BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2019

Ausgegeben am 25. Juli 2019

Teil II

226. Verordnung:

Verordnung über qualifizierte Stellen – QuaSteV

226. Verordnung des Bundesministers für Inneres zur Festlegung der Erfordernisse und besonderer Kriterien für qualifizierte Stellen nach dem Netz- und Informationssystemsicherheitsgesetz (Verordnung über qualifizierte Stellen – QuaSteV)

Auf Grund des § 5 Abs. 2 des Netz- und Informationssystemsicherheitsgesetzes (NISG), BGBl. I Nr. 111/2018, wird im Einvernehmen mit dem Bundesminister für EU, Kunst, Kultur und Medien verordnet:

Anwendungsbereich

§ 1. Mit dieser Verordnung werden jene Erfordernisse, die qualifizierte Stellen erfüllen müssen, um Betreiber wesentlicher Dienste im Hinblick auf die von ihnen betriebenen wesentlichen Dienste gemäß § 17 Abs. 3 NISG überprüfen zu können, sowie das Verfahren zur Feststellung qualifizierter Stellen festgelegt.

Begriffsbestimmungen

§ 2. Im Sinne dieser Verordnung bedeutet

1.

„Antragstellerin“: eine Einrichtung im Sinne des § 3 Z 11 NISG, die mit Bescheid als qualifizierte Stelle festgestellt werden möchte;

2.

„Aufgabenbereich“: jene Kategorien (Z 3) oder Sicherheitsmaßnahmen (Z 4), die eine qualifizierte Stelle in organisatorischer oder technischer Hinsicht überprüfen darf;

3.

„Kategorie“: der thematische Oberbegriff einer Sicherheitsmaßnahme oder mehrerer Sicherheitsmaßnahmen (Z 4) gemäß dem 3. Abschnitt in Verbindung mit der Anlage 1 der Netz- und Informationssystemsicherheitsverordnung (NISV), BGBl. II Nr. 215/2019;

4.

„Sicherheitsmaßnahme“: die einzelnen Sicherheitsmaßnahmen gemäß dem 3. Abschnitt in Verbindung mit der Anlage 1 NISV;

5.

„Prüfer“: eine natürliche Person, die im Rahmen einer Überprüfung (Z 7) in einem Vertragsverhältnis zu einer qualifizierten Stelle steht;

6.

„Fachbereich“: die organisatorische oder technische Ausrichtung eines Prüfers im Bereich der Sicherheit von Netz- und Informationssystemen;

7.

„Überprüfung“: die Durchführung eines Prüfprozesses bei einem Betreiber wesentlicher Dienste gemäß § 17 Abs. 3 NISG;

8.

„Prüfprozess“: eine systematische Vorgehensweise, die Sicherheitsvorkehrungen gemäß § 17 Abs. 1 NISG in organisatorischer oder technischer Hinsicht untersucht, samt inhaltlicher Aufarbeitung und Bewertung der Prüfdaten in einem Prüfbericht;

9.

„Prüfdaten“: die im Rahmen einer Überprüfung erhobenen und verarbeiteten Daten;

10.

„Werkzeug“: ein technisches Instrument oder Hilfsmittel, das für die Überprüfung herangezogen wird.

Erfordernisse einer qualifizierten Stelle

§ 3. (1) Qualifizierte Stellen müssen befähigte sicherheitsüberprüfte Prüfer (§ 4) einsetzen, Sicherheitsvorkehrungen (§ 5) treffen, geeignete Werkzeuge (§ 6) verwenden sowie einen geeigneten Prüf- (§ 7) und Meldeprozess (§ 8) anwenden, um in ihrem Aufgabenbereich gemäß § 9 Abs. 2 Überprüfungen vornehmen zu können.

(2) Qualifizierte Stellen haben eine Kontaktstelle für die Kommunikation mit dem Bundesminister für Inneres bekanntzugeben.

(3) Qualifizierte Stellen dürfen denselben Betreiber wesentlicher Dienste längstens zwei aufeinanderfolgende Perioden gemäß § 17 Abs. 3 erster Satz NISG überprüfen. Dies gilt nicht nach einer Unterbrechung der Prüfungstätigkeit für zumindest eine Periode.

(4) In einem jährlichen Statusbericht, der erstmalig ein Jahr nach Zustellung des Bescheids gemäß § 9 Abs. 2 dem Bundesminister für Inneres zu übermitteln ist, ist in übersichtlicher Form über die Tätigkeiten der qualifizierten Stelle zu berichten. Der Statusbericht hat insbesondere die durchgeführten Überprüfungen, die eingesetzten Prüfer und die absolvierten Weiterbildungsmaßnahmen nach § 4 Abs. 5 zu enthalten.

