Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Telekom-Netzsicherheitsverordnung 2020 , Fassung vom 29.05.2023

§ 0

Langtitel

Verordnung der Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) über Verpflichtungen von Betreibern elektronischer Kommunikationsnetze und Anbietern elektronischer Kommunikationsdienste im Zusammenhang mit Mindestsicherheitsmaßnahmen unter Berücksichtigung von 5G-Netzen sowie mit Informationspflichten bei Sicherheitsvorfällen – Telekom-Netzsicherheitsverordnung 2020 (TK-NSiV 2020)
StF: BGBl. II Nr. 301/2020

Präambel/Promulgationsklausel

Auf Grund des Paragraph 16 a, Absatz 9, des Bundesgesetzes, mit dem ein Telekommunikationsgesetz erlassen wird (Telekommunikationsgesetz 2003 – TKG 2003), Bundesgesetzblatt Teil eins, Nr. 70 aus 2003, in der Fassung Bundesgesetzblatt Teil eins, Nr. 23 aus 2020,, wird im Einvernehmen mit der Bundesministerin für Landwirtschaft, Regionen und Tourismus sowie dem Bundesminister für Inneres verordnet:

§ 1

Text

Zweck und Anwendungsbereich

Paragraph eins,
  1. Absatz einsMit dieser Verordnung werden Informationspflichten von Betreibern elektronischer Kommunikationsnetze und Anbietern elektronischer Kommunikationsdienste bei Sicherheitsvorfällen im Zusammenhang mit elektronischen Kommunikationsnetzen und -diensten, die zu beträchtlichen Auswirkungen auf den Netzbetrieb oder die Dienstebereitstellung geführt haben, sowie das Vorgehen der Regulierungsbehörde bei derartigen Sicherheitsvorfällen festgelegt. Überdies werden Rahmenbedingungen einer Erstattung von Mitteilungen in Bezug auf Sicherheitsvorfälle ohne beträchtliche Auswirkungen auf Netzbetrieb oder Dienstebereitstellung geschaffen.
  2. Absatz 2Darüber hinaus werden Anforderungen an die von Betreibern elektronischer Kommunikationsnetze und Anbietern elektronischer Kommunikationsdienste zur Gewährleistung einer angemessenen Beherrschung der Risiken für elektronische Kommunikationsnetze und -dienste und Aufrechterhaltung des diesbezüglich geeigneten Sicherheitsniveaus zu ergreifenden Mindestsicherheitsmaßnahmen unter besonderer Berücksichtigung der Sicherheit von 5G-Netzen festgelegt.
  3. Absatz 3Diese Verordnung gilt für alle im Bundesgebiet betriebenen öffentlichen elektronischen Kommunikationsnetze mit Ausnahme von Rundfunknetzen und für alle im Bundesgebiet öffentlich angebotenen elektronischen Kommunikationsdienste mit Ausnahme von Übertragungsdiensten in Rundfunknetzen.

