BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2019

Ausgegeben am 17. Juli 2019

Teil II

215. Verordnung:

Netz- und Informationssystemsicherheitsverordnung – NISV

215. Verordnung des Bundesministers für EU, Kunst, Kultur und Medien zur Festlegung von Sicherheitsvorkehrungen und näheren Regelungen zu den Sektoren sowie zu Sicherheitsvorfällen nach dem Netz- und Informationssystemsicherheitsgesetz (Netz- und Informationssystemsicherheitsverordnung – NISV)

Auf Grund des Paragraph 4, Absatz 2, des Netz- und Informationssystemsicherheitsgesetzes (NISG), Bundesgesetzblatt Teil eins, Nr. 111 aus 2018,, wird im Einvernehmen mit dem Bundesminister für Inneres verordnet:

Inhaltsverzeichnis

1. Abschnitt
Allgemeine Bestimmungen

Paragraph eins,

Gegenstand der Verordnung

Paragraph 2,

Begriffsbestimmungen zu wesentlichen Diensten

Paragraph 3,

Begriffsbestimmungen zu Sicherheitsvorfällen

2. Abschnitt
Wesentliche Dienste und Sicherheitsvorfälle

Paragraph 4,

Sektor Energie

Paragraph 5,

Sektor Verkehr

Paragraph 6,

Sektor Bankwesen

Paragraph 7,

Sektor Finanzmarktinfrastrukturen

Paragraph 8,

Sektor Gesundheitswesen

Paragraph 9,

Sektor Trinkwasserversorgung

Paragraph 10,

Sektor Digitale Infrastruktur

3. Abschnitt
Sicherheitsvorkehrungen

Paragraph 11,

Sicherheitsvorkehrungen

4. Abschnitt
Schlussbestimmungen

Paragraph 12,

Personenbezogene Bezeichnungen

Paragraph 13,

Verweisungen

Paragraph 14,

Inkrafttreten

1. Abschnitt
Allgemeine Bestimmungen

Gegenstand der Verordnung

Paragraph eins,

Gegenstand dieser Verordnung ist die Festlegung

  1. Ziffer eins
    von Kriterien für die Parameter zu Sicherheitsvorfällen gemäß Paragraph 3, Ziffer 6, Litera a, bis d NISG;
  2. Ziffer 2
    näherer Regelungen zu den in Paragraph 2, NISG genannten Sektoren gemäß Paragraph 16, Absatz 2, NISG;
  3. Ziffer 3
    von Sicherheitsvorkehrungen nach Paragraph 17, Absatz eins, NISG;
  4. Ziffer 4
    von Ausnahmen von Verpflichtungen für Betreiber wesentlicher Dienste gemäß Paragraph 20, Absatz eins, NISG.

Begriffsbestimmungen zu wesentlichen Diensten

Paragraph 2,

Im Sinne dieser Verordnung bedeutet

  1. Ziffer eins
    „Internet-Knoten“ (IXP – Internet Exchange Point) eine Netzeinrichtung, die die Zusammenschaltung von mehr als zwei unabhängigen autonomen Systemen ermöglicht, in erster Linie zur Erleichterung des Austauschs von Internet-Datenverkehr;
  2. Ziffer 2
    „Domain-Namen-System“ (DNS) ein hierarchisch unterteiltes Bezeichnungssystem in einem Netz zur Beantwortung von Anfragen zu Domain-Namen;
  3. Ziffer 3
    „Top-Level-Domain-Name-Registry“ eine Einrichtung, die die Registrierung von Internet-Domain-Namen innerhalb einer spezifischen Top-Level-Domain (TLD) verwaltet und betreibt;
  4. Ziffer 4
    „DNS-Resolver“ Programme, die Informationen von DNS-Servern zur Beantwortung von Client-Anfragen abfragen (Namensauflösung) und bei Unkenntnis der Antwort die Client-Anfragen an übergeordnete DNS-Server weiterreichen;
  5. Ziffer 5
    „Autoritativer DNS-Server“ ein Server, der den Inhalt einer DNS-Zone kennt und somit Abfragen zu dieser Zone beantworten kann, ohne andere DNS-Server abfragen zu müssen;
  6. Ziffer 6
    „Verkehrssteuerungs- und Leitsysteme“ Einrichtungen zur Regelung und Sicherung des Verkehrs, deren Funktionsfähigkeit von Netz- und Informationssystemen abhängig ist;
  7. Ziffer 7
    „kommunaler Straßenverkehr“ der Straßenverkehr in Städten mit mehr als 88 000 Einwohnern;
  8. Ziffer 8
    „Krankenanstalten“
    1. Litera a
      öffentliche Krankenanstalten gemäß Paragraph 2, Absatz eins, Ziffer eins, des Bundesgesetzes über Krankenanstalten- und Kuranstalten (KAKuG), Bundesgesetzblatt Nr. 1 aus 1957,, mit Ausnahme der Pflegeabteilungen in öffentlichen Krankenanstalten für Psychiatrie;
    2. Litera b
      private Krankenanstalten der im Paragraph 2, Absatz eins, Ziffer eins, KAKuG bezeichneten Art, die gemäß Paragraph 16, KAKuG gemeinnützig geführte Krankenanstalten sind;
    3. Litera c
      Sonderkrankenanstalten gemäß Paragraph 2, Absatz eins, Ziffer 2, KAKuG, die überwiegend unfallchirurgische Akutversorgung leisten und gemeinnützig geführt sind;
  9. Ziffer 9
    „Versorgungsregionen“ die 32 Versorgungsregionen gemäß dem Österreichischen Strukturplan Gesundheit (ÖSG);
  10. Ziffer 10
    „zentral gelegene Versorgungsregionen mit großem Einzugsgebiet“
    1. Litera a
      Versorgungsregionen mit mehr als 300 000 Einwohnern, sofern in diesen eine Landeshauptstadt gelegen ist;
    2. Litera b
      die Versorgungsregionen in der Bundeshauptstadt;
  11. Ziffer 11
    „akutambulante ärztliche Versorgung“ die ambulante ärztliche Versorgung, die rund um die Uhr oder während der Öffnungszeiten ohne Terminvereinbarung zur Verfügung steht.