Prüfer

§ 4. (1) Für jede Kategorie des jeweiligen Aufgabenbereichs muss die qualifizierte Stelle zumindest über einen Prüfer mit mehr als fünfjähriger und über zumindest zwei Prüfer mit mehr als dreijähriger einschlägiger Berufserfahrung im Bereich der Sicherheit von Netz- und Informationssystemen verfügen. Die Berufserfahrung ist anhand von Zeugnissen gemäß § 39 des Angestelltengesetzes, BGBl. Nr. 292/1921, oder in gleichwertiger Form nachzuweisen.

(2) Darüber hinaus ist die Befähigung der Prüfer gemäß Abs. 1 durch zumindest eine anerkannte Zertifizierung im Bereich der Sicherheit von Netz- und Informationssystemen in ihrem Fachbereich nachzuweisen.

(3) Prüfer müssen sich im Vorhinein einer Sicherheitsüberprüfung gemäß §§ 55 ff des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, für den Zugang zu geheimer Information unterziehen. Die Sicherheitsüberprüfung ist alle drei Jahre zu wiederholen.

(4) Prüfer dürfen für jenen Betreiber wesentlicher Dienste, den sie überprüfen, nicht gleichzeitig beratend tätig sein.

(5) Qualifizierte Stellen haben zu gewährleisten, dass sich ihre Prüfer in ihrem Fachbereich einer laufenden Weiterbildung durch entsprechende Weiterbildungsmaßnahmen unterziehen.

(6) Überprüfungen dürfen nur durch jene Prüfer vorgenommen werden, die von der qualifizierten Stelle gegenüber dem Bundesminister für Inneres bekannt gegeben wurden.

Sicherheitsvorkehrungen

§ 5. (1) Qualifizierte Stellen haben in Hinblick auf ihre Netz- und Informationssysteme, die sie im Zuge einer Überprüfung nutzen, technische und organisatorische Sicherheitsvorkehrungen zu treffen. § 17 Abs. 1 NISG gilt sinngemäß.

(2) Dem Bundesminister für Inneres sind die getroffenen Sicherheitsvorkehrungen nach Abs. 1 von der Antragstellerin in einer detaillierten Aufstellung nachzuweisen.

(3) Dem Bundesminister für Inneres sind die getroffenen Sicherheitsvorkehrungen nach Abs. 1 von der qualifizierten Stelle mindestens alle drei Jahre nach Zustellung des Bescheids gemäß § 9 Abs. 2 in einer detaillierten Aufstellung nachzuweisen.

Verwendete Werkzeuge

§ 6. (1) Qualifizierte Stellen haben für eine Überprüfung geeignete Werkzeuge zu verwenden, die den Stand der Technik berücksichtigen.

(2) Antragstellerinnen haben darzulegen, welche Werkzeuge für Überprüfungen verwendet werden sollen.

Prüfprozess

§ 7. (1) Qualifizierte Stellen haben für die Überprüfung einen geeigneten Prüfprozess anzuwenden, der den Stand der Technik berücksichtigt.

(2) Qualifizierte Stellen haben durch geeignete technische und organisatorische Maßnahmen zu gewährleisten, dass die Sicherheit der Prüfdaten ein dem Risiko angemessenes Schutzniveau erreicht.

(3) Antragstellerinnen haben den Prüfprozess systematisch in detaillierter und aussagekräftiger Form zu beschreiben und darzulegen, wie und in welcher Form Prüfdaten aufgearbeitet und bewertet werden sollen.

(4) Darüber hinaus haben Antragstellerinnen darzulegen, welche technischen und organisatorischen Maßnahmen im Sinne des Abs. 2 getroffen werden.

Meldeprozess

§ 8. (1) Qualifizierte Stellen haben bei Vorfällen, die ihre Netz- und Informationssysteme insoweit stören, als die Integrität oder Vertraulichkeit der Prüfdaten nicht mehr gewährleistet werden kann, einen geeigneten Meldeprozess anzuwenden.

(2) Antragstellerinnen haben den Meldeprozess systematisch zu beschreiben und darzulegen, wie ein Vorfall nach Abs. 1 an den Bundesminister für Inneres gemeldet wird.

Verfahren

§ 9. (1) Im Antrag an den Bundesminister für Inneres hat die Antragstellerin darzulegen, in welchem Aufgabenbereich sie als qualifizierte Stelle tätig werden möchte. Zudem hat sie schriftlich und durch entsprechende Belege nachzuweisen, dass sie die Erfordernisse nach § 3 Abs. 1 und 2 erfüllt.

(2) Im Bescheid des Bundesministers für Inneres ist auszusprechen, ob und für welchen Aufgabenbereich die Antragstellerin als qualifizierte Stelle tätig wird.

Personenbezogene Bezeichnungen

§ 10. In dieser Verordnung verwendete personenbezogene Bezeichnungen gelten gleichermaßen für alle Geschlechter.

Inkrafttreten

§ 11. Diese Verordnung tritt mit Ablauf des Tages der Kundmachung in Kraft.

Peschorn