SlideShare ist ein Scribd-Unternehmen logo
bmi.gv.at
Umsetzung des NIS-Gesetz…
Gernot Goluch, II/.BVT/5-NIS
Wien, 08. Juli 2019
…aus Sicht des der operativen NIS-Behörde im
BMI
bmi.gv.at
NIS-Gesetz – Umsetzungsstand
Vienna Legal Hackers - 08. Juli 2019 2
08/2016
NIS-Richtlinie
(Inkrafttreten)
09/2018
NIS-Gesetz
(Begutachtung)
12/2018
NIS-Gesetz
(Inkrafttreten,
BGBl. 111/2018)
04/2019
Festlegung
nationales
Computer-
Notfallteam &
Meldeportal
online
06/2019
NIS-Verordnung
(politisch in
Abstimmung)
Geplant: Q3 2019
NISV/
QuaSteV
(Kundmachung)
Geplant: Q3/Q4 2019
Ausstellen der Bescheide
(Betreiber & qualifizierte Stellen)
bmi.gv.at
Status – NISV (BKA) & Ermittlungsverfahren
• NISV über Ostern erstmals freigegeben
• Erneute politische Abstimmung
• Nach Inkrafttreten der NISV
− Identifizierung der Betreiber wesentlicher Dienste in allen Sektoren durch BKA mittels
Bescheid
• Ermittlungsverfahren
− Bescheidvorbereitungen (laufend)
− Informationsschreiben
− Grenzüberschreitende Konsultation
Vienna Legal Hackers - 08. Juli 2019 3
bmi.gv.at
Status – QuaSteV (BMI)
• Vollinhaltlich mit BKA abgestimmt
• Kann erst nach Inkrafttreten der NISV erlassen werden
• Zeitnahe Erlassung ist vorgesehen
• Nach Inkrafttreten der QuaSteV
− Feststellungsverfahren qualifizierte Stellen
Vienna Legal Hackers - 08. Juli 2019 4
bmi.gv.at
Anbieter digitaler Dienste (AdD)
Vienna Legal Hackers - 08. Juli 2019 5
• Online-Marktplatz
• Online-Suchmaschine
• Cloud-Computing-Dienst
• Vollharmonisierung der NIS-RL
− insbesondere wegen der
grenzüberschreitender Art der
digitalen Dienste
− MS dürfen AdD keine zusätzlichen
Pflichten auferlegen
• Durchführungsrechtsakte
− zur einheitlichen Behandlung in
der EU
− Spezifizierung der Elemente
der Sicherheitsanforderungen
− Spezifizierung der Parameter
betreffend Meldepflichten
− Format undVerfahren für
Meldepflichten
bmi.gv.at
Betreiber wesentlicher Dienste (BwD)
Vienna Legal Hackers - 08. Juli 2019 6
• Bundeskanzler ermittelt
− für jeden Sektor jene Betreiber
mit einer Niederlassung in
Österreich,
− die einen wesentlichen Dienst
erbringen
1. Energie
2. Verkehr
3. Bankwesen
4. Finanzmarktinfrastrukturen
5. Gesundheitswesen
6. Trinkwasserversorgung
7. Digitale Infrastruktur
bmi.gv.at
Einrichtungen der öffentlichenVerwaltung (EdöV)
• EdöV ermitteln/definieren
− wichtige Dienste
− Betreffende Netz- und Informationssysteme
• EdöV implementieren
− Sicherheitsvorkehrungen
− Meldepflicht (GovCERT als sektorenspezifisches Computer
Notfallteam)
Vienna Legal Hackers - 08. Juli 2019 7
bmi.gv.at
NISG/NISV – wesentliche Dienste
• § 16 Abs 2 NISG: „DieseVerordnung kann insbesondere Teilsektoren,
Bereiche, die dazugehörigen wesentlichen Dienste sowie Arten von
Einrichtungen, die als Betreiber wesentlicher Dienste in Frage kommen,
beinhalten.“
• NISG/NISV enthält:
− 7 Sektoren / 6Teilsektoren / 21 Bereiche
− 42 wesentliche Dienste
Vienna Legal Hackers - 08. Juli 2019 8
bmi.gv.at
Bsp. aus NISV: wesentliche Dienste, Schwellwerte
• § 5. (1)Wegen ihrer Bedeutung für die Aufrechterhaltung des öffentlichen
Verkehrs im Sinne des § 16 Abs. 2 NISG sind im SektorVerkehr
wesentliche Dienste:
− Z 1 im Teilsektor Luftverkehr
• Lit b) im Bereich des Betriebes eines Flughafens die Flugabwicklung,