Begriffsbestimmungen zu Sicherheitsvorfällen

Paragraph 3,

Im Sinne dieser Verordnung bedeutet

  1. Ziffer eins
    „Ausfall des betriebenen Dienstes“ die Unverfügbarkeit des Dienstes für Nutzer;
  2. Ziffer 2
    „Einschränkung der Verfügbarkeit des betriebenen Dienstes“ die signifikant geminderte Verfügbarkeit des Dienstes in qualitativer Dimension für Nutzer;
  3. Ziffer 3
    „Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen“ (Paragraph 3, Ziffer 6, Litera a, NISG) die Zahl der von einem Sicherheitsvorfall betroffenen natürlichen und juristischen Personen, mit denen ein Vertrag über die Bereitstellung des Dienstes abgeschlossen wurde, oder die Zahl der betroffenen Nutzer, die den Dienst im Zeitpunkt des Sicherheitsvorfalls genutzt haben oder für die voraussichtliche Dauer des Sicherheitsvorfalls nutzen würden;
  4. Ziffer 4
    „Dauer des Sicherheitsvorfalls“ (Paragraph 3, Ziffer 6, Litera b, NISG) der in Stunden angegebene Zeitraum vom Ausfall oder von der Einschränkung der Verfügbarkeit des betriebenen Dienstes bis zum Zeitpunkt der uneingeschränkten Wiederherstellung;
  5. Ziffer 5
    „geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet“ (Paragraph 3, Ziffer 6, Litera c, NISG) eine geografische Ausbreitung, bei der der Ausfall oder die Einschränkung der Verfügbarkeit des betriebenen wesentlichen Dienstes Gebiete in einem oder mehreren Mitgliedstaaten der Europäischen Union oder der Europäischen Freihandelsassoziation betrifft;
  6. Ziffer 6
    „Auswirkung auf wirtschaftliche und gesellschaftliche Tätigkeiten“ (Paragraph 3, Ziffer 6, Litera d, NISG) nachteilige Auswirkungen auf Einrichtungen und Personen, insbesondere betroffene Nutzer, unabhängig davon, ob diese Auswirkungen materielle oder immaterielle Verluste für diese verursacht haben;
  7. Ziffer 7
    „Nutzerstunden“ das Produkt der Anzahl der von dem Sicherheitsvorfall betroffenen Nutzer (Ziffer 3,) mit der Dauer des Sicherheitsvorfalls (Ziffer 4,);
  8. Ziffer 8
    „Zählpunktstunden“ das Produkt der Anzahl der Zählpunkte mit der Dauer des Sicherheitsvorfalls (Ziffer 4,).

2. Abschnitt
Wesentliche Dienste und Sicherheitsvorfälle

Sektor Energie

Paragraph 4,

  1. Absatz einsWegen ihrer Bedeutung für die Aufrechterhaltung der öffentlichen Versorgung mit Energie im Sinne des Paragraph 16, Absatz 2, NISG sind im Sektor Energie wesentliche Dienste:
    1. Ziffer eins
      im Teilsektor Elektrizität
      1. Litera a
        im Bereich der Stromerzeugung
        1. Sub-Litera, a, a
          der Betrieb einer Erzeugungsanlage, die mehr als 340 MW Engpassleistung hat;
        2. Sub-Litera, b, b
          der Betrieb von Systemen zur Steuerung von Erzeugungsanlagen, die zusammen mehr als 340 MW Engpassleistung haben;
      2. Litera b
        im Bereich der Stromverteilung der Betrieb eines Verteilernetzes, über das Elektrizität an mehr als 88 000 Zählpunkte transportiert wird, oder das in einer Landeshauptstadt gelegen ist;
      3. Litera c
        im Bereich der Stromübertragung der Betrieb eines Übertragungsnetzes durch Übertragungsnetzbetreiber;
    2. Ziffer 2
      im Teilsektor Erdöl
      1. Litera a
        im Bereich der Erdölförderung der Betrieb von Anlagen zur Förderung von Erdöl, wenn die geförderte Menge mehr als 20% Anteil am jährlichen inländischen Mineralölverbrauch ausmacht;
      2. Litera b
        im Bereich der Erdöllagerung der Betrieb einer Anlage, in der Pflichtnotstandsreserven in Form von Erdöl, Erdölprodukten, Biokraftstoffen oder Rohstoffen zur direkten Erzeugung von Biokraftstoffen gelagert werden, und die einen Lagerbestand von mehr als 10 000 Tonnen hat;
      3. Litera c
        im Bereich des Erdöltransports der Betrieb einer Erdölfernleitung, wenn die transportierte Menge vier Millionen Tonnen pro Jahr übersteigt;
      4. Litera d
        im Bereich der Erdölraffination der Betrieb von Anlagen zur Raffination und Aufbereitung von Erdöl, die mehr als acht Millionen Tonnen pro Jahr verarbeiten;
    3. Ziffer 3
      im Teilsektor Erdgas
      1. Litera a
        im Bereich der Gasförderung der Betrieb von Gasförderungsanlagen, wenn die geförderte Menge mehr als 20% Anteil am jährlichen Inlandgasverbrauch ausmacht;
      2. Litera b
        im Bereich der Gasspeicherung der Betrieb einer Speicheranlage, die mehr als 10 000 GWh Arbeitsgasvolumen pro Jahr hat;
      3. Litera c
        im Bereich des Gastransports der Betrieb einer Fernleitungsanlage;
      4. Litera d
        im Bereich der Gasverteilung der Betrieb eines Verteilernetzes, über das Erdgas an mehr als 88 000 Zählpunkte transportiert wird;
      5. Litera e
        im Bereich des Marktgebietsmanagements die Koordination der Netzsteuerung und des Einsatzes von Netzpufferung (Linepack) sowie der Abruf der physikalischen Ausgleichsenergie;
      6. Litera f
        im Bereich des Verteilergebietsmanagements
        1. Sub-Litera, a, a
          der Abruf der physikalischen Ausgleichsenergie im Verteilergebiet;
        2. Sub-Litera, b, b
          die Bereitstellung der Systemdienstleistung (Leistungs- und Druckregelung bzw. Druckhaltung) durch Vornahme des technisch-physikalischen Ausgleichs;
        3. Sub-Litera, c, c
          die Steuerung der Verteilerleitungsanlagen der Netzebene 1 durch Vorgaben an die Verteilernetzbetreiber.
  2. Absatz 2Im Sektor Energie liegt ein Sicherheitsvorfall im Sinne des Paragraph 3, Ziffer 6, NISG vor, wenn
    1. Ziffer eins
      im Teilsektor Elektrizität
      1. Litera a
        im Bereich der Stromerzeugung
        1. Sub-Litera, a, a
          bei dem in Absatz eins, Ziffer eins, Litera a, Sub-Litera, a, a, genannten Dienst die Erzeugungsleistung einer Erzeugungsanlage in Summe um mehr als 340 MW verringert ist;
        2. Sub-Litera, b, b
          bei dem in Absatz eins, Ziffer eins, Litera a, Sub-Litera, b, b, genannten Dienst die von den Systemen steuerbare Erzeugungsleistung aller Erzeugungsanlagen in Summe um mindestens 340 MW verringert ist;
      2. Litera b
        im Bereich der Stromverteilung der in Absatz eins, Ziffer eins, Litera b, genannte Dienst für mehr als 1 056 000 Zählpunktstunden ausfällt oder nur eingeschränkt verfügbar ist;
      3. Litera c
        im Bereich der Stromübertragung der in Absatz eins, Ziffer eins, Litera c, genannte Dienst für mehr als drei Stunden ausfällt oder nur eingeschränkt verfügbar ist;
    2. Ziffer 2
      im Teilsektor Erdöl
      1. Litera a
        der in Absatz eins, Ziffer 2, Litera a, genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist;
      2. Litera b
        der in Absatz eins, Ziffer 2, Litera b, genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist;
      3. Litera c
        bei dem in Absatz eins, Ziffer 2, Litera c, genannten Dienst die geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet mehr als einen Mitgliedstaat der Europäischen Union betrifft;
      4. Litera d
        der in Absatz eins, Ziffer 2, Litera d, genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist;
    3. Ziffer 3
      im Teilsektor Erdgas
      1. Litera a
        im Bereich der Gasförderung der in Absatz eins, Ziffer 3, Litera a, genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist;
      2. Litera b
        im Bereich der Gasspeicherung der in Absatz eins, Ziffer 3, Litera b, genannte Dienst für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist;
      3. Litera c
        im Bereich des Gastransports bei dem in Absatz eins, Ziffer 3, Litera c, genannten Dienst die geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet mehr als einen Mitgliedstaat der Europäischen Union betrifft;
      4. Litera d
        im Bereich der Gasverteilung der in Absatz eins, Ziffer 3, Litera d, genannte Dienst für mehr als 1 056 000 Zählpunktstunden ausfällt oder nur eingeschränkt verfügbar ist;
      5. Litera e
        im Bereich des Marktgebietsmanagements der in Absatz eins, Ziffer 3, Litera e, genannte Dienst für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist;
      6. Litera f
        im Bereich des Verteilergebietsmanagements einer der in Absatz eins, Ziffer 3, Litera f, genannten Dienste für mehr als zwöf Stunden ausfällt oder nur eingeschränkt verfügbar ist.
  3. Absatz 3Unbeschadet der Begriffsbestimmungen in Paragraph 2, gelten
    1. Ziffer eins
      im Teilsektor Elektrizität für die in Absatz eins, Ziffer eins, verwendeten Begriffe die Begriffsbestimmungen des Elektrizitätswirtschafts- und -organisationsgesetzes 2010 (ElWOG 2010), BGBl. römisch eins Nr. 110/2010;
    2. Ziffer 2
      im Teilsektor Erdöl für die in Absatz eins, Ziffer 2, Litera c, verwendeten Begriffe die Begrifflichkeiten des Erdölbevorratungsgesetzes 2012 (EBG 2012), BGBl. römisch eins Nr. 78/2012;
    3. Ziffer 3
      im Teilsektor Erdgas für die in Absatz eins, Ziffer 3, verwendeten Begriffe die Begriffsbestimmungen des Gaswirtschaftsgesetzes 2011 (GWG 2011), Bundesgesetzblatt Teil eins, Nr. 107 aus 2011,.

