Bibliographic Metadata

Title
Das österreichische Netz- und Informationssystemsicherheitsgesetz
Additional Titles
The Austrian Network and Information System Safety Act
AuthorMerka, Martin
Thesis advisorHartmann, Natalia ; Dahlvik, Julia
Published2018
Date of SubmissionJune 2018
LanguageGerman
Document typeBachelor Thesis
Keywords (DE)Cyber-Sicherheit / Einflussfaktoren / Hermeneutik / Netz- und Informationssystem(e) / NIS-Gesetz
Keywords (EN)cyber security / (influencing) factor / hermeneutics / network and information system(s) / Austrian network and information system safety act
Restriction-Information
 _
Classification
Abstract (German)

Die vorliegende Arbeit beschäftigt sich mit dem künftigen österreichischen Netz- und Informationssystemsicherheitsgesetz (NIS-Gesetz). Dieses Gesetz dient in erster Linie der Umsetzung der am 8. August 2016 in Kraft getretenen NIS-Richtlinie. Die legistischen Arbeiten zur nationalen Umsetzung wurden in Österreich durch eine interministerielle Arbeitsgruppe, gebildet aus Vertreterinnen und Vertretern von Bundeskanzleramt, Bundesministerium für Inneres und Bundesministerium für Landesverteidigung durchgeführt. Die Gestaltung und Ausformulierung des entsprechenden Gesetzesentwurfes war, abgesehen von der zugrundeliegenden europäischen Richtlinie, von einer Vielzahl weiterer Faktoren abhängig. Für Personen außerhalb der legistischen Arbeitsgruppe war dieser Prozess vollkommen intransparent.

Diese Arbeit versteht sich als Bestandsaufnahme von wesentlichen Einflussfaktoren auf den konkreten Rechtsetzungsprozess. Das Erkenntnisinteresse des Autors lag darin, für die Kernregelungen dieser Norm jene Faktoren zu erforschen, die, abgesehen von der zugrundeliegenden europäischen Richtlinie, maßgeblichen Einfluss auf die Gestaltung und Ausformulierung des Gesetzestextes hatten. Ziel dieser Bestandsaufnahme war zum einen ein Transparentmachen wesentlicher Teile des Rechtsetzungsprozesses, zum anderen sollte für künftige Rechtsanwenderinnen und Rechtsanwender eine fundierte Basis für eine etwaige historische Auslegung des Rechtstextes geschaffen werden.

Im Rahmen der vorliegenden Arbeit wurde einerseits das Erkenntnisinteresse gestillt und andererseits die zugrundeliegende Forschungsfrage vollständig beantwortet. Um dies zu erreichen, wurden im Rahmen eines zweistufigen Ansatzes zuerst die wesentlichen Kernregelungen identifiziert und danach die entsprechenden Einflussfaktoren für diese Bestimmungen ermittelt. Als Ergebnis der Bestandsaufnahme konnten als Kernregelungen die Einrichtung von zuständigen Behörden, die Schaffung einer Operativen Koordinierungsstruktur, die Festlegung des Anwendungsbereiches, die Implementierung von Mindestsicherheitsanforderungen, sowie eine Meldepflicht für sicherheitsrelevante Vorfälle identifiziert werden. Der konkreten Formulierung dieser Kernregelungen lagen – abgesehen von der umzusetzenden Richtlinie – sowohl allgemeine Einflüsse (Anwendung des neuen österreichischen Deregulierungsgrundsätzegesetzes, Nutzung von synergiebildenden Erfahrungen), als auch fachspezifische Einflussfaktoren (Schaffung einer Rechtsgrundlage für bereits bestehende Strukturen, Überlegungen im Zusammenhang mit dem Prinzip der amtswegigen Verfolgung) zugrunde.

Diese Ergebnisse wurden in einer abschließenden Conclusio zusammengefasst und stehen somit künftigen Rechtsanwenderinnen und Rechtsanwendern für eine historische Interpretation des Netz- und Informationssystemsicherheitsgesetzes zur Verfügung.

Abstract (English)

This thesis deals with the future Austrian Network and Information System Security Act. The primary purpose of this law is to implement the NIS Directive, which entered into force on 8 August 2016. Legislative work on national implementation in Austria was carried out by an inter-ministerial working group consisting of representatives of the Federal Chancellery, the Federal Ministry of the Interior and the Federal Ministry of Defense. The content of the draft, apart from the underlying European directive, was influenced by a number of other (influencing) factors. For people outside the legislative working group, this process has to be considered as non-transparent.

This thesis is a survey on the main factors that influenced the legislative process. The scientific interest laid in exploring those factors which, apart from the underlying European directive, had had a significant influence on the core provisions of legal text. The purpose of this survey is on the one hand, to make this legislative process more transparent, and on the other hand, to provide lawyers with a sound basis for historical interpretation of the norm.

In the course of this thesis both targets could be achieved. The scientific interest could be satisfied and the research question was answered properly. In order to achieve this, a two-stage approach had to be applied. At first the core regulations of the act were identified. Based on this, those factors which, apart from the underlying European directive, had had a significant influence on the core provisions of legal text were determined. This thesis identified as core provisions the establishment of competent authorities, the establishment of an operational coordination structure, the definition of the scope, the implementation of minimum security requirements, and last but not least the implementation of a reporting regime for security incidents. This thesis was able to identify both general influences (application of the new Austrian Deregulation Principles Act, use of synergistic experiences) as well as subject-specific influencing factors (creation of a legal basis for preexisting structures, considerations in connection with the principle of official persecution).

These results have been summarized in the conclusion and are thus available to lawyers for a historical interpretation of the Austrian Network and Information Systems Security Act.