Detailansicht
Rechtliche Fragestellungen in der nationalen Umsetzung der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen
Sylvia Mayer
Art der Arbeit
Dissertation
Universität
Universität Wien
Fakultät
Rechtswissenschaftliche Fakultät
Studiumsbezeichnung bzw. Universitätlehrgang (ULG)
Doktoratsstudium Rechtswissenschaften
Betreuer*in
Bernhard Müller
DOI
10.25365/thesis.65990
URN
urn:nbn:at:at-ubw:1-14742.03662.898665-9
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)
Abstracts
Abstract
(Deutsch)
Die Lebensadern unserer Gesellschaft, wie die Versorgung mit Strom, Trinkwasser, Geldmitteln und Gesundheitsdienstleistungen, sind im Rahmen umfassender Digitalisierungstendenzen mehr denn je von Informations- und Kommunikationssystemen (IKT) abhängig. Um innerhalb der Europäischen Union ein einheitliches Mindestmaß an Sicherheit und Resilienz dieser Systeme, die auch für den Binnenmarkt von hoher Bedeutung sind, sicherstellen zu können, wurde im Juli 2016 die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-RL) beschlossen und in Österreich Ende 2018 durch das Bundesgesetz zur Sicherheit von Netz- und Informationssystemen (NISG) umgesetzt. In der gegenständlichen Arbeit wurde die nationale Umsetzung der Richtlinie untersucht, insbesondere im Hinblick auf zu berücksichtigende nationale und europäische Rechtsakte im Zusammenhang mit dem Schutz kritischer Infrastruktur und der Cybersicherheit. Ein grundlegender Untersuchungsgegenstand waren zu Beginn der Arbeit EU-rechtliche sowie verfassungsrechtliche Gesetzgebungs- und Vollziehungskompetenzen in Bezug auf die durch die NIS-RL zu regelnden Aufgaben sowie ein Exkurs in die grundsätzliche Gewährleistungsverantwortung des Staates in Bezug auf die nationale Daseinsvorsorge. Kritisch betrachtet wurde das in diesem Zusammenhang offenkundig weitreichende Regelungsinteresse der EU, welches sich kompetenzrechtlich auf das Funktionieren des Binnenmarktes gem. Art. 114 AEUV stützte, dabei jedoch sehr weitreichende Verpflichtungen implementiert wurden. Untersucht wurden außerdem vom NISG abweichende, möglicherweise effektivere Alternativen der Umsetzung der Richtlinie in nationales Recht und deren verfassungsrechtliche Zulässigkeit. Als zentraler Gegenstand der Arbeit galt die Prüfung potenzieller Eingriffe in verfassungsrechtlich gewährleistete Rechte durch Bestimmungen des NISG, beispielsweise durch den Betrieb so genannter Honeypots und Sensornetzwerke, durch möglicherweise nicht ausreichend determinierte Meldepflichten, durch die Pflicht zur Veröffentlichung von Sicherheitsvorfällen und durch die eventuell unverhältnismäßige Überprüfung von Sicherheitsvorkehrungen in Unternehmen. Abschließend wurde die rechtliche Möglichkeit des Staates, auf Angriffe gegen Netz- und Informationssysteme zu reagieren, beleuchtet, da die NIS-RL bzw. das NISG selbst dazu keine Befugnisse regeln. Ein (nicht ausreichend zufriedenstellender) rechtlicher Rückgriff kann dabei teilweise auf bestehende Rechtsgrundlagen im Sicherheitspolizeigesetz, in der Strafprozessordnung sowie im Militärbefugnisgesetz erfolgen. Das Ergebnis der Arbeit zeigt jedoch, dass die NIS-RL sowie die nationale Umsetzung dieser nicht die letzten Rechtsakte zum Zukunftsthema der Cybersicherheit gewesen sein dürften.
Abstract
(Englisch)
The lifelines of our society, such as the supply of electricity, drinking water, funds and health services, are more dependent than ever on information and communication systems (ICT) in the context of comprehensive digitization trends. In order to be able to ensure a uniform minimum level of security and resilience of these systems within the European Union, which are also of great importance for the internal market, Directive (EU) 2016/1148 on security of network and information systems (NIS Directive) was adopted in July 2016. The Directive was implemented in Austria in December 2018 by the Federal Law on Security of Network and Information Systems (NISG).
In the present thesis, the national implementation of the Directive was examined, especially with regard to the national and European legal acts to be taken into account in connection with the protection of critical infrastructure and cybersecurity. At the beginning of the thesis, a primary object of investigation were competences in legislation and enforcement in EU primary law as well as national constitutional law with regard to the tasks to be regulated by the NIS Directive. Followed by an excursus into the governmental responsibility for guaranteeing public services. A critical analysis referred to the evidently far-reaching regulatory interest of the EU in this context, which in terms of competence relates to the functioning of the internal market in accordance with Art. 114 TFEU and at first seemingly to go far beyond this competence.
In addition, different and possibly more effective alternatives to the implementation of the directive into national law and its constitutional admissibility were examined. The central subject of the thesis was the analysis of potential interferences with constitutionally guaranteed rights by provisions of the NISG, e.g. by the operation of so-called honeypots and sensor networks, by possibly not sufficiently determined reporting obligations, by the obligation to publish security incidents and by the possibly disproportionate review of security measures in companies.
Finally, the legal possibility of the government to react to attacks against network and information systems was examined, since the NIS Directive and the NISG itself do not regulate any powers. A (not sufficiently satisfactory) recourse can partially be based on existing legal bases in the Security Police Act (SPG), the Code of Criminal Procedure (StPO) and the Military Authorization Act (MBG). However, the result of the thesis shows that the NIS Directive and its national implementation were probably not the last legal acts on the future topic of cybersecurity.
Schlagwörter
Schlagwörter
(Englisch)
NIS-Directive IT-Security Network and Information Systems European Union Qualified bodies Computer Emergency Response Teams Critical Infrastructure Protection Cybersecurity
Schlagwörter
(Deutsch)
NIS-Richtlinie NIS-RL NIS-Gesetz NISG IT-Sicherheit Netz- und Informationssysteme Europäische Union Qualifizierte Stellen Computer-Notfallteams Schutz kritischer Infrastruktur Cybersicherheit
Autor*innen
Sylvia Mayer
Haupttitel (Deutsch)
Rechtliche Fragestellungen in der nationalen Umsetzung der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen
Publikationsjahr
2020
Umfangsangabe
xii, 236 Seiten
Sprache
Deutsch
Beurteiler*innen
Christian Piska ,
Erich Schweighofer
AC Nummer
AC16326128
Utheses ID
58449
Studienkennzahl
UA | 783 | 101 | |