insbesondere die Fluggastabfertigung und die Gepäckabfertigung
sowie der Betrieb der Sicherheitssysteme, an einem Flughafen, der
jährlich mehr als zehn Millionen Passagiere abfertigt;
Vienna Legal Hackers - 08. Juli 2019 9
bmi.gv.at
Sicherheitsvorkehrungen
Vienna Legal Hackers - 08. Juli 2019 10
NISG
NISV QuaSteV
NIS Fact Sheet
08/2018
Mapping
NIS Fact Sheet
XX/2019
Sicherheits-
maßnahmen
NIS Fact Sheet
01/2019
Kontaktstellen
NIS Fact Sheet
XX/2019
Qualifizierte Stellen
Sektorenspezifische
Sicherheits-
vorkehrungen
Prüfberichte qualifizierter Stellen
(„rollierendeTeilprüfungen“)
Generell: Nachweis der
Anforderungen
alle 3 Jahre
bmi.gv.at
Sicherheitsvorkehrungen – Sanktionen
• § 26 Abs. 1 Z 2 NISG: „den Nachweis nach § 17 Abs. 3 erster Satz oder § 21
Abs. 4 erster Satz nicht erbringt;“
• § 26 Abs. 1 Z 3 NISG: „die Einschau gemäß § 17 Abs. 4 oder § 21 Abs. 4
dritter Satz verweigert;“
• § 26 Abs. 1 Z 3 4 NISG: „die bescheidmäßig ergangenen Anordnungen
nach § 17 Abs. 5 oder § 21 Abs. 4 letzter Satz nicht fristgerecht umsetzt“
• Die Begehung ist mit Geldstrafe bis zu 50.000 Euro, im
Wiederholungsfall bis zu 100.000 Euro zu bestrafen.
Vienna Legal Hackers - 08. Juli 2019 11
bmi.gv.at
Qualifizierte Stellen – wesentliche Erfordernisse
• Qualifizierung bezieht sich auf 1-n Kategorien und/oder
Sicherheitsvorkehrungen.
• Überprüfungen nur durch Prüfer, die BMI bekannt gegeben wurden und deren
Eignung imVorhinein festgestellt wurde;
− Nachweis von anerkannten Zertifizierungen / Ausbildungen für den jeweiligen
Fachbereich, Sicherheitsüberprüfung (§§ 55 ff SPG), Berufserfahrung
• Unverzügliche Meldung vonVorfällen, die ihre Netz- und Informationssysteme
erheblich stören;
• Einführung eines Rotationsprinzips hinsichtlich der Überprüfung
Vienna Legal Hackers - 08. Juli 2019 12
bmi.gv.at
NISG/NISV – Sicherheitsvorfälle
• „Sicherheitsvorfall“ (§ 3 Z 6 NISG) eine Störung derVerfügbarkeit, Integrität,
Authentizität oderVertraulichkeit von Netz- und Informationssystemen, die
zu einer Einschränkung derVerfügbarkeit oder zu einem Ausfall des
betriebenen Dienstes mit erheblichen Auswirkungen geführt hat
• „Ausfall des betriebenen Dienstes“ die Unverfügbarkeit des Dienstes für
Nutzer
• „Einschränkung derVerfügbarkeit des betriebenen Dienstes“ die
signifikant geminderteVerfügbarkeit des Dienstes in qualitativer
Dimension für Nutzer
Vienna Legal Hackers - 08. Juli 2019 13
bmi.gv.at
Bsp. aus NISV: Sicherheitsvorfälle, Schwellwerte
• § 5. (2) Im SektorVerkehr liegt ein Sicherheitsvorfall im Sinne des § 3 Z 6
NISG vor, wenn
− Z 1 im Teilsektor Luftverkehr
• Lit b) im Bereich des Betriebes eines Flughafens innerhalb von 24
Stunden mehr als ein Drittel der Nutzer eines durchschnittlichen
Tagesaufkommens, gemessen am Medianwert des
vorangegangenen Kalenderjahres, von einem Ausfall oder der
Einschränkung derVerfügbarkeit des in Abs. 1 Z 1 lit. b genannten
Dienstes betroffen sind
Vienna Legal Hackers - 08. Juli 2019 14
bmi.gv.at
Pflichtmeldungen – Sanktionen
• § 26 Abs. 1 Z 5 NISG: „der Meldepflicht nach § 19 Abs. 1 iVm Abs. 3 und 4
oder § 21 Abs. 2 nicht nachkommt.“
• Die Begehung ist mit Geldstrafe bis zu 50.000 Euro, im
Wiederholungsfall bis zu 100.000 Euro zu bestrafen.
