226. Verordnung des Bundesministers für Inneres zur Festlegung der Erfordernisse und besonderer Kriterien für qualifizierte Stellen nach dem Netz- und Informationssystemsicherheitsgesetz (Verordnung über qualifizierte Stellen – QuaSteV)
Auf Grund des § 5 Abs. 2 des Netz- und Informationssystemsicherheitsgesetzes (NISG), BGBl. I Nr. 111/2018, wird im Einvernehmen mit dem Bundesminister für EU, Kunst, Kultur und Medien verordnet:Auf Grund des Paragraph 5, Absatz 2, des Netz- und Informationssystemsicherheitsgesetzes (NISG), Bundesgesetzblatt Teil eins, Nr. 111 aus 2018,, wird im Einvernehmen mit dem Bundesminister für EU, Kunst, Kultur und Medien verordnet:
Anwendungsbereich
§ 1.Paragraph eins,
Mit dieser Verordnung werden jene Erfordernisse, die qualifizierte Stellen erfüllen müssen, um Betreiber wesentlicher Dienste im Hinblick auf die von ihnen betriebenen wesentlichen Dienste gemäß § 17 Abs. 3 NISG überprüfen zu können, sowie das Verfahren zur Feststellung qualifizierter Stellen festgelegt. Mit dieser Verordnung werden jene Erfordernisse, die qualifizierte Stellen erfüllen müssen, um Betreiber wesentlicher Dienste im Hinblick auf die von ihnen betriebenen wesentlichen Dienste gemäß Paragraph 17, Absatz 3, NISG überprüfen zu können, sowie das Verfahren zur Feststellung qualifizierter Stellen festgelegt.
Begriffsbestimmungen
§ 2.Paragraph 2,
Im Sinne dieser Verordnung bedeutet
„Antragstellerin“: eine Einrichtung im Sinne des § 3 Z 11 NISG, die mit Bescheid als qualifizierte Stelle festgestellt werden möchte;„Antragstellerin“: eine Einrichtung im Sinne des Paragraph 3, Ziffer 11, NISG, die mit Bescheid als qualifizierte Stelle festgestellt werden möchte;
„Aufgabenbereich“: jene Kategorien (Z 3) oder Sicherheitsmaßnahmen (Z 4), die eine qualifizierte Stelle in organisatorischer oder technischer Hinsicht überprüfen darf;„Aufgabenbereich“: jene Kategorien (Ziffer 3,) oder Sicherheitsmaßnahmen (Ziffer 4,), die eine qualifizierte Stelle in organisatorischer oder technischer Hinsicht überprüfen darf;
„Kategorie“: der thematische Oberbegriff einer Sicherheitsmaßnahme oder mehrerer Sicherheitsmaßnahmen (Z 4) gemäß dem 3. Abschnitt in Verbindung mit der Anlage 1 der Netz- und Informationssystemsicherheitsverordnung (NISV), BGBl. II Nr. 215/2019;„Kategorie“: der thematische Oberbegriff einer Sicherheitsmaßnahme oder mehrerer Sicherheitsmaßnahmen (Ziffer 4,) gemäß dem 3. Abschnitt in Verbindung mit der Anlage 1 der Netz- und Informationssystemsicherheitsverordnung (NISV), Bundesgesetzblatt Teil 2, Nr. 215 aus 2019,;
„Sicherheitsmaßnahme“: die einzelnen Sicherheitsmaßnahmen gemäß dem 3. Abschnitt in Verbindung mit der Anlage 1 NISV;
„Prüfer“: eine natürliche Person, die im Rahmen einer Überprüfung (Z 7) in einem Vertragsverhältnis zu einer qualifizierten Stelle steht;„Prüfer“: eine natürliche Person, die im Rahmen einer Überprüfung (Ziffer 7,) in einem Vertragsverhältnis zu einer qualifizierten Stelle steht;
„Fachbereich“: die organisatorische oder technische Ausrichtung eines Prüfers im Bereich der Sicherheit von Netz- und Informationssystemen;
„Überprüfung“: die Durchführung eines Prüfprozesses bei einem Betreiber wesentlicher Dienste gemäß § 17 Abs. 3 NISG;„Überprüfung“: die Durchführung eines Prüfprozesses bei einem Betreiber wesentlicher Dienste gemäß Paragraph 17, Absatz 3, NISG;
„Prüfprozess“: eine systematische Vorgehensweise, die Sicherheitsvorkehrungen gemäß § 17 Abs. 1 NISG in organisatorischer oder technischer Hinsicht untersucht, samt inhaltlicher Aufarbeitung und Bewertung der Prüfdaten in einem Prüfbericht;„Prüfprozess“: eine systematische Vorgehensweise, die Sicherheitsvorkehrungen gemäß Paragraph 17, Absatz eins, NISG in organisatorischer oder technischer Hinsicht untersucht, samt inhaltlicher Aufarbeitung und Bewertung der Prüfdaten in einem Prüfbericht;
„Prüfdaten“: die im Rahmen einer Überprüfung erhobenen und verarbeiteten Daten;
„Werkzeug“: ein technisches Instrument oder Hilfsmittel, das für die Überprüfung herangezogen wird.