Sektor Verkehr

Paragraph 5,

  1. Absatz einsWegen ihrer Bedeutung für die Aufrechterhaltung des öffentlichen Verkehrs im Sinne des Paragraph 16, Absatz 2, NISG sind im Sektor Verkehr wesentliche Dienste:
    1. Ziffer eins
      im Teilsektor Luftverkehr
      1. Litera a
        die Beförderung von Personen im gewerblichen Luftverkehr durch ein Luftverkehrsunternehmen, das mehr als 33% der jährlich abgefertigten Passagiere an einem Flughafen befördert, der jährlich mehr als zehn Millionen Passagiere abfertigt;
      2. Litera b
        im Bereich des Betriebes eines Flughafens die Flugabwicklung, insbesondere die Fluggastabfertigung und die Gepäckabfertigung sowie der Betrieb der Sicherheitssysteme, an einem Flughafen, der jährlich mehr als zehn Millionen Passagiere abfertigt;
      3. Litera c
        im Bereich der Flugsicherung
        1. Sub-Litera, a, a
          Flugsicherungsdienste durch Einrichtungen, denen die Wahrnehmung der Flugsicherung als hoheitliche Aufgabe des Bundes nach dem Luftfahrtgesetz (LFG), Bundesgesetzblatt Nr. 253 aus 1957,, obliegt;
        2. Sub-Litera, b, b
          Flugplatzkontrolldienste an einem Flughafen, der jährlich mehr als zehn Millionen Passagiere abfertigt;
    2. Ziffer 2
      im Teilsektor Schienenverkehr
      1. Litera a
        im Bereich der Infrastruktur
        1. Sub-Litera, a, a
          der Betrieb von Eisenbahninfrastrukturen, die mehr als 100 km Teil des Kernnetzes des transeuropäischen Verkehrsnetzes nach der Kartendarstellung 5.3 des Anhanges 1 der Verordnung (EU) Nr. 1315/2013 über Leitlinien der Union für den Aufbau eines transeuropäischen Verkehrsnetzes und zur Aufhebung des Beschlusses Nr. 661/2010/EU, ABl. Nr. L 348 vom 20.12.2013 S. 1, sind;
        2. Sub-Litera, b, b
          der Betrieb von Personenhauptbahnhöfen in Landeshauptstädten;
      2. Litera b
        im Bereich der Eisenbahnverkehrsdienste
        1. Sub-Litera, a, a
          die schienengebundene Personenbeförderung von mehr als 300 Millionen Passagieren im Jahr;
        2. Sub-Litera, b, b
          die schienengebundene Beförderung von mehr als 100 Millionen Tonnen Güter im Jahr;
    3. Ziffer 3
      im Teilsektor Straßenverkehr
      1. Litera a
        der Betrieb der Verkehrssteuerungs- und Leitsysteme des Bundesstraßennetzes;
      2. Litera b
        der Betrieb der Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr;
      3. Litera c
        der Betrieb der Verkehrssteuerungs- und Leitsysteme in Tunneln nach dem Straßentunnel-Sicherheitsgesetz (STSG), Bundesgesetzblatt Teil eins, Nr. 54 aus 2006,.
  2. Absatz 2Im Sektor Verkehr liegt ein Sicherheitsvorfall im Sinne des Paragraph 3, Ziffer 6, NISG vor, wenn
    1. Ziffer eins
      im Teilsektor Luftverkehr
      1. Litera a
        der in Absatz eins, Ziffer eins, Litera a, genannte Dienst für mehr als drei Stunden ausfällt oder nur eingeschränkt verfügbar ist;
      2. Litera b
        im Bereich des Betriebes eines Flughafens innerhalb von 24 Stunden mehr als ein Drittel der Nutzer eines durchschnittlichen Tagesaufkommens, gemessen am Medianwert des vorangegangenen Kalenderjahres, von einem Ausfall oder der Einschränkung der Verfügbarkeit des in Absatz eins, Ziffer eins, Litera b, genannten Dienstes betroffen sind;
      3. Litera c
        im Bereich der Flugsicherung der in Absatz eins, Ziffer eins, Litera c, Sub-Litera, a, a, oder bb genannte Dienst für mehr als drei Stunden ausfällt oder nur eingeschränkt verfügbar ist;
    2. Ziffer 2
      im Teilsektor Schienenverkehr
      1. Litera a
        im Bereich der Infrastruktur
        1. Sub-Litera, a, a
          der in Absatz eins, Ziffer 2, Litera a, Sub-Litera, a, a, genannte Dienst für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist;
        2. Sub-Litera, b, b
          der in Absatz eins, Ziffer 2, Litera b, Sub-Litera, b, b, genannte Dienst für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist;
      2. Litera b
        im Bereich der Eisenbahnverkehrsdienste
        1. Sub-Litera, a, a
          der in Absatz eins, Ziffer 2, Litera b, Sub-Litera, a, a, genannte Dienst für mehr als drei Stunden ausfällt oder nur eingeschränkt verfügbar ist;
        2. Sub-Litera, b, b
          der in Absatz eins, Ziffer 2, Litera b, Sub-Litera, b, b, genannte Dienst für mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist;
    3. Ziffer 3
      im Teilsektor Straßenverkehr
      1. Litera a
        in Folge eines Ausfalls oder der eingeschränkten Verfügbarkeit des in Absatz eins, Ziffer 3, Litera a, genannten Dienstes eine zuständige Behörde für mehr als sechs Stunden angesetzte Verkehrsverbote oder Verkehrsbeschränkungen erlassen hat;
      2. Litera b
        der in Absatz eins, Ziffer 3, Litera b, genannte Dienst für mehr als drei Stunden ausfällt oder nur eingeschränkt verfügbar ist;
      3. Litera c
        der in Absatz eins, Ziffer 3, Litera a, oder c genannte Dienst für mehr als sechs Stunden ausfällt oder nur eingeschränkt verfügbar ist.
  3. Absatz 3Unbeschadet der Begriffsbestimmungen in Paragraph 2, gelten
    1. Ziffer eins
      im Teilsektor Luftverkehr für die in Absatz eins, Ziffer eins, Litera a und b verwendeten Begriffe die Begriffsbestimmungen des LFG und für die in Absatz eins, Ziffer eins, Litera c, Sub-Litera, a, a und bb verwendeten Begriffe die Begriffsbestimmungen der Verordnung (EG) Nr. 549/2004, ABl. L 96 vom 31.3.2004 S. 1;
    2. Ziffer 2
      im Teilsektor Schienenverkehr für die in Absatz eins, Ziffer 2, Litera a, Sub-Litera, a, a, verwendeten Begriffe die Begriffsbestimmungen des Eisenbahngesetzes 1957 (EisbG), BGBl. Nr. 60/1957;
    3. Ziffer 3
      im Teilsektor Straßenverkehr für die in Absatz eins, Ziffer 3, Litera a, verwendeten Begriffe die Begriffsbestimmungen des Bundesstraßengesetzes 1971 (BStG 1971), Bundesgesetzblatt Nr. 286 aus 1971,.