Vienna Legal Hackers - 08. Juli 2019 15
bmi.gv.at
Ausblick
• Weiterführung derArbeiten an sektorenspezifischen Sicherheitsstandards
• NIS-Website (https://www.nis.gv.at/)
• Kundmachung und Inkrafttreten der Verordnungen
• Beginn der Ermittlungsverfahren der Betreiber durch BKA
• Eignungsprüfung der Qualifizierten Stellen durch BMI
• Ermittlung sektorenspezifischer Computer-Notfallteams
• Begleitend NIS Fact Sheets
• Begleitend Aktivitäten auf EU-Ebene (z.B. BlueOLEX 2019)
Vienna Legal Hackers - 08. Juli 2019 16
bmi.gv.at
Danke für Ihre
Aufmerksamkeit!
Mag. Gernot Goluch
II/.BVT/5-NIS
nis@bvt.gv.at

Weitere ähnliche Inhalte

Empfohlen

Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity -  Best PracticesTime Management & Productivity -  Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
 

Empfohlen (20)

Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity -  Best PracticesTime Management & Productivity -  Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 

Umsetzung des NIS-Gesetzes aus Sicht der operativen NIS-Behörde im BMI - 8. Juli 2019

  • 1. bmi.gv.at Umsetzung des NIS-Gesetz… Gernot Goluch, II/.BVT/5-NIS Wien, 08. Juli 2019 …aus Sicht des der operativen NIS-Behörde im BMI
  • 2. bmi.gv.at NIS-Gesetz – Umsetzungsstand Vienna Legal Hackers - 08. Juli 2019 2 08/2016 NIS-Richtlinie (Inkrafttreten) 09/2018 NIS-Gesetz (Begutachtung) 12/2018 NIS-Gesetz (Inkrafttreten, BGBl. 111/2018) 04/2019 Festlegung nationales Computer- Notfallteam & Meldeportal online 06/2019 NIS-Verordnung (politisch in Abstimmung) Geplant: Q3 2019 NISV/ QuaSteV (Kundmachung) Geplant: Q3/Q4 2019 Ausstellen der Bescheide (Betreiber & qualifizierte Stellen)
  • 3. bmi.gv.at Status – NISV (BKA) & Ermittlungsverfahren • NISV über Ostern erstmals freigegeben • Erneute politische Abstimmung • Nach Inkrafttreten der NISV − Identifizierung der Betreiber wesentlicher Dienste in allen Sektoren durch BKA mittels Bescheid • Ermittlungsverfahren − Bescheidvorbereitungen (laufend) − Informationsschreiben − Grenzüberschreitende Konsultation Vienna Legal Hackers - 08. Juli 2019 3
  • 4. bmi.gv.at Status – QuaSteV (BMI) • Vollinhaltlich mit BKA abgestimmt • Kann erst nach Inkrafttreten der NISV erlassen werden • Zeitnahe Erlassung ist vorgesehen • Nach Inkrafttreten der QuaSteV − Feststellungsverfahren qualifizierte Stellen Vienna Legal Hackers - 08. Juli 2019 4
  • 5. bmi.gv.at Anbieter digitaler Dienste (AdD) Vienna Legal Hackers - 08. Juli 2019 5 • Online-Marktplatz • Online-Suchmaschine • Cloud-Computing-Dienst • Vollharmonisierung der NIS-RL − insbesondere wegen der grenzüberschreitender Art der digitalen Dienste − MS dürfen AdD keine zusätzlichen Pflichten auferlegen • Durchführungsrechtsakte − zur einheitlichen Behandlung in der EU − Spezifizierung der Elemente der Sicherheitsanforderungen − Spezifizierung der Parameter betreffend Meldepflichten − Format undVerfahren für Meldepflichten