Erfordernisse einer qualifizierten Stelle
§ 3.Paragraph 3,
(1)Absatz eins,Qualifizierte Stellen müssen befähigte sicherheitsüberprüfte Prüfer (§ 4) einsetzen, Sicherheitsvorkehrungen (§ 5) treffen, geeignete Werkzeuge (§ 6) verwenden sowie einen geeigneten Prüf- (§ 7) und Meldeprozess (§ 8) anwenden, um in ihrem Aufgabenbereich gemäß § 9 Abs. 2 Überprüfungen vornehmen zu können.Qualifizierte Stellen müssen befähigte sicherheitsüberprüfte Prüfer (Paragraph 4,) einsetzen, Sicherheitsvorkehrungen (Paragraph 5,) treffen, geeignete Werkzeuge (Paragraph 6,) verwenden sowie einen geeigneten Prüf- (Paragraph 7,) und Meldeprozess (Paragraph 8,) anwenden, um in ihrem Aufgabenbereich gemäß Paragraph 9, Absatz 2, Überprüfungen vornehmen zu können.
(2)Absatz 2,Qualifizierte Stellen haben eine Kontaktstelle für die Kommunikation mit dem Bundesminister für Inneres bekanntzugeben.
(3)Absatz 3,Qualifizierte Stellen dürfen denselben Betreiber wesentlicher Dienste längstens zwei aufeinanderfolgende Perioden gemäß § 17 Abs. 3 erster Satz NISG überprüfen. Dies gilt nicht nach einer Unterbrechung der Prüfungstätigkeit für zumindest eine Periode.Qualifizierte Stellen dürfen denselben Betreiber wesentlicher Dienste längstens zwei aufeinanderfolgende Perioden gemäß Paragraph 17, Absatz 3, erster Satz NISG überprüfen. Dies gilt nicht nach einer Unterbrechung der Prüfungstätigkeit für zumindest eine Periode.
(4)Absatz 4,In einem jährlichen Statusbericht, der erstmalig ein Jahr nach Zustellung des Bescheids gemäß § 9 Abs. 2 dem Bundesminister für Inneres zu übermitteln ist, ist in übersichtlicher Form über die Tätigkeiten der qualifizierten Stelle zu berichten. Der Statusbericht hat insbesondere die durchgeführten Überprüfungen, die eingesetzten Prüfer und die absolvierten Weiterbildungsmaßnahmen nach § 4 Abs. 5 zu enthalten.In einem jährlichen Statusbericht, der erstmalig ein Jahr nach Zustellung des Bescheids gemäß Paragraph 9, Absatz 2, dem Bundesminister für Inneres zu übermitteln ist, ist in übersichtlicher Form über die Tätigkeiten der qualifizierten Stelle zu berichten. Der Statusbericht hat insbesondere die durchgeführten Überprüfungen, die eingesetzten Prüfer und die absolvierten Weiterbildungsmaßnahmen nach Paragraph 4, Absatz 5, zu enthalten.