Sektor Bankwesen

Paragraph 6,

  1. Absatz einsWegen ihrer Bedeutung für die Aufrechterhaltung des Zahlungsverkehrs im Sinne des Paragraph 16, Absatz 2, NISG sind im Sektor Bankwesen wesentliche Dienste:
    1. Ziffer eins
      der Betrieb von Systemen zur Erbringung von Diensten, mit denen Bareinzahlungen auf ein Zahlungskonto ermöglicht werden;
    2. Ziffer 2
      der Betrieb von Systemen zur Erbringung von Diensten, mit denen Barabhebungen von einem Zahlungskonto ermöglicht werden;
    3. Ziffer 3
      der Betrieb von Systemen zur Ausführung von Zahlungsvorgängen einschließlich des Transfers von Geldbeträgen auf ein Zahlungskonto beim Zahlungsdienstleister des Zahlungsdienstnutzers oder bei einem anderen Zahlungsdienstleister;
    4. Ziffer 4
      der Betrieb von Systemen zur Ausführung von Zahlungsvorgängen, wenn die Beträge durch einen Kreditrahmen für einen Zahlungsdienstnutzer gedeckt sind.
  2. Absatz 2Im Sektor Bankwesen liegt ein Sicherheitsvorfall im Sinne des Paragraph 3, Ziffer 6, NISG vor, wenn
    1. Ziffer eins
      der Vorfall eine mögliche finanzielle Auswirkung von mehr als fünf Millionen Euro oder 0,1% des harten Kernkapitals hat;
    2. Ziffer 2
      eine öffentliche Berichterstattung über den Vorfall stattfand;
    3. Ziffer 3
      eine Person in Leitungsfunktion über den Vorfall (Paragraph 3, Ziffer 7, NISG) unterrichtet wurde, sofern diese üblicherweise nicht über Risiken (Paragraph 3, Ziffer 8, NISG) oder Vorfälle unterrichtet wird und es sich nicht um eine regelmäßige oder routinemäßige Berichterstattung handelt;
    4. Ziffer 4
      das Betriebskontinuitätsmanagement, Notfallmanagement oder ein anderer interner Krisenplan auf Ebene der Gruppe angewendet wird;
    5. Ziffer 5
      zur Deckung finanzieller Verluste eine Cyberversicherung herangezogen wird.
  3. Absatz 3Im Sektor Bankwesen bestehen für Betreiber eines wesentlichen Dienstes im Sinne des Absatz eins, Ziffer eins bis 4 zu Sicherheitsvorkehrungen in Paragraph 85, des Zahlungsdienstegesetzes 2018 (ZaDiG 2018), Bundesgesetzblatt Teil eins, Nr. 17 aus 2018,, und zur Meldepflicht in Paragraph 86, ZaDiG 2018 Vorschriften, die zumindest ein gleichwertiges Sicherheitsniveau für Netz- und Informationssysteme gemäß Paragraph 20, NISG gewährleisten.
  4. Absatz 4Als Betreiber wesentlicher Dienste im Sinne des Absatz eins, können nur CRR-Kreditinstitute, übergeordnete Kreditinstitute oder Zentralorganisationen von Kreditinstitute-Verbünden im Sinne des Bankwesengesetzes (BWG), Bundesgesetzblatt Nr. 532 aus 1993,, ermittelt werden, deren Gesamtwert der Aktiva 30 Milliarden Euro übersteigt. Bei übergeordneten Kreditinstituten ist der Gesamtwert der Aktiva der Kreditinstitutsgruppe gemäß Paragraph 30, BWG, bei Zentralorganisationen der Gesamtwert der Aktiva des Kreditinstitute-Verbunds gemäß Paragraph 30 a, BWG zu berücksichtigen.