§ 2

Text

Begriffsbestimmungen

Paragraph 2,

Im Sinne dieser Verordnung bedeutet

  1. Ziffer eins
    „Sicherheit von Netzen und Diensten“ die Fähigkeit von Kommunikationsnetzen und -diensten, auf einem bestimmten Vertrauensniveau Ereignissen entgegenzuwirken, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit dieser Netze und Dienste, der gespeicherten, übermittelten oder verarbeiteten Daten oder der damit zusammenhängenden Dienste, die über diese Kommunikationsnetze oder -dienste angeboten werden bzw. zugänglich sind, beeinträchtigen;
  2. Ziffer 2
    „böswilliger Angriff“ Vorgang, bei dem sich eine Person oder ein Programm vorsätzlich ohne Berechtigung logischen oder physischen Zugang oder die Zugangsmöglichkeit zu einem Netz oder dessen Komponenten, einem System oder einer Anwendung, zu Daten oder zu anderen IT-Ressourcen verschafft oder die Funktion des angegriffenen Netzes oder Dienstes vorsätzlich beeinträchtigt;
  3. Ziffer 3
    „menschliches Versagen“ fahrlässiges Handeln (zB Falschkonfiguration oder fehlerhafter Einsatz von Netzelementen, Plattformen, Anwendungen [Software], Datensicherung und Datenbanken, irrtümliche Anwendung von Verfahren auf Abläufe betreffend Konfigurationsmanagement, Änderungsmanagement, Identitäts- und Zutrittskontrollabläufe sowie Fehlentscheidungen im Management);
  4. Ziffer 4
    „Naturereignis“ natürliches Phänomen mit Auswirkungen auf Kommunikationsinfrastrukturen wie Unwetter (zB Sturm, schwerer Schneefall, Hitzewelle), Erdbeben, epidemische Krankheit, Flut, Brand, Erdrutsch, Vulkanausbruch oder geänderte Umweltbedingungen durch Sonnenaktivität;
  5. Ziffer 5
    „Systemfehler“ Hardwarefehler, Softwarefehler und Fehler in Betriebsanleitungen, Verfahren oder internen Vorschriften;
  6. Ziffer 6
    „Drittversagen“ Vorgang, dessen Ursache sich außerhalb der direkten Kontrolle des Betreibers befindet (zB Vorfall bei einem Outsourcingpartner oder bei einer Organisation innerhalb der Lieferkette);
  7. Ziffer 7
    „Sicherheitsvorfall“ ein Ereignis mit nachteiliger Wirkung auf die Sicherheit von Kommunikationsnetzen oder -diensten;
  8. Ziffer 8
    „unverzüglich“ ohne schuldhaftes Zögern;
  9. Ziffer 9
    „5G-Netz“ Mobilfunknetz der fünften Generation, dessen einschlägige Netzinfrastrukturelemente auf weltweit vereinbarten technischen Normen für die Mobilfunk- und Drahtloskommunikation beruhen und fortgeschrittene Leistungsmerkmale wie sehr hohe Datengeschwindigkeit und -kapazität, Kommunikation mit niedriger Latenzzeit, ultra-hohe Zuverlässigkeit oder Unterstützung einer großen Zahl verbundener Geräte aufweisen. Die Netzinfrastrukturelemente eines 5G-Netzes können auch vorhandene Netzbestandteile umfassen, denen frühere Generationen mobiler und drahtloser Kommunikationstechnik (4G oder 3G) zugrunde liegen.

§ 3

Text

Informationspflichten

Paragraph 3,
  1. Absatz einsBei Sicherheitsvorfällen, die zu beträchtlichen Auswirkungen auf die Sicherheit von elektronischen Kommunikationsnetzen oder -diensten geführt haben oder noch führen, haben Betreiber elektronischer Kommunikationsnetze und Anbieter elektronischer Kommunikationsdienste die Regulierungsbehörde unverzüglich ab Kenntnis des Vorfalls hiervon unter Übermittlung der im Hinblick auf die Datenlage verfügbaren Angaben gemäß Ziffer eins bis 14 in einem von der Regulierungsbehörde vorgegebenen elektronischen Format zu informieren („Erstmeldung“). Die Wiederherstellung der betroffenen Dienste ist der Regulierungsbehörde unverzüglich mitzuteilen. Darüber hinaus sind der Regulierungsbehörde in dem von ihr vorgegebenen elektronischen Format binnen maximal 24 Stunden ab Wiederherstellung der betroffenen Dienste folgende Informationen zu übermitteln („Folgemeldung“):
    1. Ziffer eins
      Datum und Uhrzeit des Beginns des Vorfalls;
    2. Ziffer 2
      Ursache des Vorfalls nach folgenden Kategorien: Naturereignis, menschliches Versagen, böswilliger Angriff, Systemfehler oder Drittversagen;
    3. Ziffer 3
      betroffenes Betriebsmittel (zB mobile Basisstation, Netzknoten, Home Subscriber Server, internationale Datenübertragungsanbindung);
    4. Ziffer 4
      betroffener Dienst (nach Kategorien: Festnetztelefonie, Mobiltelefonie, fester Internetzugang, mobiler Internetzugang) und zu Grunde liegende Technologie;
    5. Ziffer 5
      Anzahl der in der jeweiligen Dienstekategorie betroffenen Teilnehmer:
      1. Litera a
        bei Festnetztelefonie nach Anzahl der betroffenen Anschlüsse,
      2. Litera b
        bei Mobiltelefonie nach Anzahl der betroffenen aktivierten SIM-Karten,
      3. Litera c
        bei festen Internetzugängen nach Anzahl der betroffenen Anschlüsse,
      4. Litera d
        bei mobilen Internetzugängen nach Anzahl der betroffenen aktivierten SIM-Karten;
    6. Ziffer 6
      Auswirkungen auf die Erreichbarkeit von Notrufnummern (betroffene Notrufnummern, Anzahl der betroffenen Teilnehmer in der jeweiligen Dienstekategorie);
    7. Ziffer 7
      Anzahl der in allen Dienstekategorien insgesamt betroffenen Teilnehmer;
    8. Ziffer 8
      ergriffene Maßnahmen zur Behebung des Vorfalls und Wiederherstellung des Dienstes;
    9. Ziffer 9
      Vorgehen nach dem Vorfall (Risikominimierung in künftigen Fällen, Schätzung der Effizienz der ergriffenen Maßnahmen);
    10. Ziffer 10
      langfristig bedeutsame Erkenntnisse aus dem Vorfall;
    11. Ziffer 11
      Wiederherstellungszeitraum vom Beginn des Vorfalls bis zur Wiederherstellung des betroffenen Dienstes;
    12. Ziffer 12
      betroffene Zusammenschaltungen in Form der betroffenen Zusammenschaltungspartner und betroffenen Zusammenschaltungsstandorte;
    13. Ziffer 13
      Kurzbeschreibung und Analyse des Vorfalls;
    14. Ziffer 14
      gegebenenfalls Angaben über eine erfolgte oder geplante Information der Öffentlichkeit.