Prüfer
§ 4.Paragraph 4,
(1)Absatz eins,Für jede Kategorie des jeweiligen Aufgabenbereichs muss die qualifizierte Stelle zumindest über einen Prüfer mit mehr als fünfjähriger und über zumindest zwei Prüfer mit mehr als dreijähriger einschlägiger Berufserfahrung im Bereich der Sicherheit von Netz- und Informationssystemen verfügen. Die Berufserfahrung ist anhand von Zeugnissen gemäß § 39 des Angestelltengesetzes, BGBl. Nr. 292/1921, oder in gleichwertiger Form nachzuweisen.Für jede Kategorie des jeweiligen Aufgabenbereichs muss die qualifizierte Stelle zumindest über einen Prüfer mit mehr als fünfjähriger und über zumindest zwei Prüfer mit mehr als dreijähriger einschlägiger Berufserfahrung im Bereich der Sicherheit von Netz- und Informationssystemen verfügen. Die Berufserfahrung ist anhand von Zeugnissen gemäß Paragraph 39, des Angestelltengesetzes, Bundesgesetzblatt Nr. 292 aus 1921,, oder in gleichwertiger Form nachzuweisen.
(2)Absatz 2,Darüber hinaus ist die Befähigung der Prüfer gemäß Abs. 1 durch zumindest eine anerkannte Zertifizierung im Bereich der Sicherheit von Netz- und Informationssystemen in ihrem Fachbereich nachzuweisen.Darüber hinaus ist die Befähigung der Prüfer gemäß Absatz eins, durch zumindest eine anerkannte Zertifizierung im Bereich der Sicherheit von Netz- und Informationssystemen in ihrem Fachbereich nachzuweisen.
(3)Absatz 3,Prüfer müssen sich im Vorhinein einer Sicherheitsüberprüfung gemäß §§ 55 ff des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, für den Zugang zu geheimer Information unterziehen. Die Sicherheitsüberprüfung ist alle drei Jahre zu wiederholen.Prüfer müssen sich im Vorhinein einer Sicherheitsüberprüfung gemäß Paragraphen 55, ff des Sicherheitspolizeigesetzes (SPG), Bundesgesetzblatt Nr. 566 aus 1991,, für den Zugang zu geheimer Information unterziehen. Die Sicherheitsüberprüfung ist alle drei Jahre zu wiederholen.
(4)Absatz 4,Prüfer dürfen für jenen Betreiber wesentlicher Dienste, den sie überprüfen, nicht gleichzeitig beratend tätig sein.
(5)Absatz 5,Qualifizierte Stellen haben zu gewährleisten, dass sich ihre Prüfer in ihrem Fachbereich einer laufenden Weiterbildung durch entsprechende Weiterbildungsmaßnahmen unterziehen.
(6)Absatz 6,Überprüfungen dürfen nur durch jene Prüfer vorgenommen werden, die von der qualifizierten Stelle gegenüber dem Bundesminister für Inneres bekannt gegeben wurden.
Sicherheitsvorkehrungen
§ 5.Paragraph 5,
(1)Absatz eins,Qualifizierte Stellen haben in Hinblick auf ihre Netz- und Informationssysteme, die sie im Zuge einer Überprüfung nutzen, technische und organisatorische Sicherheitsvorkehrungen zu treffen. § 17 Abs. 1 NISG gilt sinngemäß.Qualifizierte Stellen haben in Hinblick auf ihre Netz- und Informationssysteme, die sie im Zuge einer Überprüfung nutzen, technische und organisatorische Sicherheitsvorkehrungen zu treffen. Paragraph 17, Absatz eins, NISG gilt sinngemäß.
(2)Absatz 2,Dem Bundesminister für Inneres sind die getroffenen Sicherheitsvorkehrungen nach Abs. 1 von der Antragstellerin in einer detaillierten Aufstellung nachzuweisen.Dem Bundesminister für Inneres sind die getroffenen Sicherheitsvorkehrungen nach Absatz eins, von der Antragstellerin in einer detaillierten Aufstellung nachzuweisen.