  • 6. bmi.gv.at Betreiber wesentlicher Dienste (BwD) Vienna Legal Hackers - 08. Juli 2019 6 • Bundeskanzler ermittelt − für jeden Sektor jene Betreiber mit einer Niederlassung in Österreich, − die einen wesentlichen Dienst erbringen 1. Energie 2. Verkehr 3. Bankwesen 4. Finanzmarktinfrastrukturen 5. Gesundheitswesen 6. Trinkwasserversorgung 7. Digitale Infrastruktur
  • 7. bmi.gv.at Einrichtungen der öffentlichenVerwaltung (EdöV) • EdöV ermitteln/definieren − wichtige Dienste − Betreffende Netz- und Informationssysteme • EdöV implementieren − Sicherheitsvorkehrungen − Meldepflicht (GovCERT als sektorenspezifisches Computer Notfallteam) Vienna Legal Hackers - 08. Juli 2019 7
  • 8. bmi.gv.at NISG/NISV – wesentliche Dienste • § 16 Abs 2 NISG: „DieseVerordnung kann insbesondere Teilsektoren, Bereiche, die dazugehörigen wesentlichen Dienste sowie Arten von Einrichtungen, die als Betreiber wesentlicher Dienste in Frage kommen, beinhalten.“ • NISG/NISV enthält: − 7 Sektoren / 6Teilsektoren / 21 Bereiche − 42 wesentliche Dienste Vienna Legal Hackers - 08. Juli 2019 8
  • 9. bmi.gv.at Bsp. aus NISV: wesentliche Dienste, Schwellwerte • § 5. (1)Wegen ihrer Bedeutung für die Aufrechterhaltung des öffentlichen Verkehrs im Sinne des § 16 Abs. 2 NISG sind im SektorVerkehr wesentliche Dienste: − Z 1 im Teilsektor Luftverkehr • Lit b) im Bereich des Betriebes eines Flughafens die Flugabwicklung, insbesondere die Fluggastabfertigung und die Gepäckabfertigung sowie der Betrieb der Sicherheitssysteme, an einem Flughafen, der jährlich mehr als zehn Millionen Passagiere abfertigt; Vienna Legal Hackers - 08. Juli 2019 9
  • 10. bmi.gv.at Sicherheitsvorkehrungen Vienna Legal Hackers - 08. Juli 2019 10 NISG NISV QuaSteV NIS Fact Sheet 08/2018 Mapping NIS Fact Sheet XX/2019 Sicherheits- maßnahmen NIS Fact Sheet 01/2019 Kontaktstellen NIS Fact Sheet XX/2019 Qualifizierte Stellen Sektorenspezifische Sicherheits- vorkehrungen Prüfberichte qualifizierter Stellen („rollierendeTeilprüfungen“) Generell: Nachweis der Anforderungen alle 3 Jahre
  • 11. bmi.gv.at Sicherheitsvorkehrungen – Sanktionen • § 26 Abs. 1 Z 2 NISG: „den Nachweis nach § 17 Abs. 3 erster Satz oder § 21 Abs. 4 erster Satz nicht erbringt;“ • § 26 Abs. 1 Z 3 NISG: „die Einschau gemäß § 17 Abs. 4 oder § 21 Abs. 4 dritter Satz verweigert;“ • § 26 Abs. 1 Z 3 4 NISG: „die bescheidmäßig ergangenen Anordnungen nach § 17 Abs. 5 oder § 21 Abs. 4 letzter Satz nicht fristgerecht umsetzt“ • Die Begehung ist mit Geldstrafe bis zu 50.000 Euro, im Wiederholungsfall bis zu 100.000 Euro zu bestrafen. Vienna Legal Hackers - 08. Juli 2019 11