    Erst- und Folgemeldungen sind über das Meldeportal der Regulierungsbehörde einzubringen. Bei den Erst- und Folgemeldungen muss der Einmelder auf einen allfälligen von ihm zuvor übermittelten Warnhinweis gemäß Paragraph 4, Bezug nehmen. Bei Nichtverfügbarkeit des Meldeportals der Regulierungsbehörde können Meldungen in Bezug auf einen Sicherheitsvorfall mit beträchtlichen Auswirkungen abweichend von dem in Satz 1 und 2 beschriebenen elektronischen Format erfolgen.

  2. Absatz 2Beträchtliche Auswirkungen liegen dann vor, wenn
    1. Ziffer eins
      der Vorfall bis zu einschließlich einer Stunde dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Absatz eins, Ziffer 5, 500 000 übersteigt oder
    2. Ziffer 2
      der Vorfall mehr als eine Stunde dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Absatz eins, Ziffer 5, 15% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 500 000 übersteigt oder
    3. Ziffer 3
      der Vorfall mehr als zwei Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Absatz eins, Ziffer 5, 10% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 250 000 übersteigt oder
    4. Ziffer 4
      der Vorfall mehr als vier Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Absatz eins, Ziffer 5, 5% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 150 000 übersteigt oder
    5. Ziffer 5
      der Vorfall mehr als sechs Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Absatz eins, Ziffer 5, 2% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 100 000 übersteigt oder
    6. Ziffer 6
      der Vorfall mehr als acht Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Absatz eins, Ziffer 5, 1% der Gesamtzahl der Nutzer des Dienstes im Bundesgebiet oder 50 000 übersteigt oder
    7. Ziffer 7
      der Vorfall mehr als 16 Stunden dauert und die Anzahl der betroffenen Teilnehmer der jeweiligen Dienstekategorie gemäß Absatz eins, Ziffer 5, 10 000 übersteigt oder
    8. Ziffer 8
      eine Notrufnummer aus einem Kommunikationsnetz für Teilnehmer eines verfügbaren öffentlichen Telefondienstes nicht erreichbar ist oder der Telefondienst für den Teilnehmer nur teilweise verfügbar und mindestens eine Notrufnummer nicht erreichbar ist. Beträchtliche Auswirkungen liegen auch dann vor, wenn der Telefondienst der Notrufleitstelle, an der ein Notruf terminiert, für passive Gespräche nicht verfügbar ist, unabhängig davon, ob die Notrufnummer erreichbar ist oder nicht.
  3. Absatz 3Liegt die Bekanntgabe des Vorfalls im öffentlichen Interesse, haben Betreiber von Kommunikationsnetzen und -diensten auf Verlangen der Regulierungsbehörde unverzüglich die Öffentlichkeit darüber zu informieren. Bei Gefahr in Verzug kann die Regulierungsbehörde die Öffentlichkeit auch unmittelbar informieren.
  4. Absatz 4Die Regulierungsbehörde hat Daten zur Ermittlung der in Absatz 2, angeführten Schwellwerte auf ihrer Website zu veröffentlichen.
  5. Absatz 5Die Regulierungsbehörde hat eine erfolgte Mitteilung nach Absatz eins, unverzüglich an den Bundesminister für Inneres weiterzuleiten (Paragraph 16 a, Absatz 5 a, TKG 2003, Bundesgesetzblatt Teil eins, Nr. 70 aus 2003, in der Fassung Bundesgesetzblatt Teil eins, Nr. 23 aus 2020,).

