Netzsicherheit und kritische Infrastrukturen


Die betreffenden Unternehmen

In Bezug auf das Gesetz vom 13. Juni 2005 über die elektronische Kommunikation (im Folgenden „Telekomgesetz“) müssen alle Betreiber ohne Ausnahme die Bestimmungen zur Netzsicherheit einhalten.

Was den elektronischen Kommunikationsbereich im Sinne des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen im Bereich der elektronischen Kommunikation (im Folgenden: das Gesetz über den Schutz kritischer Infrastrukturen) betrifft, unterliegen nur die von der sektoralen Behörde - in diesem Fall das BIPT für den Bereich der elektronischen Kommunikation - bestimmten kritischen Infrastrukturen diesem Recht.

Verpflichtungen in Bezug auf Sicherheitsmaßnahmen  

Das Telekomgesetz (siehe Artikel 114) definiert die Sicherheitsmaßnahmen, die Betreiber ergreifen müssen, sowohl für ein reibungsloses Funktionieren ihres Netzes und Dienstes (z.B. im Rahmen der Gefahr eines Stromausfalls) als zum Schutz von (personenbezogenen) Daten, die im Zusammenhang mit der Bereitstellung dieser Netze und Dienste behandelt werden.

Nach dem Gesetz über kritische Infrastrukturen (siehe Artikel 13) muss der Betreiber einer solchen Infrastruktur jedoch einen Sicherheitsplan entwickeln und einsetzen, der zumindest dauerhafte interne Sicherheitsmaßnahmen, die unter allen Umständen anwendbar sind, und abgestufte interne Sicherheitsmaßnahmen, die je nach Bedrohung anzuwenden sind, umfasst.

Meldeanforderungen für Vorfälle

Artikel 114/1 des Telekomgesetzes unterscheidet drei Meldungsannahmen von Sicherheitsvorfällen, die zu Lasten der Betreiber sind: 

1. Die Verpflichtung, das BIPT über ein besonderes Risiko der Verletzung der Netzsicherheit zu informieren;

2. Die Verpflichtung, dem BIPT eine Verletzung der Sicherheit oder einen Verlust der Integrität mitzuteilen, die bzw. der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte. Was unter „beträchtliche Auswirkungen“ zu verstehen ist und die Meldungsbedingungen wurden im Beschluss des Rates des BIPT vom 14.12.2017 festgelegt (siehe Rubrik „Meldung von Vorfällen und praktischen Informationen“);

3. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste übermittelt, gespeichert oder auf andere Weise verarbeitet wurden, muss der Betreiber die Datenschutzbehörde informieren, die selbst das BIPT unverzüglich darüber informieren muss. In bestimmten Fällen muss der Teilnehmer, der von dem Verstoß betroffen ist, ebenfalls informiert werden. Das BIPT und die Datenschutzbehörde arbeiten zusammen, um den Vorfall zu bewältigen.

Im Hinblick auf das Gesetz über kritische Infrastrukturen (siehe Artikel 14) hat der Betreiber eine Meldungspflicht, wenn ein Ereignis, das die Sicherheit der kritischen Infrastruktur beeinträchtigen könnte, auftritt.

Die Sicherheitsvorfälle werden vom BIPT durch sein eigenes, dafür geschaffenes Bereitschaftsteam behandelt.

Kontrolle und Sanktion

Das BIPT überwacht die Einhaltung der Rechtsvorschriften und deren Durchführungsmaßnahmen und verhängt gegebenenfalls Sanktionen.  Als solches wurde es als Kontrolldienst für den Bereich der elektronischen Kommunikation im Rahmen des Gesetzes über den Schutz kritischer Infrastrukturen bezeichnet. 

Rechtsrahmen

Die wichtigsten Bestimmungen zur Netzsicherheit sind:

1. bezüglich der Netzsicherheit im engeren Sinne:

a. die Artikel 114 bis 114/2 des Telekomgesetzes;

b. Beschluss des Rates des BIPT vom 14/12/2017 über die Schwellen und nähere Bedingungen für Meldung von Sicherheitszwischenfällen im Bereich der elektronischen Kommunikation

2. bezüglich der Verletzungen des Schutzes personenbezogener Daten:

a. die Artikel 2, 68° und 114 bis 114/2 des Telekomgesetzes;

b. die Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation)

3. ezüglich des Schutzes kritischer Infrastrukturen im Bereich der elektronischen Kommunikation:

a. das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen ;

b. der Ministerialerlass vom 17. Oktober 2011 über die Benennung der sektoralen Behörde für den elektronischen Kommunikationssektor;

c. der Ministerialerlass vom 17. April 2013 zur Abänderung des Ministerialerlasses vom 17. Oktober 2011 über die Benennung der sektoralen Behörde für den elektronischen Kommunikationssektor, im Sinne von Artikel 3, 3°, d des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen;

d. der Königliche Erlass vom 27. Mai 2014 zur Ausführung des Artikels 13 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen im Bereich der elektronischen Kommunikation