Sicherheit und Integrität von Netzen und Diensten
Mitteilungen über Vorfälle mit beträchtlichen Auswirkungen auf die Verfügbarkeit von Kommunikationsnetzen oder -diensten
Gemäß § 16a Abs 5 TKG 2003 haben Betreiber öffentlicher Kommunikationsnetze oder -dienste der Regulierungsbehörde Sicherheitsverletzungen oder einen Verlust der Integrität in der von der Regulierungsbehörde vorgeschriebenen Form mitzuteilen, sofern dadurch beträchtliche Auswirkungen auf den Netzbetrieb oder die Dienstebereitstellung eingetreten sind.
Die Regulierungsbehörde orientiert sich bei der Anwendung dieser Bestimmung an den Vorgaben, die in dem von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) veröffentlichten Dokument Technical Guideline on Reporting Incidents festgelegt sind. Dies betrifft insbesondere die Abgrenzung, unter welchen Voraussetzungen die Auswirkungen eines Vorfalls so beträchtlich sind, dass der Vorfall der Regulierungsbehörde mitgeteilt werden muss. Ob eine Mitteilungspflicht besteht, hängt einerseits von der Erreichbarkeit von Notrufnummern, andererseits von der Dauer des Vorfalls und von der Anzahl der betroffenen Teilnehmer in der jeweiligen Dienstekategorie ab, wobei zwischen den Dienstekategorien Festnetztelefonie, Mobiltelefonie, feste bzw. mobile Internetzugänge und Nachrichtendienste unterschieden wird.
- Ein Vorfall ist jedenfalls mitzuteilen, wenn eine Notrufnummer aus einem Kommunikationsnetz für mehrere Teilnehmer eines verfügbaren öffentlichen Telefondienstes nicht erreichbar ist.
- Andernfalls ist ein Vorfall dann mitzuteilen, wenn er mehr als x Stunden dauert und mehr als y Teilnehmer der jeweiligen Dienstekategorie betrifft. Die Werte x (Dauer) und y (Teilnehmeranzahl) ergeben sich dabei aus folgender Tabelle:
| Dienstekategorie / Dauer | >1h | >2h | >4h | >6h | >8h |
|---|---|---|---|---|---|
| Festnetztelefonie | 420.000 | 280.000 | 140.000 | 60.000 | 30.000 |
| Mobilnetztelefonie | 1.900.000 | 1.300.000 | 600.000 | 300.000 | 100.000 |
| feste bzw. mobile Internetzugänge | 790.000 | 530.000 | 260.000 | 110.000 | 50.000 |
| Nachrichtendienste | 1.900.000 | 1.300.000 | 600.000 | 300.000 | 100.000 |
Beispiel: Dauert der Ausfall eines Festnetz-Telefoniedienstes 1:45 Stunden, so ist der Wert in der Spalte "> 1 h" anzuwenden. Der Ausfall ist also der Regulierungsbehörde mitzuteilen, wenn mehr als 420.000 Teilnehmer davon betroffen sind.
Für die Mitteilung ist bis auf weiteres das von dieser Seite aus abrufbare Formular zu verwenden. Die Mitteilung hat unverzüglich per E-Mail an die Adresse nis @ rtr.at zu erfolgen, damit die Regulierungsbehörde ohne Aufschub tätig werden kann. Informationen, die zum Zeitpunkt der Mitteilung noch nicht verfügbar sind, können zu einem späteren Zeitpunkt nachgereicht werden.
Maßnahmen zur Gewährleistung der Sicherheit und der Integrität von Netzen und Diensten
Gemäß § 16a Abs 1 TKG 2003 haben Betreiber öffentlicher Kommunikationsnetze geeignete Maßnahmen zur Gewährleistung der Integrität ihrer Netze zu ergreifen und die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicher zu stellen. Gemäß § 16a Abs 2 TKG 2003 haben Betreiber öffentlicher Kommunikationsnetze oder -dienste unter Berücksichtigung des Standes der Technik durch angemessene technische und organisatorische Maßnahmen ein Sicherheitsniveau zu gewährleisten, das zur Beherrschung der Risiken für die Netzsicherheit geeignet ist. Die Maßnahmen müssen insbesondere geeignet sein, Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze zu vermeiden bzw. so gering wie möglich zu halten.
Mit diesen Vorschriften werden Bestimmungen des Unionsrechts in österreichisches Recht umgesetzt. Zur Konkretisierung dieser Bestimmungen hat die ENISA gemeinsam mit den Mitgliedstaaten der EU das Dokument Technical Guideline for Minimum Security Measures verfasst, das die zu ergreifenden Maßnahmen in verschiedene Bereiche und Teilbereiche gliedert. Betreibern wird empfohlen, sich bei der Auswahl ihrer Sicherheitsmaßnahmen an diesem Dokument zu orientieren.
Gemäß § 16a Abs 9 TKG 2003 legt der Bundesminister für Verkehr, Innovation und Technologie nach Anhörung der Regulierungsbehörde unter Bedachtnahme auf die relevanten internationalen Vorschriften mit Verordnung die näheren Bestimmungen zur Umsetzung des § 16a fest. Da die Technical Guideline for Minimum Security Measures die Harmonisierung des Sicherheitsniveaus zum Ziel hat und von den Mitgliedstaaten der EU getragen wird, ist zu erwarten, dass der Inhalt des Dokuments in einer Verordnung des BMVIT nach § 16a Abs 9 TKG 2003 berücksichtigt wird.
- [DOC] Mitteilungsformular_V01 - 142 kB
- [PDF] Technical_Guideline_on_Reporting_Incidents - 1467.4 kB
- [PDF] Technical_Guideline_for_Minimum_Security_Measures - 931.4 kB