Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Verordnung über qualifizierte Stellen, Fassung vom 28.05.2023

§ 0

Langtitel

Verordnung des Bundesministers für Inneres zur Festlegung der Erfordernisse und besonderer Kriterien für qualifizierte Stellen nach dem Netz- und Informationssystemsicherheitsgesetz (Verordnung über qualifizierte Stellen – QuaSteV)
StF: BGBl. II Nr. 226/2019

Präambel/Promulgationsklausel

Auf Grund des Paragraph 5, Absatz 2, des Netz- und Informationssystemsicherheitsgesetzes (NISG), Bundesgesetzblatt Teil eins, Nr. 111 aus 2018,, wird im Einvernehmen mit dem Bundesminister für EU, Kunst, Kultur und Medien verordnet:

§ 1

Text

Anwendungsbereich

Paragraph eins,

Mit dieser Verordnung werden jene Erfordernisse, die qualifizierte Stellen erfüllen müssen, um Betreiber wesentlicher Dienste im Hinblick auf die von ihnen betriebenen wesentlichen Dienste gemäß Paragraph 17, Absatz 3, NISG überprüfen zu können, sowie das Verfahren zur Feststellung qualifizierter Stellen festgelegt.

§ 2

Text

Begriffsbestimmungen

Paragraph 2,

Im Sinne dieser Verordnung bedeutet

  1. Ziffer eins
    „Antragstellerin“: eine Einrichtung im Sinne des Paragraph 3, Ziffer 11, NISG, die mit Bescheid als qualifizierte Stelle festgestellt werden möchte;
  2. Ziffer 2
    „Aufgabenbereich“: jene Kategorien (Ziffer 3,) oder Sicherheitsmaßnahmen (Ziffer 4,), die eine qualifizierte Stelle in organisatorischer oder technischer Hinsicht überprüfen darf;
  3. Ziffer 3
    „Kategorie“: der thematische Oberbegriff einer Sicherheitsmaßnahme oder mehrerer Sicherheitsmaßnahmen (Ziffer 4,) gemäß dem 3. Abschnitt in Verbindung mit der Anlage 1 der Netz- und Informationssystemsicherheitsverordnung (NISV), BGBl. römisch II Nr. 215/2019;
  4. Ziffer 4
    „Sicherheitsmaßnahme“: die einzelnen Sicherheitsmaßnahmen gemäß dem 3. Abschnitt in Verbindung mit der Anlage 1 NISV;
  5. Ziffer 5
    „Prüfer“: eine natürliche Person, die im Rahmen einer Überprüfung (Ziffer 7,) in einem Vertragsverhältnis zu einer qualifizierten Stelle steht;
  6. Ziffer 6
    „Fachbereich“: die organisatorische oder technische Ausrichtung eines Prüfers im Bereich der Sicherheit von Netz- und Informationssystemen;
  7. Ziffer 7
    „Überprüfung“: die Durchführung eines Prüfprozesses bei einem Betreiber wesentlicher Dienste gemäß Paragraph 17, Absatz 3, NISG;
  8. Ziffer 8
    „Prüfprozess“: eine systematische Vorgehensweise, die Sicherheitsvorkehrungen gemäß Paragraph 17, Absatz eins, NISG in organisatorischer oder technischer Hinsicht untersucht, samt inhaltlicher Aufarbeitung und Bewertung der Prüfdaten in einem Prüfbericht;
  9. Ziffer 9
    „Prüfdaten“: die im Rahmen einer Überprüfung erhobenen und verarbeiteten Daten;
  10. Ziffer 10
    „Werkzeug“: ein technisches Instrument oder Hilfsmittel, das für die Überprüfung herangezogen wird.

§ 3

Text

Erfordernisse einer qualifizierten Stelle

Paragraph 3,
  1. Absatz einsQualifizierte Stellen müssen befähigte sicherheitsüberprüfte Prüfer (Paragraph 4,) einsetzen, Sicherheitsvorkehrungen (Paragraph 5,) treffen, geeignete Werkzeuge (Paragraph 6,) verwenden sowie einen geeigneten Prüf- (Paragraph 7,) und Meldeprozess (Paragraph 8,) anwenden, um in ihrem Aufgabenbereich gemäß Paragraph 9, Absatz 2, Überprüfungen vornehmen zu können.
  2. Absatz 2Qualifizierte Stellen haben eine Kontaktstelle für die Kommunikation mit dem Bundesminister für Inneres bekanntzugeben.
  3. Absatz 3Qualifizierte Stellen dürfen denselben Betreiber wesentlicher Dienste längstens zwei aufeinanderfolgende Perioden gemäß Paragraph 17, Absatz 3, erster Satz NISG überprüfen. Dies gilt nicht nach einer Unterbrechung der Prüfungstätigkeit für zumindest eine Periode.
  4. Absatz 4In einem jährlichen Statusbericht, der erstmalig ein Jahr nach Zustellung des Bescheids gemäß Paragraph 9, Absatz 2, dem Bundesminister für Inneres zu übermitteln ist, ist in übersichtlicher Form über die Tätigkeiten der qualifizierten Stelle zu berichten. Der Statusbericht hat insbesondere die durchgeführten Überprüfungen, die eingesetzten Prüfer und die absolvierten Weiterbildungsmaßnahmen nach Paragraph 4, Absatz 5, zu enthalten.