Sektor Finanzmarktinfrastrukturen

Paragraph 7,

  1. Absatz einsWegen ihrer Bedeutung für die Aufrechterhaltung des Handelsplatzes sind im Sektor Finanzmarktinfrastrukturen wesentliche Dienste im Sinne des Paragraph 16, Absatz 2, NISG:
    1. Ziffer eins
      im Bereich der Handelsplätze (Paragraph eins, Ziffer 12, des Börsegesetzes 2018 (BörseG 2018), Bundesgesetzblatt Teil eins, Nr. 107 aus 2017,)
      1. Litera a
        die technische Anbindung der Handels- und Clearingteilnehmer;
      2. Litera b
        die Bereitstellung der elektronischen Handelsplattform;
      3. Litera c
        die Marktsteuerung als technischer Dienst;
    wenn pro Geschäftsjahr an diesem Handelsplatz mehr als zehn Millionen Transaktionen stattgefunden haben;
    1. Ziffer 2
      im Bereich der Abwicklung durch zentrale Gegenparteien (Artikel 2, Absatz eins, der Verordnung (EU) Nr. 648/2012, ABl. Nr. L 201 vom 27.7.2012 S. 1) das Zurverfügungstellen eines Abwicklungssystems, wenn die zentrale Gegenpartei gemäß Paragraph 9, Absatz 3, BörseG 2018 als Abwicklungsstelle von einem Handelsplatz, an dem pro Geschäftsjahr mehr als zehn Millionen Transaktionen stattgefunden haben, beauftragt wurde;
    2. Ziffer 3
      im Bereich der Zentralverwahrer (Artikel 2, Absatz eins, Ziffer eins, der Verordnung (EU) Nr. 909/2014, ABl. Nr. L 257 vom 28.8.2014 S. 1)
      1. Litera a
        das Bereitstellen und Führen von Depotkonten auf oberster Ebene nach Abschnitt A Nr. 2 des Anhangs zur Verordnung (EU) Nr. 909/2014, wenn die Anzahl der stücknotierten Wertpapiere mehr als acht Milliarden im Geschäftsjahr beträgt;
      2. Litera b
        der Betrieb eines Wertpapierliefer- und -abrechnungssystems nach Abschnitt A Nr. 3 des Anhangs zur Verordnung (EU) Nr. 909/2014, wenn die Anzahl der abgewickelten Transaktionen höher als eine Million im Geschäftsjahr ist.
  2. Absatz 2Im Sektor Finanzmarktinfrastrukturen liegt ein Sicherheitsvorfall im Sinne des Paragraph 3, Ziffer 6, NISG vor, wenn
    1. Ziffer eins
      im Bereich der Handelsplätze der Handel aufgrund eines Ausfalls oder der eingeschränkten Verfügbarkeit eines in Absatz eins, Ziffer eins, Litera a bis c genannten Dienstes unterbrochen wird;
    2. Ziffer 2
      im Bereich der Abwicklung durch zentrale Gegenparteien das Awicklungssystem für mehr als zwölf Stunden ausfällt oder nur eingeschränkt zur Verfügung gestellt werden kann;
    3. Ziffer 3
      im Bereich der Zentralverwahrer einer der in Absatz eins, Ziffer 3, Litera a und b genannten Dienste für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist.
  3. Absatz 3Im Sektor Finanzmarktinfrastrukturen bestehen für Einrichtungen, die einen wesentlichen Dienst erbringen im Sinne des
    1. Ziffer eins
      Absatz eins, Ziffer eins, zu Sicherheitsvorkehrungen in Paragraph 11, Absatz eins, BörseG 2018 in Verbindung mit Artikel 15,, 16 und 23 Absatz eins und 2 der delegierten Verordnung (EU) 2017/584, ABl. Nr. L 87 vom 31.3.2017 S. 350;
    2. Ziffer 2
      Absatz eins, Ziffer 2, zu Sicherheitsvorkehrungen in Artikel 26, Absatz eins,, 3 und 6 und Artikel 34, der Verordnung (EU) Nr. 648/2012 in Verbindung mit Artikel 4 und 9 der delegierten Verordnung (EU) Nr. 153/2013, ABl. Nr. L 52 vom 23.2.2013 S. 41;
    3. Ziffer 3
      Absatz eins, Ziffer 3, zu Sicherheitsvorkehrungen in Artikel 45, der Verordnung (EU) Nr. 909/2014 in Verbindung mit Artikel 75, der delegierten Verordnung (EU) 2017/392, ABl. Nr. L 65 vom 10.3.2017 S. 48;
    Vorschriften, die zumindest ein gleichwertiges Sicherheitsniveau für Netz- und Informationssysteme gemäß Paragraph 20, NISG gewährleisten.

Sektor Gesundheitswesen

Paragraph 8,

  1. Absatz einsWegen ihrer Bedeutung für die Aufrechterhaltung des öffentlichen Gesundheitsdienstes im Sinne des Paragraph 16, Absatz 2, NISG sind im Sektor Gesundheitswesen wesentliche Dienste:
    1. Ziffer eins
      die medizinische Versorgung in den Bereichen Diagnose, Therapie und Pflege als
      1. Litera a
        akutstationäre Versorgung oder
      2. Litera b
        akutambulante ärztliche Versorgung (Paragraph 2, Ziffer 11,) in einer Spitalsambulanz
    durch Krankenanstalten gemäß Absatz 3, Ziffer eins bis 5, wenn sie insgesamt drei Betten je 1 000 Einwohner pro Bundesland in zentral gelegenen Versorgungsregionen mit großem Einzugsgebiet (Paragraph 2, Ziffer 10,), oder zwei Betten je 1 000 Einwohner pro Bundesland in allen anderen Versorgungsregionen (Bettenrichtwerte) vorhalten;
    1. Ziffer 2
      das Betreiben einer Leitstelle, die die Durchführung von Notfallrettungstransporten unterstützt.
  2. Absatz 2Im Sektor Gesundheit liegt ein Sicherheitsvorfall im Sinne des Paragraph 3, Ziffer 6, NISG vor, wenn
    1. Ziffer eins
      der in Absatz eins, Ziffer eins, genannte Dienst für mehr als drei Stunden ausfällt oder nur eingeschränkt verfügbar ist;
    2. Ziffer 2
      der in Absatz eins, Ziffer 2, genannte Dienste für mehr als drei Stunden ausfällt oder nur eingeschränkt verfügbar ist.
  3. Absatz 3Zur Sicherstellung des Ziels, durch eine regional möglichst gleichmäßige Verteilung über das Bundesgebiet einen vielfältigen Versorgungsbedarf abzudecken, können Betreiber wesentlicher Dienste gemäß Absatz eins, Ziffer eins, nur folgende Krankenanstalten gemäß Paragraph 2, Ziffer 8, sein:
    1. Ziffer eins
      Zentralkrankenanstalten gemäß Paragraph 2 a, Absatz eins, Litera c, KAKuG,
    2. Ziffer 2
      Schwerpunktkrankenanstalten gemäß Paragraph 2 a, Absatz eins, Litera b, KAKuG, nämlich
      1. Litera a
        jeweils eine pro Versorgungsregion,
        1. Sub-Litera, a, a
          wenn es in der Versorgungsregion keine Krankenanstalt gemäß Ziffer eins, gibt, oder
        2. Sub-Litera, b, b
          zusätzlich zu einer Krankenanstalt gemäß Ziffer eins,, wenn in zentral gelegenen Versorgungsregionen mit großem Einzugsgebiet der Bettenrichtwert gemäß Absatz eins, Ziffer eins, nicht erreicht wird, oder
      2. Litera b
        mehrere pro Versorgungsregion in zentral gelegenen Versorgungsregionen mit großem Einzugsgebiet, wenn ansonsten der Bettenrichtwert gemäß Absatz eins, Ziffer eins, nicht erreicht wird, sowie
    3. Ziffer 3
      Standardkrankenanstalten gemäß Paragraph 2 a, Absatz eins, Litera a, KAKuG, wenn es in der betreffenden Versorgungsregion keine Krankenanstalt gemäß Ziffer eins, oder 2 gibt und die nächstgelegene Krankenanstalt gemäß Ziffer eins, oder 2 für die mehrheitliche Bevölkerung nicht in zumutbarer Zeit erreichbar ist,
    die neben Einrichtungen für Anästhesiologie und Intensivmedizin jedenfalls die Fachrichtungen Chirurgie, Innere Medizin sowie Frauenheilkunde und Geburtshilfe vorhalten, sowie
    1. Ziffer 4
      Krankenanstalten gemäß Paragraph 2, Ziffer 8, Litera c,, sowie
    2. Ziffer 5
      Krankenanstalten, die nicht von Ziffer eins bis 3 erfasst sind und die die Fachrichtung Neurochirurgie vorhalten, im Umfang dieser Fachrichtung.
  4. Absatz 4Hat eine Krankenanstalt gemäß Absatz 3, Ziffer eins bis 3 mehrere Standorte, werden wesentliche Dienste gemäß Absatz eins, Ziffer eins, durch jene Standorte erbracht,
    1. Ziffer eins
      die zu den in Absatz 3, genannten Fachrichtungen zusätzlich die oder die höhere Anzahl an den Fachrichtungen Kinder- und Jugendheilkunde oder Unfallchirurgie oder Orthopädie und Traumatologie vorhalten, oder
    2. Ziffer 2
      wenn mehrere Standorte keine zusätzlichen oder gleich viele Fachrichtungen vorhalten, jene Standorte, die zur Erreichung der Bettenrichtwerte gemäß Absatz eins, mehr Betten je 1 000 Einwohner pro Bundesland vorhalten.
  5. Absatz 5Gibt es in einer Versorgungsregion mehr als eine Schwerpunktkrankenanstalt und sind für die Erreichung der Bettenrichtwerte gemäß Absatz eins, nicht alle erforderlich (Absatz 3, Ziffer 2, Litera a,), werden die wesentlichen Dienste gemäß Absatz eins, Ziffer eins, nur durch jene Krankenanstalt erbracht, die für die mehrheitliche Bevölkerung dieser Versorgungsregion und gegebenenfalls für peripher gelegene Nachbarregionen am besten erreichbar ist.

