnahmen wird das „Wie“ der Zielerreichung transparent gemacht.

Festlegung näherer Regelungen zu jedem in § 2 NISG genannten Sektor

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Die NIS-Verordnung definiert die von ihr betroffenen Sektoren, die sich in die Sektoren Energie, Verkehr, Bankwesen, Finanzmarkinfrastruktur, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur gliedern.
Mit der Festlegung von Grenzwerten, bei deren Überschreitung ein Sicherheitsvorfall im Sinne des §3 Z 6 NISG, vorliegt und der meldepflichtig ist, soll eine hohe Netz- und Informationssystemsicherheit gewährleistet werden.
Bei der Festlegung des Grenzwertes wird auf die Zahl der Nutzer, die den jeweiligen Dienst in Anspruch nehmen, die Abhängigkeit anderer Sektoren von diesem Dienst oder Betreiber, dessen Marktanteil, dessen geographische Ausbreitung und die möglichen Auswirkungen von Sicherheitsvorfällen abgestellt.
Die §§ 17 oder 19 NISG sind nicht anwendbar, wenn für die Erbringung eines wesentlichen Dienstes Vorschriften zu Sicherheitsvorkehrungen oder zur Meldepflicht bestehen, die zumindest ein gleichwertiges Sicherheitsniveau gewährleisten. Diese Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste gemäß § 20 NISG werden festlegt.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Beschreibung der von Betreibern wesentlicher Dienste zu erbringenden Sicherheitsvorkehrungen

Beitrag zu Ziel 1

Beschreibung der Ziel-Maßnahme

Nach § 17 Abs. 1 NISG hat ein Betreiber eines wesentlichen Dienstes besondere Sicherheitsvorkehrungen zu treffen. Diese müssen geeignet sein und haben den Stand der Technik zu berücksichtigen. In der Anlage 1 zu dieser Verordnung werden die für die Gewährleistung eines hohen Sicherheitsstandards jedenfalls geeigneten Sicherheitsvorkehrungen angeführt. Diese reichen von Governance- und Risikomanagement, Sicherheitsarchitektur, Systemadministration, Erkennung- und Bewältigung von Vorfällen bis zu einem Krisenmanagement.

Zielerreichungsgrad der Ziel-Maßnahme:

zur Gänze erreicht

Finanzielle Auswirkungen des Bundes (Kalkulation)

Finanzielle Auswirkungen stellen die aufgrund des Regelungs- oder sonstigen Vorhabens anfallenden, monetär zum Ausdruck gebrachten, Auswirkungen dar.

In der folgenden Darstellung sehen Sie auf der rechten Seite die geplanten (Plan) und auf der linken Sie die tatsächlichen angefallenen Kosten (Ergebnis). Unter „Details“ finden Sie eine detaillierte Aufschlüsselung der finanziellen Auswirkungen. Mithilfe der Steuerungsleiste können Sie zwischen den Jahren wechseln beziehungsweise sich die Gesamtzahlen über alle Jahre hinweg ansehen.

Gesamt 2019 - 2022
2019
2020
2021
2022

Aufwände und Erträge – Nettoergebnis

Ergebnis

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Ergebnis

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Werkleistungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Betrieblicher Sachaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Transferaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Personalaufwand

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Sonstige Aufwendungen

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Aufwendungen gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Erträge gesamt

Ist

0

Tsd. Euro

Plan

0

Tsd. Euro

Beschreibung der finanziellen Auswirkungen

Finanzielle Auswirkungen im Zusammenhang mit der NISV sind in der WFA zum NISG abgeschätzt worden. Die Evaluierungsergebnisse zur WFA des NISG sind im vorliegenden Bericht enthalten.

In der Evaluierung behandelte Wirkungsdimensionen

Unternehmen
Gesamtwirtschaft
Kinder und Jugend
Konsumentenschutzpolitik
Soziales
Tatsächliche Gleichstellung von Frauen und Männern
Umwelt
Verwaltungskosten für Bürger:innen
Verwaltungskosten für Unternehmen
Unternehmen

Subdimension(en)

  • Sonstige wesentliche Auswirkungen

Durch die NISV werden keine Verwaltungskosten für die Betreiber wesentlicher Dienste verursacht. Die möglichen Auswirkungen sind bereits durch das NISG gegeben und wurden in der WFA zum NISG berücksichtigt. Abschätzungen zu eingetretenen Auswirkungen entlang von Wirkungsdimensionen sind in der Evaluierung der WFA zum NISG enthalten und gehen somit aus diesem Evaluierungsbericht 2022 hervor.