§ 4

Text

Warnhinweis

Paragraph 4,
  1. Absatz einsUnbeschadet von Paragraph 23, des Bundesgesetzes zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG, Bundesgesetzblatt Teil eins, Nr. 111 aus 2018,), können Betreiber elektronischer Kommunikationsnetze und Anbieter elektronischer Kommunikationsdienste von ihnen als sicherheitsrelevant erachtete Risiken und Vorfälle, die nicht der Meldepflicht nach Paragraph 3, Absatz eins, unterliegen, der Regulierungsbehörde übermitteln. Dieser Warnhinweis darf keine personenbezogenen Daten natürlicher Personen (abgesehen von jenen des Einmelders) enthalten.
  2. Absatz 2Der Warnhinweis soll sämtliche relevanten Angaben zum Risiko bzw. zum Vorfall und zu den technischen Rahmenbedingungen, die im Mitteilungszeitpunkt bekannt sind, enthalten, insbesondere die vermutete oder tatsächliche Ursache und die betroffenen Betriebsmittel. Angaben über später bekanntgewordene Umstände zum Risiko oder Vorfall sind in Folgemitteilungen zu übermitteln. Warnhinweis und Folgemitteilungen sind in dem für verpflichtende Meldungen vorgegebenen elektronischen Format über das Meldeportal der Regulierungsbehörde einzubringen; Paragraph 3, Absatz eins,, letzter Satz, gilt entsprechend. Die Regulierungsbehörde hat den Warnhinweis sowie die jeweilige Mitteilung an das zuständige Computer-Notfallteam gemäß Paragraph 23, Absatz 2, in Verbindung mit Absatz 3, NISG und mit Einwilligung des Einmelders an den Bundesminister für Inneres weiterzuleiten.

§ 5

Text

Mindestsicherheitsmaßnahmen

Paragraph 5,
  1. Absatz einsZur Gewährleistung eines angemessenen Sicherheitsniveaus und im Interesse einer Vermeidung von Sicherheitsvorfällen haben Betreiber von elektronischen Kommunikationsnetzen und Anbieter von elektronischen Kommunikationsdiensten Maßnahmen gemäß Paragraph 16 a, Absatz eins, TKG 2003 zu konzipieren, zu ergreifen und zu dokumentieren sowie eine Information Security Policy festzulegen. Diese Maßnahmen sollen ein Sicherheitsniveau der Netze und Dienste gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere haben die Maßnahmen und die Information Security Policy dem Stand der Technik zu entsprechen und folgende Bereiche abzudecken:
    1. Ziffer eins
      Governance und Risikomanagement (Risikomanagementsystem, Sicherheitsrollen und -verantwortung, Umgang mit Dritten),
    2. Ziffer 2
      Sicherheit im Hinblick auf Personal (Hintergrundüberprüfung, Sicherheitswissen und -training, Personalwechsel, Disziplinarmaßnahmen bei Verstößen),
    3. Ziffer 3
      Sicherheit von Systemen und Betriebsstätten (physische Sicherheit, Sicherheit des Umfelds, Sicherheit des Materials, Versorgungssicherheit, Zutrittskontrolle, Informationssicherheit),
    4. Ziffer 4
      Betriebsmanagement (Betriebsabläufe, Änderungsmanagement, Umgang mit Betriebsmitteln),
    5. Ziffer 5
      Störfallmanagement (Abläufe, Feststellung, Reaktion, Eskalation, Berichtswesen),
    6. Ziffer 6
      Betriebliches Kontinuitätsmanagement (Verfügbarkeit und Aufrechterhaltung der Dienste, Notfallpläne & Notfallwiederherstellung),
    7. Ziffer 7
      Monitoring, Audits, Tests (Monitoring/Protokollierung, Stellvertretungs- und Notfallsübungen, Systemtests, Sicherheitsbewertung, Konformitätsüberwachung und Auditierungsverfahren).
  2. Absatz 2Betreiber elektronischer Kommunikationsnetze und Anbieter elektronischer Kommunikationsdienste haben Unterlagen über die Maßnahmen gemäß Absatz eins, vorzuhalten und der Regulierungsbehörde auf Anforderung in einem allgemein lesbaren elektronischen Format Informationen zur Beurteilung der Sicherheit ihrer Netze und Dienste sowie über die von ihnen ergriffenen und dokumentierten Sicherheitsmaßnahmen gemäß Absatz eins und ihre Information Security Policy zu übermitteln.