Sektor Trinkwasserversorgung

Paragraph 9,

  1. Absatz einsWegen ihrer Bedeutung für die Aufrechterhaltung der öffentlichen Versorgung mit Trinkwasser im Sinne des Paragraph 16, Absatz 2, NISG sind im Sektor Trinkwasserversorgung wesentliche Dienste:
    1. Ziffer eins
      die Wassergewinnung, wenn die gewonnene Wassermenge, die zur weiteren Versorgung bestimmt ist, 6 424 000 m3 im Jahr übersteigt;
    2. Ziffer 2
      die Wasseraufbereitung, wenn die aufbereitete Wassermenge 6 424 000 m3 im Jahr übersteigt;
    3. Ziffer 3
      die leitungsgebundene Wasserverteilung, wenn die verteilte Wassermenge 6 424 000 m3 im Jahr übersteigt.
  2. Absatz 2Im Sektor Trinkwasserversorgung liegt ein Sicherheitsvorfall im Sinne des Paragraph 3, Ziffer 6, NISG vor, wenn
    1. Ziffer eins
      bei dem in Absatz eins, Ziffer eins, genannten Dienst um 17 600 m3 weniger als die durchschnittlich an einem Tag gewonnene Wassermenge gewonnen werden kann oder der Dienst für mehr als 2 112 000 Nutzerstunden ausfällt oder nur eingeschränkt verfügbar ist;
    2. Ziffer 2
      bei dem in Absatz eins, Ziffer 2, genannten Dienst um 17 600 m3 weniger als die durchschnittlich an einem Tag aufbereitete Wassermenge aufbereitet werden kann oder der Dienst für mehr als 2 112 000 Nutzerstunden ausfällt oder nur eingeschränkt verfügbar ist;
    3. Ziffer 3
      der in Absatz eins, Ziffer 3, genannte Dienst für mehr als 528 000 Nutzerstunden ausfällt oder nur eingeschränkt verfügbar ist.

Sektor Digitale Infrastruktur

Paragraph 10,

  1. Absatz einsWegen ihrer Bedeutung für die Aufrechterhaltung der Funktionsfähigkeit öffentlicher Informations- und Kommunikationstechnologie im Sinne des Paragraph 16, Absatz 2, NISG sind im Sektor Digitale Infrastruktur wesentliche Dienste:
    1. Ziffer eins
      im Bereich des Betriebs eines Internet-Knotens das Zurverfügungstellen von Infrastruktur zur multilateralen Zusammenschaltung, wenn die Anzahl der zusammengeschalteten autonomen Systeme 100 übersteigt;
    2. Ziffer 2
      im Bereich des Betriebs von DNS-Diensten
      1. Litera a
        das Betreiben von DNS-Resolver (Paragraph 2, Ziffer 4,), die im Rahmen der Bereitstellung eines Kommunikationsdienstes betrieben werden, wenn die Anzahl der Teilnehmer (Paragraph 3, Ziffer 19, Telekommunikationsgesetz 2003 (TKG 2003), Bundesgesetzblatt Teil eins, Nr. 70 aus 2003,) 88 000 übersteigt;
      2. Litera b
        das Betreiben von autoritativen DNS-Servern, wenn die Anzahl der Domains, für die der Server autoritativ ist oder die aus der Zone delegiert werden, 50 000 übersteigt;
      3. Litera c
        das Betreiben eines TLD-Name-Registry, wenn die Anzahl der registrierten Domains 50 000 übersteigt.
  2. Absatz 2Im Sektor Digitale Infrastruktur liegt ein Sicherheitsvorfall im Sinne des Paragraph 3, Ziffer 6, NISG vor, wenn
    1. Litera a
      der in Absatz eins, Ziffer eins, genannte Dienst für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist;
    2. Litera b
      der in Absatz eins, Ziffer 2, Litera a, genannte Dienst für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist;
    3. Litera c
      der in Absatz eins, Ziffer 2, Litera b, genannte Dienst für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist;
    4. Litera d
      der in Absatz eins, Ziffer 2, Litera c, genannte Dienst für mehr als zwölf Stunden ausfällt oder nur eingeschränkt verfügbar ist.
  3. Absatz 3Im Sektor Digitale Infrastruktur bestehen für Einrichtungen, die einen wesentlichen Dienst im Sinne des Absatz eins, Ziffer 2, Litera a, im Rahmen des Betriebs von Kommunikationsdiensten nach dem TKG 2003 erbringen, zu Sicherheitsvorkehrungen in Paragraph 16 a, Absatz 2, TKG 2003 und zur Meldepflicht in Paragraph 16 a, Absatz 5, TKG 2003 Vorschriften, die zumindest ein gleichwertiges Sicherheitsniveau für Netz- und Informationssysteme gemäß Paragraph 20, NISG gewährleisten.

3. Abschnitt
Sicherheitsvorkehrungen

Paragraph 11,

  1. Absatz einsSicherheitsvorkehrungen gemäß Paragraph 17, Absatz eins, NISG, die geeignet sind und den Stand der Technik berücksichtigen sowie zur Gewährleistung der Netz- und Informationssystemsicherheit (Paragraph 3, Ziffer 2, NISG) zu treffen sind, umfassen die
    1. Ziffer eins
      Sicherheitsmaßnahmen zur Kategorie Governance und Risikomanagement gemäß Ziffer eins Punkt eins bis 1.6 der Anlage 1 zu dieser Verordnung;
    2. Ziffer 2
      Sicherheitsmaßnahmen zur Kategorie Umgang mit Dienstleistern, Lieferanten und Dritten gemäß Ziffer 2 Punkt eins bis 2.2 der Anlage 1 zu dieser Verordnung;
    3. Ziffer 3
      Sicherheitsmaßnahmen zur Kategorie Sicherheitsarchitektur gemäß Ziffer 3 Punkt eins bis 3.5 der Anlage 1 zu dieser Verordnung;
    4. Ziffer 4
      Sicherheitsmaßnahmen zur Kategorie Systemadministration gemäß Ziffer 4 Punkt eins bis 4.2 der Anlage 1 zu dieser Verordnung;
    5. Ziffer 5
      Sicherheitsmaßnahmen zur Kategorie Identitäts- und Zugriffsmanagement gemäß Ziffer 5 Punkt eins bis 5.2 der Anlage 1 zu dieser Verordnung;
    6. Ziffer 6
      Sicherheitsmaßnahmen zur Kategorie Systemwartung und Betrieb gemäß Ziffer 6 Punkt eins bis 6.2 der Anlage 1 zu dieser Verordnung;
    7. Ziffer 7
      Sicherheitsmaßnahme zur Kategorie Physische Sicherheit gemäß Ziffer 7 Punkt eins, der Anlage 1 zu dieser Verordnung;
    8. Ziffer 8
      Sicherheitsmaßnahmen zur Kategorie Erkennung von Vorfällen gemäß Ziffer 8 Punkt eins bis 8.3 der Anlage 1 zu dieser Verordnung;
    9. Ziffer 9
      Sicherheitsmaßnahmen zur Kategorie Bewältigung von Vorfällen gemäß Ziffer 9 Punkt eins bis 9.3 der Anlage 1 zu dieser Verordnung;
    10. Ziffer 10
      Sicherheitsmaßnahmen zur Kategorie Betriebskontinuität gemäß Ziffer 10 Punkt eins bis 10.2 der Anlage 1 zu dieser Verordnung;
    11. Ziffer 11
      Sicherheitsmaßnahme zur Kategorie Krisenmanagement gemäß Ziffer 11 Punkt eins, der Anlage 1 zu dieser Verordnung.
  2. Absatz 2Die Umsetzung jeder Sicherheitsmaßnahme hat, soweit möglich, in technischer und organisatorischer Hinsicht auf Basis der nach Ziffer eins Punkt eins, der Anlage 1 zu dieser Verordnung durchgeführten Risikoanalyse zu erfolgen.