Gesamtbeurteilung

Die erwarteten Wirkungen des Gesamtvorhabens konnten zur Gänze erreicht werden, da alle Punkte des Gegenstands der NISV (§ 1 NISV) festgelegt wurden und sich als vollzugstauglich erwiesen haben. Mit der NISV konnte basierend auf § 4 Abs. 2 NISG ein Regelwerk für Kriterien für die Parameter zu Sicherheitsvorfällen gemäß § 3 Z 6 lit. a bis d NISG, nähere Regelungen zu den in § 2 NISG genannten Sektoren gemäß § 16 Abs. 2, die Sicherheitsvorkehrungen nach § 17 Abs. 1 NISG und die Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste gemäß § 20 Abs. 1 NISG geschaffen werden.

Die Parameter zu Sicherheitsvorfällen werden in den §§ 4 bis 10 NISV jeweils in den Abs 2 geregelt. Sie haben sich soweit als tauglich erwiesen, um die Information der Computer-Notfallteams und der zentralen Meldestelle im BMI bei schwerwiegenden Vorfällen zu gewährleisten.

Bei den näheren Regelungen zu den in § 2 NISG genannten Sektoren gemäß § 16 Abs. 2 NISG handelt es sich insbesondere um die wesentlichen Dienste, die in den §§ 4 bis 10 NISV jeweils in den Abs 1 festgelegt wurden und auf deren Basis die Betreiber wesentlicher Dienste ermittelt wurden. Es handelt sich dabei um die erstmalige rechtliche Festlegung von Schwellenwerten, um für die Daseinsvorsorge relevante Einrichtungen identifizieren zu können. Der Festlegung gingen umfangreiche Gespräche mit Sicherheits- und Branchenexperten sowie Regulatoren voraus. Die erfolgreiche Ermittlung der Betreiber wesentlicher Dienste (Stand Februar 2023: 99) und der Umstand, dass kein einziges Unternehmen ein Rechtsmittel gegen die Ermittlung erhoben hat, zeugen von der Akzeptanz und Tauglichkeit der festgelegten wesentlichen Diensten.

Die Sicherheitsvorkehrungen werden in § 11 iVm Anlage I NISV geregelt. Es handelt sich um Sicherheitsvorkehrungen, die nach dem Stand der Technik üblich sind und sich an internationalen und europäischen Standards orientieren. Insbesondere wurde auf dem Leitfaden der EU Agentur für Cybersicherheit (ENISA) und der NIS-Kooperationsgruppe „Reference document on security measures for Operators of Essential Services“ aufgebaut, um eine EU-weit einheitliche Anwendung zu gewährleisten. Um Betreiber bei der Umsetzung der Sicherheitsvorkehrungen zu unterstützen, haben das BKA und BMI im sogenannten „NIS Fact Sheet 9/2022“ die Sicherheitsvorkehrungen näher erläutert und mit nationalen, europäischen und internationalen Informationssicherheitsstandards gemappt sowie im „NIS Fact Sheet 3/2021“ die Darstellung und Dokumentation von Überprüfungen näher erläutert.

Die Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste gemäß § 20 Abs. 1 NISG sind Bestimmungen, um Doppelbelastungen zu vermeiden. Die §§ 17 oder 19 sind nicht anwendbar, wenn für die Erbringung eines wesentlichen Dienstes im Unionsrecht oder in Materiengesetzen, die auf unionsrechtlichen Bestimmungen beruhen, Vorschriften zu Sicherheitsvorkehrungen oder zur Meldepflicht bestehen, die zumindest ein gleichwertiges Sicherheitsniveau für Netz- und Informationssysteme gewährleisten, und der Bundeskanzler diese Vorschriften und deren Eignung mittels Verordnung im Einvernehmen mit dem Bundesminister für Inneres festlegt. Solche Bestimmungen wurden für die Sektoren Bankwesen (§ 6 Abs. 3 NISV), Finanzmarktinfrastrukturen (§ 7 Abs. 3 NISV) und Digitale Infrastruktur (für Telekomunternehmen; § 10 Abs. 3 NISV) eingeführt. Die unionsrechtliche Grundlage findet sich in Art 1 Abs 7 RL (EU) 2016/1148 und die Mitteilung der EU-Kommission COM(2017) 476 final.

Weiterführende Informationen zur Gesamtbeurteilung der NISV können der Evaluierung betreffend die WFA NISG entnommen werden. Diese Evaluierung ist im vorliegenden Evaluierungsbericht 2022 enthalten.

+ mehr lesen

Verbesserungspotentiale

Erste Erfahrungen in Zusammenhang mit dem Nachweis der Umsetzung der Sicherheitsvorkehrungen durch die Betreiber wesentlicher Dienste legen nahe, dass eine detailliertere Ausformulierung der Sicherheitsmaßnahmen in Anlage I die Umsetzung durch die Betreiber wesentlicher Dienste (zusammen mit den qualifizierten Stellen) und den Vollzug durch das BMI erleichtern könnte.

+ mehr lesen

Weitere Evaluierungen

Es werden keine weiteren Evaluierungen durchgeführt.

Weiterführende Informationen