§ 4

Text

Prüfer

Paragraph 4,
  1. Absatz einsFür jede Kategorie des jeweiligen Aufgabenbereichs muss die qualifizierte Stelle zumindest über einen Prüfer mit mehr als fünfjähriger und über zumindest zwei Prüfer mit mehr als dreijähriger einschlägiger Berufserfahrung im Bereich der Sicherheit von Netz- und Informationssystemen verfügen. Die Berufserfahrung ist anhand von Zeugnissen gemäß Paragraph 39, des Angestelltengesetzes, Bundesgesetzblatt Nr. 292 aus 1921,, oder in gleichwertiger Form nachzuweisen.
  2. Absatz 2Darüber hinaus ist die Befähigung der Prüfer gemäß Absatz eins, durch zumindest eine anerkannte Zertifizierung im Bereich der Sicherheit von Netz- und Informationssystemen in ihrem Fachbereich nachzuweisen.
  3. Absatz 3Prüfer müssen sich im Vorhinein einer Sicherheitsüberprüfung gemäß Paragraphen 55, ff des Sicherheitspolizeigesetzes (SPG), Bundesgesetzblatt Nr. 566 aus 1991,, für den Zugang zu geheimer Information unterziehen. Die Sicherheitsüberprüfung ist alle drei Jahre zu wiederholen.
  4. Absatz 4Prüfer dürfen für jenen Betreiber wesentlicher Dienste, den sie überprüfen, nicht gleichzeitig beratend tätig sein.
  5. Absatz 5Qualifizierte Stellen haben zu gewährleisten, dass sich ihre Prüfer in ihrem Fachbereich einer laufenden Weiterbildung durch entsprechende Weiterbildungsmaßnahmen unterziehen.
  6. Absatz 6Überprüfungen dürfen nur durch jene Prüfer vorgenommen werden, die von der qualifizierten Stelle gegenüber dem Bundesminister für Inneres bekannt gegeben wurden.

§ 5

Text

Sicherheitsvorkehrungen

Paragraph 5,
  1. Absatz einsQualifizierte Stellen haben in Hinblick auf ihre Netz- und Informationssysteme, die sie im Zuge einer Überprüfung nutzen, technische und organisatorische Sicherheitsvorkehrungen zu treffen. Paragraph 17, Absatz eins, NISG gilt sinngemäß.
  2. Absatz 2Dem Bundesminister für Inneres sind die getroffenen Sicherheitsvorkehrungen nach Absatz eins, von der Antragstellerin in einer detaillierten Aufstellung nachzuweisen.
  3. Absatz 3Dem Bundesminister für Inneres sind die getroffenen Sicherheitsvorkehrungen nach Absatz eins, von der qualifizierten Stelle mindestens alle drei Jahre nach Zustellung des Bescheids gemäß Paragraph 9, Absatz 2, in einer detaillierten Aufstellung nachzuweisen.

§ 6

Text

Verwendete Werkzeuge

Paragraph 6,
  1. Absatz einsQualifizierte Stellen haben für eine Überprüfung geeignete Werkzeuge zu verwenden, die den Stand der Technik berücksichtigen.
  2. Absatz 2Antragstellerinnen haben darzulegen, welche Werkzeuge für Überprüfungen verwendet werden sollen.

§ 7

Text

Prüfprozess

Paragraph 7,
  1. Absatz einsQualifizierte Stellen haben für die Überprüfung einen geeigneten Prüfprozess anzuwenden, der den Stand der Technik berücksichtigt.
  2. Absatz 2Qualifizierte Stellen haben durch geeignete technische und organisatorische Maßnahmen zu gewährleisten, dass die Sicherheit der Prüfdaten ein dem Risiko angemessenes Schutzniveau erreicht.
  3. Absatz 3Antragstellerinnen haben den Prüfprozess systematisch in detaillierter und aussagekräftiger Form zu beschreiben und darzulegen, wie und in welcher Form Prüfdaten aufgearbeitet und bewertet werden sollen.
  4. Absatz 4Darüber hinaus haben Antragstellerinnen darzulegen, welche technischen und organisatorischen Maßnahmen im Sinne des Absatz 2, getroffen werden.

§ 8

Text

Meldeprozess

Paragraph 8,
  1. Absatz einsQualifizierte Stellen haben bei Vorfällen, die ihre Netz- und Informationssysteme insoweit stören, als die Integrität oder Vertraulichkeit der Prüfdaten nicht mehr gewährleistet werden kann, einen geeigneten Meldeprozess anzuwenden.
  2. Absatz 2Antragstellerinnen haben den Meldeprozess systematisch zu beschreiben und darzulegen, wie ein Vorfall nach Absatz eins, an den Bundesminister für Inneres gemeldet wird.

§ 9

Text

Verfahren

Paragraph 9,
  1. Absatz einsIm Antrag an den Bundesminister für Inneres hat die Antragstellerin darzulegen, in welchem Aufgabenbereich sie als qualifizierte Stelle tätig werden möchte. Zudem hat sie schriftlich und durch entsprechende Belege nachzuweisen, dass sie die Erfordernisse nach Paragraph 3, Absatz eins und 2 erfüllt.
  2. Absatz 2Im Bescheid des Bundesministers für Inneres ist auszusprechen, ob und für welchen Aufgabenbereich die Antragstellerin als qualifizierte Stelle tätig wird.

§ 10

Text

Personenbezogene Bezeichnungen

Paragraph 10,

In dieser Verordnung verwendete personenbezogene Bezeichnungen gelten gleichermaßen für alle Geschlechter.

§ 11

Text

Inkrafttreten

Paragraph 11,

Diese Verordnung tritt mit Ablauf des Tages der Kundmachung in Kraft.