4. Abschnitt
Schlussbestimmungen

Personenbezogene Bezeichnungen

Paragraph 12,

Alle in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gelten gleichermaßen für alle Geschlechter.

Verweisungen

Paragraph 13,

  1. Absatz einsFür Verweise auf Bundesgesetze in dieser Verordnung gilt Folgendes:
    1. Ziffer eins
      Soweit auf Bestimmungen des Bundesgesetzes über Krankenanstalten- und Kuranstalten (KAKuG), Bundesgesetzblatt Nr. 1 aus 1957,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 13 aus 2019, anzuwenden;
    2. Ziffer 2
      soweit auf Bestimmungen des Elektrizitätswirtschafts- und -organisationsgesetzes 2010 (ElWOG 2010), Bundesgesetzblatt Teil eins, Nr. 110 aus 2010,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 108 aus 2017, anzuwenden;
    3. Ziffer 3
      soweit auf Bestimmungen des Erdölbevorratungsgesetzes 2012 (EBG 2012), Bundesgesetzblatt Teil eins, Nr. 78 aus 2012,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 163 aus 2015, anzuwenden;
    4. Ziffer 4
      soweit auf Bestimmungen des Gaswirtschaftsgesetzes 2011 (GWG 2011), Bundesgesetzblatt Teil eins, Nr. 107 aus 2011,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 108 aus 2017, anzuwenden;
    5. Ziffer 5
      soweit auf Bestimmungen des Luftfahrtgesetzes (LFG), Bundesgesetzblatt Nr. 253 aus 1957,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 92 aus 2017, anzuwenden;
    6. Ziffer 6
      soweit auf Bestimmungen des Straßentunnel-Sicherheitsgesetzes (STSG), Bundesgesetzblatt Teil eins, Nr. 54 aus 2006,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 96 aus 2013, anzuwenden;
    7. Ziffer 7
      soweit auf Bestimmungen des Eisenbahngesetzes 1957 (EisbG), Bundesgesetzblatt Nr. 60 aus 1957,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 137 aus 2015, anzuwenden;
    8. Ziffer 8
      soweit auf Bestimmungen des Bundesstraßengesetzes 1971 (BStG 1971), Bundesgesetzblatt Nr. 286 aus 1971,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 7 aus 2017, anzuwenden;
    9. Ziffer 9
      soweit auf Bestimmungen des Zahlungsdienstegesetzes 2018 (ZaDiG 2018), Bundesgesetzblatt Teil eins, Nr. 17 aus 2018,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 37 aus 2018, anzuwenden;
    10. Ziffer 10
      soweit auf Bestimmungen des Bankwesengesetzes (BWG), Bundesgesetzblatt Nr. 532 aus 1993,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 112 aus 2018, anzuwenden;
    11. Ziffer 11
      soweit auf Bestimmungen des Börsegesetzes 2018 (BörseG 2018), Bundesgesetzblatt Teil eins, Nr. 107 aus 2017,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 37 aus 2018, anzuwenden;
    12. Ziffer 12
      soweit auf Bestimmungen des Telekommunikationsgesetzes 2003 (TKG 2003), Bundesgesetzblatt Teil eins, Nr. 70 aus 2003,, verwiesen wird, ist dieses in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 111 aus 2018, anzuwenden.
  2. Absatz 2Für Verweise auf Unionsrecht in dieser Verordnung gilt Folgendes:
    1. Ziffer eins
      Soweit auf Bestimmungen der Verordnung (EU) Nr. 1315/2013 verwiesen wird, so ist die Verordnung (EU) Nr. 1315/2013 über Leitlinien der Union für den Aufbau eines transeuropäischen Verkehrsnetzes und zur Aufhebung des Beschlusses Nr. 661/2010/EU, ABl. Nr. L 348 vom 20.12.2013 S. 1, zuletzt geändert durch die delegierte Verordnung (EU) Nr. 254/2019, ABl. Nr. L 43 vom 14.2.2019 S. 1, anzuwenden;
    2. Ziffer 2
      soweit auf Bestimmungen der Verordnung (EG) Nr. 549/2004 verwiesen wird, so ist die Verordnung (EG) Nr. 549/2004 zur Festlegung des Rahmens für die Schaffung eines einheitlichen europäischen Luftraums („Rahmenverordnung“), ABl. L 96 vom 31.3.2004 S. 1, zuletzt geändert durch die Verordnung (EU) Nr. 1070/2009, ABl. L 300 vom 14.11.2009 S. 34, anzuwenden;
    3. Ziffer 3
      soweit auf Bestimmungen der Verordnung (EU) Nr. 648/2012 verwiesen wird, so ist die Verordnung (EU) Nr. 648/2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister, ABl. Nr. L 201 vom 27.07.2012 S. 1, zuletzt geändert durch die Verordnung (EU) 2017/2402, ABl. Nr. L 347 vom 28.12.2017 S. 35, anzuwenden
    4. Ziffer 4
      soweit auf Bestimmungen der Verordnung (EU) Nr. 909/2014 verwiesen wird, so ist die Verordnung (EU) Nr. 909/2014 zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012, ABl. Nr. L 257 vom 28.8.2014 S. 1, zuletzt geändert durch die Verordnung (EU) 2016/1033, ABl. Nr. L 175 vom 30.06.2016 S. 1, anzuwenden;
    5. Ziffer 5
      soweit auf Bestimmungen der delegierten Verordnung (EU) 2017/584 verwiesen wird, so ist die delegierte Verordnung (EU) 2017/584 zur Ergänzung der Richtlinie 2014/65/EU durch technische Regulierungsstandards zur Festlegung der organisatorischen Anforderungen an Handelsplätze, ABl. Nr. L 87 vom 31.3.2017 S. 350, anzuwenden;
    6. Ziffer 6
      soweit auf Bestimmungen der delegierten Verordnung (EU) Nr. 153/2013 verwiesen wird, so ist die delegierte Verordnung (EU) Nr. 153/2013 zur Ergänzung der Verordnung (EU) Nr. 648/2012 in Bezug auf technische Regulierungsstandards für Anforderungen an zentrale Gegenparteien Text von Bedeutung für den EWR, ABl. Nr. L 52 vom 23.2.2013 S. 41, zuletzt geändert durch die delegierte Verordnung (EU) Nr. 822/2016, ABl. 137 vom 26.5.2016 S. 1, anzuwenden;
    7. Ziffer 7
      soweit auf Bestimmungen der delegierten Verordnung (EU) 2017/392 verwiesen wird, so ist delegierte Verordnung (EU) 2017/392 zur Ergänzung der Verordnung (EU) Nr. 909/2014 durch technische Regulierungsstandards für die Zulassung von und für aufsichtliche und operationelle Anforderungen an Zentralverwahrer, ABl. Nr. L 65 vom 10.3.2017 S. 48, anzuwenden.

