Sicherheit und Integrität

§ 16a.

(1) Betreiber öffentlicher Kommunikationsnetze haben geeignete Maßnahmen zur Gewährleistung der Integrität ihrer Netze zu ergreifen und die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicher zu stellen.

(2) Betreiber öffentlicher Kommunikationsnetze oder -dienste haben unter Berücksichtigung des Standes der Technik durch angemessene technische und organisatorische Maßnahmen ein Sicherheitsniveau zu gewährleisten, das zur Beherrschung der Risiken für die Netzsicherheit geeignet ist. Die Maßnahmen müssen insbesondere geeignet sein, Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze zu vermeiden bzw. so gering wie möglich zu halten.

(3) Betreiber öffentlicher Kommunikationsnetze oder -dienste sind verpflichtet, der Regulierungsbehörde im Rahmen ihrer gesetzlich übertragenen Aufgaben nach Aufforderung die zur Beurteilung der Sicherheit oder Integrität ihrer Dienste und Netze erforderlichen Informationen, einschließlich Unterlagen über ihre Sicherheitsmaßnahmen, zu übermitteln.

(4) Die Regulierungsbehörde kann im Rahmen ihrer gesetzlich übertragenen Aufgaben bei Vorliegen konkreter Anhaltspunkte für einen Verstoß gegen diese Bestimmung Betreiber öffentlicher Kommunikationsnetze und -dienste verpflichten, sich auf deren Kosten einer Sicherheitsüberprüfung durch die Regulierungsbehörde oder durch eine von ihr beauftragte qualifizierte unabhängige Stelle zu unterziehen.

(5) Betreiber öffentlicher Kommunikationsnetze oder -dienste haben der Regulierungsbehörde Sicherheitsverletzungen oder einen Verlust der Integrität in der von der Regulierungsbehörde vorgeschriebenen Form mitzuteilen, sofern dadurch beträchtliche Auswirkungen auf den Netzbetrieb oder die Dienstebereitstellung eingetreten sind.

(6) Die Regulierungsbehörde, kann Regulierungsbehörden anderer Mitgliedstaaten oder die Europäische Agentur für Netz- und Informationssicherheit (ENISA) über eine erfolgte Mitteilung nach Abs. 5 informieren, soweit dies für die ihnen übertragenen Aufgaben erforderlich ist.

(7) Liegt die Bekanntgabe der Verletzung im öffentlichen Interesse, kann die Regulierungsbehörde die Öffentlichkeit selbst in geeigneter Weise darüber informieren oder den betroffenen Betreiber zur Information der Öffentlichkeit auffordern.

(8) Bis 31. März des Folgejahres hat die Regulierungsbehörde der Europäischen Kommission und der ENISA einen zusammenfassenden Bericht über die nach Abs. 5 eingegangenen Mitteilungen und die ergriffenen Maßnahmen vorzulegen.

(9) Die Regulierungsbehörde kann im Einvernehmen mit dem Bundesminister für Verkehr, Innovation und Technologie und mit dem Bundesminister für Inneres unter Bedachtnahme auf die relevanten internationalen Vorschriften, auf die Art des Netzes oder des Dienstes, auf die technischen Möglichkeiten, auf den Schutz personenbezogener Daten und auf sonstige schutzwürdige Interessen von Nutzern mit Verordnung die näheren Bestimmungen zur Umsetzung der §§ 16 und 16a über

1. 1. die Sicherheit des Netzbetriebes,
2. 2. die Aufrechterhaltung der Netzintegrität,
3. 3. die Interoperabilität von Diensten,
4. 4. vorbeugende Sicherheitsmaßnahmen,
5. 5. die Ausgestaltung von Sicherheitsrichtlinien, insbesondere Identitäts-, Zutritts- und Zugriffsverwaltung, sowie
6. 6. die Vorgehensweise bei Sicherheitsverletzungen von Betreibern öffentlicher Kommunikationsnetze oder -dienste festlegen.

(10) Eine Verordnung gemäß Abs. 9 ist in Bezug auf Rundfunknetze und die Übertragung von Rundfunksignalen von der KommAustria zu erlassen.

(11) Die Regulierungsbehörde hat sich in jenen Fällen, in denen auch die Zuständigkeit der Datenschutzbehörde berührt ist, mit der Datenschutzbehörde abzustimmen und die gewonnenen Informationen auszutauschen.

(12) Die Bestimmungen des § 95a und des Datenschutzgesetzes, BGBl. I Nr. 165/1999, bleiben unberührt.

Schlagworte

Kommunikationsdienst, Netzsicherheit, Identitätsverwaltung, Zutrittsverwaltung

Zuletzt aktualisiert am

03.12.2018

Gesetzesnummer

20002849

Dokumentnummer

NOR40176183