Newsletter RTR.Telekom.Post

  • Newsletter
    02/2022
  • Datum
    01.07.2022

Netzsicherheitsbeirat – Hersteller stärker im Fokus

Das im November vergangenen Jahres in Kraft getretene Telekommunikationsgesetz (TKG 2021) wartet im Bereich Netzsicherheit mit einer wesentlichen Neuerung auf. Galt der Schwerpunkt der gesetzlichen Auflagen im TKG bislang vorrangig den Netzbetreibern und Diensteanbietern, so sollen nunmehr auch die Hersteller von Netzequipment stärker in die Pflicht genommen werden. Eine tragende Rolle kommt einem neu einzurichtenden "Fachbeirat für Sicherheit in elektronischen Kommunikationsnetzen" zu.

Die Entwicklung hatte sich schon mit der auf europäischer Ebene erarbeiteten und im Jahr 2020 veröffentlichten Cybersecurity Toolbox angekündigt, einem Kompendium von Empfehlungen für die EU-Mitgliedsstaaten im Umgang mit Sicherheitsaspekten bei Roll-Out und Betrieb von 5G-Netzen. In den Dokumenten wird auch die Verantwortung von Herstellern thematisiert, die sich nun – losgelöst von 5G und technologieagnostisch – im TKG 2021 widerspiegelt. Kann ein Hersteller gewisse Kriterien, insbesondere im Bereich der Informationssicherheit und des Datenschutzes, nicht oder nicht ständig erfüllen, so besteht nunmehr die Möglichkeit, den betreffenden Hersteller als sogenannten "Hochrisikolieferanten" einzustufen und in seinen Möglichkeiten am österreichischen Markt einzuschränken.

Und hier kommt der eingangs erwähnte Netzsicherheitsbeirat ins Spiel. Zieht das zuständige Bundesministerium (derzeit BMLRT, zukünftig BMF) aus Gründen der nationalen Sicherheit die Einstufung eines Herstellers von Komponenten eines elektronischen Kommunikationsnetzes oder eines Bereitstellers von Dienstleistungen für solche Netze als Hochrisikolieferant in Erwägung, so hat sie vorher den Netzsicherheitsbeirat zu konsultieren, welcher binnen 12 Wochen ein Gutachten zu erstellen und an das Bundesministerium zu übermitteln hat. Eine allfällige Einstufung als Hochriskolieferant hätte seitens des verantwortlichen Bundesministeriums mittels Bescheid zu erfolgen, wobei das Gutachten des Netzsicherheitsbeirates im Ermittlungsverfahren zu berücksichtigen ist.

Drei Aspekte werden als wesentlich für die Beurteilung eines Herstellers herangezogen:

(1) Mängel in der Qualität der Produkte sowie bei den Cybersicherheitspraktiken des Herstellers, wobei insbesondere die Kontrolle über die eigene Zulieferkette und die Beachtung einschlägiger Sicherheitspraktiken und Schutzziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) genannt werden.
(2) Sicherheits- oder Datenschutz-Übereinkommen zwischen der EU und dem Sitzstaat des Lieferanten, sofern es sich dabei um einen Drittstaat handelt, wobei es insbesondere um die Vermeidung einer rechtswidrigen Übertragung von Benutzerdaten in Länder außerhalb der EU geht.
(3) Ausreichende Fähigkeit des Herstellers zur Gewährleistung einer durchgängigen Versorgung.

Neben der Erstellung von Gutachten im Zusammenhang mit einer Einstufung als Hochrisikolieferant, kommt dem Netzsicherheitsfachbeirat auch die Aufgabe der Beratung des zuständigen Bundesministeriums zu allgemeinen Aspekten der Sicherheit für Netze der elektronischen Kommunikation zu. Zu diesem Zwecke hat der Fachbeirat jährlich einen Wahrnehmungsbericht zu erstellen, der sich insbesondere der sicherheitstechnologischen Entwicklung von Netzkomponenten und von Dienstleistungen für Netze in- und außerhalb der Europäischen Union widmen soll.

Personell wird sich der Fachbeirat aus Expertinnen und Experten der heimischen TK-Branche zusammensetzen, wobei sich der institutionelle Bogen von Bundesministerien über Interessenvertretungen bis zur Forschung und CERT.at spannt. Die RTR-GmbH (Fachbereich Telekommunikation und Post) übernimmt den Vorsitz im Fachbeirat, führt dessen Geschäfte und nimmt die Aufgaben einer Geschäftsstelle wahr. Mit einer Konstituierung des Fachbeirates ist in den nächsten Monaten zu rechnen.


Gerne halten wir Sie am Laufenden!

Ich stimme der Verarbeitung meiner hier angegebenen E-Mail-Adresse laut den Bestimmungen zum Datenschutz ausdrücklich zu. Diese Zustimmung kann ich jederzeit widerrufen.