Inkrafttreten

Paragraph 14,

Diese Verordnung tritt mit Ablauf des Tages der Kundmachung in Kraft.

Schallenberg

Anlage 1

Sicherheitsmaßnahmen

1.

Governance und Risikomanagement

1.1

Risikoanalyse:

Eine Risikoanalyse der Netz- und Informationssysteme ist durchzuführen. Dabei sind spezifische Risiken auf Grundlage einer Analyse der betrieblichen Auswirkungen von Sicherheitsvorfällen zu ermitteln und hinsichtlich der hohen Bedeutung des Betreibers wesentlicher Dienste für das Funktionieren des Gemeinwesens zu bewerten.

1.2

Sicherheitsrichtlinie:

Eine Sicherheitsrichtlinie ist zu erstellen und periodisch zu aktualisieren.

1.3

Überprüfungsplan der Netz- und Informationssysteme:

Die Durchführung der periodischen Überprüfung der Netz- und Informationssystemsicherheit ist zu planen und festzulegen.

1.4

Ressourcenmanagement:

Alle Ressourcen, die erforderlich sind, um die Funktionsfähigkeit der Netz- und Informationssysteme zu gewährleisten, sind im Hinblick auf kurz-, mittel- und langfristige Kapazitätsanforderungen einzuplanen und sicherzustellen.

1.5

Informationssicherheitsmanagementsystemprüfung:

Die periodische Überprüfung des Informationssicherheitsmanagementsystems ist festzulegen und durchzuführen.

1.6

Personalwesen:

Sicherheitsrelevante Aspekte sind in den Prozessen des Personalwesens zu berücksichtigen und umzusetzen.

2.

Umgang mit Dienstleistern, Lieferanten und Dritten

2.1

Beziehungen mit Dienstleistern, Lieferanten und Dritten:

Anforderungen an Dienstleistern, Lieferanten und Dritte für den Betrieb von, einen sicheren Zugang zu und Zugriff auf Netz- und Informationssysteme sind festzulegen und periodisch zu überprüfen.

2.2

Leistungsvereinbarungen mit Dienstleistern und Lieferanten:

Die Leistungsvereinbarungen mit Dienstleistern und Lieferanten sind periodisch zu überprüfen und zu überwachen.

3.

Sicherheitsarchitektur

3.1

Systemkonfiguration:

Netz- und Informationssysteme sind sicher zu konfigurieren. Diese Konfiguratoin ist strukturiert zu dokumentieren. Die Dokumentation ist aktuell zu halten.

3.2

Vermögenswerte:

Vermögenswerte, die im Zusammenhang mit Netz- und Informationssystemen stehen, sind strukturiert zu analysieren und zu dokumentieren.

3.3

Netzwerksegmentierung:

Eine Segmentierung der Netzwerke ist innerhalb der Netz- und Informationssysteme abhängig vom Schutzbedarf vorzunehmen.

3.4

Netzwerksicherheit:

Die Sicherheit innerhalb der Netzwerksegmente und der Schnittstellen zwischen den Netzwerksegmenten ist zu gewährleisten.

3.5

Kryptographie:

Vertraulichkeit, Authentizität und Integrität von Informationen sind durch den angemessenen und wirksamen Einsatz kryptographischer Verfahren und Technologien sicherzustellen.

4.

Systemadministration

4.1

Administrative Zugangsrechte:

Administrative Zugangsrechte sind eingeschränkt nach dem Minimalrechtsprinzip zuzuweisen. Diese Zuweisungen sind periodisch zu überprüfen und gegebenenfalls anzupassen.

4.2

Systeme und Anwendungen zur Systemadministration:

Systeme und Anwendungen zur Systemadministration sind ausschließlich für Tätigkeiten zum Zweck der Systemadministration zu verwenden. Die Sicherheit dieser Systeme und Anwendungen ist zu gewährleisten.

5.

Identitäts- und Zugriffsmanagement

5.1

Identifikation und Authentifikation:

Es sind Verfahren umzusetzen und Technologien einzusetzen, die die Identifikation und Authentifikation von Benutzern und Diensten gewährleisten.

5.2

Autorisierung:

Es sind Verfahren umzusetzen und Technologien einzusetzen, die unautorisierte Zugriffe auf Netz- und Informationssysteme unterbinden.

6.

Systemwartung und Betrieb

6.1

Systemwartung und Betrieb:

Abläufe und Vorgänge zur Gewährleistung eines sicheren Systembetriebs von Netz- und Informationssystemen sind einzuführen und periodisch zu überprüfen.

6.2

Fernzugriff:

Fernzugriff ist eingeschränkt nach dem Minimalrechtsprinzip und zeitlich beschränkt zu vergeben. Die Fernzugriffsrechte sind periodisch zu überprüfen und gegebenenfalls anzupassen. Die Sicherheit des Fernzugriffs ist zu gewährleisten.

7.

Physische Sicherheit

7.1

Physische Sicherheit:

Der physische Schutz der Netz- und Informationssysteme, insbesondere der physische Schutz vor unbefugtem Zutritt und Zugang, ist zu gewährleisten.

8.

Erkennung von Vorfällen

8.1

Erkennung:

Mechanismen zur Erkennung und Bewertung von Vorfällen sind umzusetzen.

8.2

Protokollierung und Monitoring:

Mechanismen zu Protokollierung und Monitoring, insbesondere von für die Erbringung des wesentlichen Dienstes essentiellen Tätigkeiten und Vorgängen, sind umzusetzen.

8.3

Korrelation und Analyse:

Mechanismen zur Erkennung und adäquaten Bewertung von Vorfällen durch die Korrelation und Analyse der ermittelten Protokolldaten sind umzusetzen.

9.

Bewältigung von Vorfällen

9.1

Vorfallsreaktion:

Prozesse zur Reaktion auf Vorfälle sind zu erstellen, aufrechtzuerhalten und zu erproben.

9.2

Vorfallsmeldung:

Prozesse zur internen und externen Meldung von Vorfällen sind zu erstellen, aufrechtzuerhalten und zu erproben.

9.3

Vorfallsanalyse:

Prozesse zur Analyse und Bewertung von Vorfällen und zur Sammlung relevanter Informationen sind zu erstellen, aufrechtzuerhalten und zu erproben, um den kontinuierlichen Verbesserungsprozess zu fördern.

10.

Betriebskontinuität

10.1

Betriebskontinuitätsmanagement:

Die Wiederherstellung der Erbringung des wesentlichen Dienstes auf einem zuvor festgelegten Qualitätsniveau nach einem Sicherheitsvorfall ist zu gewährleisten.

10.2

Notfallmanagement:

Notfallpläne sind zu erstellen, anzuwenden, regelmäßig zu bewerten und zu erproben.

11.

Krisenmanagement

11.1

Krisenmanagement:

Rahmenbedingungen und Prozessabläufe des Krisenmanagements sind für die Aufrechterhaltung des wesentlichen Dienstes vor und während eines Sicherheitsvorfalls zu definieren, umzusetzen und zu erproben.