Stellungnahmen

zurück

05.06.2020

Status: abgegeben

RTR Konsultation: Telekom-Netzsicherheitsverordnung 2020

Die RTR-GmbH führte bis 05. Juni eine öffentliche Konsultation des Entwurfs der Telekom-Netzsicherheitsverordnung (TK-NSiV 2020) durch.

Die Verordnung dient der näheren Ausformung der Anforderungen an Betreiber von elektronischen Kommunikationsnetzen und - diensten zur Gewährleistung der Sicherheit und Integrität ihrer Netze (§ 16a TKG). Sie enthält daher insbesondere Angaben zu Mindestsicherheitsmaßnahmen welche durch die Betreiber zu treffen sind sowie zum anderen umfassende Informationspflichten gegenüber der RTR.

Die Informationspflichten (§ 3) umfassen insbesondere jene Angaben, die bereits derzeit im Rahmen des RTR Formulars zur „Mitteilung von Vorfällen mit beträchtlichen Auswirkungen“ anzuführen sind. Darüber hinaus sollen nunmehr auch „langfristig bedeutsame Erkenntnisse aus dem Vorfall“ sowie gegebenenfalls „Angaben über eine erfolgte oder geplante Information der Öffentlichkeit“ ergänzt werden.

Zu beachten ist, dass Meldungen von Sicherheitsvorfällen „unverzüglich“ zu erfolgen haben, das gemäß den EB als „ohne schuldhaftes Verzögern“ auszulegen ist. Die Informationspflichten sind daher jedenfalls nicht auf die Geschäftszeiten des Betreibers beschränkt.

Die Verordnung sieht darüber hinaus einen Meldeweg auch für Vorfälle vor, die nicht das Ausmaß eines Sicherheitsvorfalls erreichen und daher nicht der Informationspflicht unterliegen. Solche Vorfälle können als „Warnhinweis“ (§ 4) an die Behörde gemeldet werden.

Hinsichtlich der Mindestsicherheitsanforderungen (§ 5) gibt die Verordnung eine Reihe von Maßnahmen vor die dokumentiert und in einer Information SecurityPolicy festzuhalten sind. Wir gehen davon aus, dass diese Maßnahmen bereits zum Großteil durch eine Umsetzung des ISPA Mustersicherheitskonzepts erfüllt sind. Wir sind jedoch gerade dabei dies näher nachzuprüfen und werden eine entsprechende Information noch nachreichen.

Darüber hinaus legt die Verordnung einen Schwerpunkt auf Sicherheitsanforderungen an 5G-Netze (§ 6) wobei die Regulierungsbehörde dabei einige der Empfehlungen der EU-Kommission aus deren „5G-Toolbox“ umsetzen möchte. Die entsprechenden Pflichten betreffen Betreiber von 5G Netzen mit mehr als 100 000 Teilnehmern in allen von diesen betriebenen Netzen. Die Verordnung bietet hierfür in Anhang 1 eine Reihe von Standards, deren Erfüllung im Rahmen einer Konformitätserklärung erstmals bis 30. Juni 2021 und anschließend im Abstand von maximal drei Jahren nachzuweisen ist.

Auf Nachfrage kann der Betreiber darüber hinaus zum Nachweis zusätzlicher Sicherheitsmaßnahmen aufgefordert werden, wie etwa der Erfüllung einer „Multi Vendor Strategie“. Darunter wird die Auswahlmöglichkeit eines Betreibers unter zumindest zwei Lieferanten für Netzinfrastrukturelemente eines 5G-Netzes verstanden wodurch Abhängigkeiten von Lieferanten, die als hohes Sicherheitsrisiko angesehen werden, vermeiden werden sollen.

Die Eckpunkte der ISPA Stellungnahme sind:

  • Überschneidende Meldepflichten sollten vermieden werden
  • Die Definition von „beträchtlichen Auswirkungen“ in § 3 Abs. 2 bedarf einer näheren Klarstellung
  • Anstelle einer „unverzüglichen“ Meldung sollte eine Meldefrist von 24h vorgesehen werden
  • Für die Umsetzung der Mindestsicherheitsmaßnahmen sollte eine Frist ergänzt werden
  • Die Bezugnahme auf „Teilnehmer“ widerspricht dem Gedanken der TK-NSiV
  • Die als gleichwertig anerkannten Standards zum Nachweis eines Informationssicherheitsmanagementsystems sollten weit ausgelegt werden und auch Selbstaudits zulassen
  • Hinsichtlich der Umsetzung der ENISA „Indispensable Baseline Security Requirements for the Procurement of Secure ICT Products and Services“ ist es unklar ob dies auch bereits vorhandene Komponenten betrifft
  • Die Umsetzung neuer Versionen sollte erst nach Novellierung der Verordnung erforderlich sein
  • Der Betrieb eines NOC sowie eines SOC sollte nicht zwingend in „eigenen Räumlichkeiten“ erfolgen
  • Eine Multi-Vendor-Strategie sollte nicht unverhältnismäßig in das Grundrecht auf Erwerbsfreiheit der Betreiber eingreifen
  • Die Zugangsbeschränkung von Dritten sollte sich am Stand der Technik orientieren
zurück