(3)Absatz 3,Dem Bundesminister für Inneres sind die getroffenen Sicherheitsvorkehrungen nach Abs. 1 von der qualifizierten Stelle mindestens alle drei Jahre nach Zustellung des Bescheids gemäß § 9 Abs. 2 in einer detaillierten Aufstellung nachzuweisen.Dem Bundesminister für Inneres sind die getroffenen Sicherheitsvorkehrungen nach Absatz eins, von der qualifizierten Stelle mindestens alle drei Jahre nach Zustellung des Bescheids gemäß Paragraph 9, Absatz 2, in einer detaillierten Aufstellung nachzuweisen.
Verwendete Werkzeuge
§ 6.Paragraph 6,
(1)Absatz eins,Qualifizierte Stellen haben für eine Überprüfung geeignete Werkzeuge zu verwenden, die den Stand der Technik berücksichtigen.
(2)Absatz 2,Antragstellerinnen haben darzulegen, welche Werkzeuge für Überprüfungen verwendet werden sollen.
Prüfprozess
§ 7.Paragraph 7,
(1)Absatz eins,Qualifizierte Stellen haben für die Überprüfung einen geeigneten Prüfprozess anzuwenden, der den Stand der Technik berücksichtigt.
(2)Absatz 2,Qualifizierte Stellen haben durch geeignete technische und organisatorische Maßnahmen zu gewährleisten, dass die Sicherheit der Prüfdaten ein dem Risiko angemessenes Schutzniveau erreicht.
(3)Absatz 3,Antragstellerinnen haben den Prüfprozess systematisch in detaillierter und aussagekräftiger Form zu beschreiben und darzulegen, wie und in welcher Form Prüfdaten aufgearbeitet und bewertet werden sollen.
(4)Absatz 4,Darüber hinaus haben Antragstellerinnen darzulegen, welche technischen und organisatorischen Maßnahmen im Sinne des Abs. 2 getroffen werden.Darüber hinaus haben Antragstellerinnen darzulegen, welche technischen und organisatorischen Maßnahmen im Sinne des Absatz 2, getroffen werden.
Meldeprozess
§ 8.Paragraph 8,
(1)Absatz eins,Qualifizierte Stellen haben bei Vorfällen, die ihre Netz- und Informationssysteme insoweit stören, als die Integrität oder Vertraulichkeit der Prüfdaten nicht mehr gewährleistet werden kann, einen geeigneten Meldeprozess anzuwenden.
(2)Absatz 2,Antragstellerinnen haben den Meldeprozess systematisch zu beschreiben und darzulegen, wie ein Vorfall nach Abs. 1 an den Bundesminister für Inneres gemeldet wird.Antragstellerinnen haben den Meldeprozess systematisch zu beschreiben und darzulegen, wie ein Vorfall nach Absatz eins, an den Bundesminister für Inneres gemeldet wird.
Verfahren
§ 9.Paragraph 9,
(1)Absatz eins,Im Antrag an den Bundesminister für Inneres hat die Antragstellerin darzulegen, in welchem Aufgabenbereich sie als qualifizierte Stelle tätig werden möchte. Zudem hat sie schriftlich und durch entsprechende Belege nachzuweisen, dass sie die Erfordernisse nach § 3 Abs. 1 und 2 erfüllt.Im Antrag an den Bundesminister für Inneres hat die Antragstellerin darzulegen, in welchem Aufgabenbereich sie als qualifizierte Stelle tätig werden möchte. Zudem hat sie schriftlich und durch entsprechende Belege nachzuweisen, dass sie die Erfordernisse nach Paragraph 3, Absatz eins und 2 erfüllt.
(2)Absatz 2,Im Bescheid des Bundesministers für Inneres ist auszusprechen, ob und für welchen Aufgabenbereich die Antragstellerin als qualifizierte Stelle tätig wird.
Personenbezogene Bezeichnungen
§ 10.Paragraph 10,
In dieser Verordnung verwendete personenbezogene Bezeichnungen gelten gleichermaßen für alle Geschlechter.
Inkrafttreten
§ 11.Paragraph 11,
Diese Verordnung tritt mit Ablauf des Tages der Kundmachung in Kraft.
Peschorn