§ 6

Text

Sicherheitsanforderungen an 5G-Netze

Paragraph 6,
  1. Absatz einsZur Gewährleistung eines angemessenen Sicherheitsniveaus für 5G-Netze haben Betreiber derartiger Netze mit insgesamt mehr als 100 000 Teilnehmern in allen von ihnen betriebenen Mobilfunknetzen der Regulierungsbehörde das Bestehen eines Informationssicherheitsmanagementsystems gemäß einer diesbezüglich anerkannten Norm durch Vorlage entsprechender Auditberichte erstmals bis 31. Dezember 2021 und danach regelmäßig im Abstand von höchstens drei Jahren nachzuweisen. Die Festlegung und Umsetzung von allgemeinen und telekommunikationsspezifischen Informationssicherheitsmaßnahmen hat ebenfalls diesbezüglich anerkannten Normen zu entsprechen. Jede Nichtkonformität mit einer Anforderung aus diesen Normen ist jeweils zu begründen.
  2. Absatz 2Überdies haben die Betreiber von 5G-Netzen mit insgesamt mehr als 100 000 Teilnehmern in allen von ihnen betriebenen Mobilfunknetzen der Regulierungsbehörde die Erfüllung der in Anhang 1 angeführten Standards durch Vorlage einer Konformitätserklärung des Betreibers erstmals bis 30. Juni 2021 und danach regelmäßig im Abstand von höchstens drei Jahren nachzuweisen. Eine Nichtkonformität mit optionalen Bestimmungen der im Anhang angeführten Standards ist jeweils zu begründen.
  3. Absatz 3Darüber hinaus haben die Betreiber von 5G-Netzen mit insgesamt mehr als 100 000 Teilnehmern in allen von ihnen betriebenen Mobilfunknetzen die Erfüllung folgender Anforderungen auf Verlangen der Regulierungsbehörde nachzuweisen:
    1. Ziffer eins
      Betrieb von Network Operation Center (NOC) sowie Security Operation Center (SOC) in eigenen Räumlichkeiten innerhalb der Europäischen Union;
    2. Ziffer 2
      effektives Monitoring aller kritischen Netzkomponenten und sensibler Teile der 5G-Netze durch NOC/SOC, um Anomalien zu entdecken und Bedrohungen zu identifizieren und zu verhindern;
    3. Ziffer 3
      Schutz des Management-Verkehrs von Kommunikationsnetzen oder -diensten, um nicht autorisierte Änderungen von Netz- oder Dienstkomponenten zu verhindern;
    4. Ziffer 4
      physischer Schutz von kritischen Netzkomponenten und sensiblen Teilen der 5G-Netze mit risikobasiertem Ansatz für Multi-access Edge Computing (MEC) und Basisstationen;
    5. Ziffer 5
      Einschränkung des Zugriffs auf befähigtes und qualifiziertes Personal, das einer Sicherheitsüberprüfung unterzogen wurde; ein Zugang durch Dritte ist entsprechend dem Stand der Technik in angemessenem Umfang zu beschränken und zu überwachen;
    6. Ziffer 6
      Einsatz adäquater Werkzeuge und Prozesse zur Gewährleistung der Software-Integrität bei Software-Aktualisierung und Anwendung von Sicherheits-Patches, zuverlässige Identifikation und Nachvollziehbarkeit von Änderungen und Patch-Status;
    7. Ziffer 7
      Multi-Vendor-Strategie, die die technischen Beschränkungen und Interoperabilitätsanforderungen verschiedener Teile eines 5G-Netzes berücksichtigt.
  4. Absatz 4Schließlich haben Betreiber von 5G-Netzen mit insgesamt mehr als 100 000 Teilnehmern in allen von ihnen betriebenen Mobilfunknetzen der Regulierungsbehörde halbjährlich jeweils mit Stand zum Ende des ersten und dritten Quartals bis 30. April und 31. Oktober des Jahres sowie auf begründetes Verlangen der Regulierungsbehörde eine Aufstellung von Funktionen und Herstellern der für den Betrieb des 5G-Netzes eingesetzten sicherheitsrelevanten Komponenten gemäß Anhang 2 sowie gegebenenfalls weiterer von ihnen verwendeter Komponenten zu übermitteln. Hierbei sind Funktionen und Hersteller in dem von der Regulierungsbehörde vorgeschriebenen elektronischen Format anzugeben. Die Regulierungsbehörde ist berechtigt, die ihr bekanntgegebenen Daten für die Dauer der Verwendung der Komponenten zu speichern und zu verarbeiten.

§ 7

Text

Schlussbestimmungen

Paragraph 7,
  1. Absatz einsAlle in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gelten gleichermaßen für alle Geschlechter.

Anl. 1

Text

Anlage 1 Liste der Standards gemäß Paragraph 6, Absatz 2,

Anmerkung, Anlage 1 als PDF dokumentiert)

Begleitende Dokumente

Anlagen
Anlage 1

Anl. 2

Text

Anlage 2 Liste von Funktionen der Komponenten von 5G-Netzen gemäß Paragraph 6, Absatz 4,

Anmerkung, Anlage 2 als PDF dokumentiert)

Begleitende Dokumente

Anlagen
Anlage 2