  • 12. bmi.gv.at Qualifizierte Stellen – wesentliche Erfordernisse • Qualifizierung bezieht sich auf 1-n Kategorien und/oder Sicherheitsvorkehrungen. • Überprüfungen nur durch Prüfer, die BMI bekannt gegeben wurden und deren Eignung imVorhinein festgestellt wurde; − Nachweis von anerkannten Zertifizierungen / Ausbildungen für den jeweiligen Fachbereich, Sicherheitsüberprüfung (§§ 55 ff SPG), Berufserfahrung • Unverzügliche Meldung vonVorfällen, die ihre Netz- und Informationssysteme erheblich stören; • Einführung eines Rotationsprinzips hinsichtlich der Überprüfung Vienna Legal Hackers - 08. Juli 2019 12
  • 13. bmi.gv.at NISG/NISV – Sicherheitsvorfälle • „Sicherheitsvorfall“ (§ 3 Z 6 NISG) eine Störung derVerfügbarkeit, Integrität, Authentizität oderVertraulichkeit von Netz- und Informationssystemen, die zu einer Einschränkung derVerfügbarkeit oder zu einem Ausfall des betriebenen Dienstes mit erheblichen Auswirkungen geführt hat • „Ausfall des betriebenen Dienstes“ die Unverfügbarkeit des Dienstes für Nutzer • „Einschränkung derVerfügbarkeit des betriebenen Dienstes“ die signifikant geminderteVerfügbarkeit des Dienstes in qualitativer Dimension für Nutzer Vienna Legal Hackers - 08. Juli 2019 13
  • 14. bmi.gv.at Bsp. aus NISV: Sicherheitsvorfälle, Schwellwerte • § 5. (2) Im SektorVerkehr liegt ein Sicherheitsvorfall im Sinne des § 3 Z 6 NISG vor, wenn − Z 1 im Teilsektor Luftverkehr • Lit b) im Bereich des Betriebes eines Flughafens innerhalb von 24 Stunden mehr als ein Drittel der Nutzer eines durchschnittlichen Tagesaufkommens, gemessen am Medianwert des vorangegangenen Kalenderjahres, von einem Ausfall oder der Einschränkung derVerfügbarkeit des in Abs. 1 Z 1 lit. b genannten Dienstes betroffen sind Vienna Legal Hackers - 08. Juli 2019 14
  • 15. bmi.gv.at Pflichtmeldungen – Sanktionen • § 26 Abs. 1 Z 5 NISG: „der Meldepflicht nach § 19 Abs. 1 iVm Abs. 3 und 4 oder § 21 Abs. 2 nicht nachkommt.“ • Die Begehung ist mit Geldstrafe bis zu 50.000 Euro, im Wiederholungsfall bis zu 100.000 Euro zu bestrafen. Vienna Legal Hackers - 08. Juli 2019 15
  • 16. bmi.gv.at Ausblick • Weiterführung derArbeiten an sektorenspezifischen Sicherheitsstandards • NIS-Website (https://www.nis.gv.at/) • Kundmachung und Inkrafttreten der Verordnungen • Beginn der Ermittlungsverfahren der Betreiber durch BKA • Eignungsprüfung der Qualifizierten Stellen durch BMI • Ermittlung sektorenspezifischer Computer-Notfallteams • Begleitend NIS Fact Sheets • Begleitend Aktivitäten auf EU-Ebene (z.B. BlueOLEX 2019) Vienna Legal Hackers - 08. Juli 2019 16
  • 17. bmi.gv.at Danke für Ihre Aufmerksamkeit! Mag. Gernot Goluch II/.BVT/5-NIS nis@bvt.gv.at