3. Abschnitt

Computer-Notfallteams Zweck und Aufgaben der Computer-Notfallteams

§ 8.

(1) Computer-Notfallteams (CSIRTs) im Sinne dieses Bundesgesetzes haben zur Gewährleistung der Sicherheit von Netz- und Informationssystemen folgende Aufgaben wahrzunehmen:

1. 1. die Überwachung und die Analyse von Cyberbedrohungen, Schwachstellen und Cybersicherheitsvorfällen auf nationaler Ebene und gegebenenfalls die Unterstützung betroffener wesentlicher und wichtiger Einrichtungen hinsichtlich der Überwachung ihrer Netz- und Informationssysteme in Echtzeit oder nahezu in Echtzeit;
2. 2. die Ausgabe von Frühwarnungen und Alarmmeldungen sowie die Bekanntmachung und die Weitergabe von Informationen über Cyberbedrohungen, Schwachstellen und Cybersicherheitsvorfälle an wesentliche und wichtige Einrichtungen sowie an zuständige Behörden und andere einschlägige Interessenträger in Echtzeit oder nahezu in Echtzeit;
3. 3. die Reaktion auf Cybersicherheitsvorfälle und gegebenenfalls die Unterstützung betreffender wesentlicher und wichtiger Einrichtungen bei deren Bewältigung;
4. 4. die Erhebung und die Analyse forensischer Daten sowie die dynamische Analyse von Risiken und Cybersicherheitsvorfällen sowie die Lagebeurteilung im Hinblick auf die Cybersicherheit;
5. 5. die Vornahme einer proaktiven Überprüfung der Netz- und Informationssysteme einer ersuchenden wesentlichen oder wichtigen Einrichtung im Hinblick auf Schwachstellen mit potenziell signifikanten Auswirkungen (Schwachstellenscan);
6. 6. die Teilnahme am CSIRTsNetzwerk (§ 3 Z 35) und die auf Gegenseitigkeit beruhende Unterstützung anderer Mitglieder des CSIRTsNetzwerks;
7. 7. die Entgegennahme von Meldungen gemäß den §§ 34 und 37;
8. 8. die Teilnahme an Peer Reviews gemäß § 23.

(2) Die Cybersicherheitsbehörde hat bei Erfüllung der Voraussetzungen gemäß § 9 eine Einrichtung zur Wahrnehmung der Aufgaben gemäß Abs. 1 sowie § 11 Abs. 1 zu ermächtigen (nationales CSIRT). Das nationale CSIRT ist zur proaktiven nicht intrusiven Überprüfung öffentlich zugänglicher Netz- und Informationssysteme berechtigt. Eine solche Überprüfung darf keine nachteiligen Auswirkungen auf das Funktionieren der Dienste der betroffenen wesentlichen oder wichtigen Einrichtungen haben. Werden bei einer solchen Überprüfung anfällige oder unsicher konfigurierte Netz- und Informationssysteme ermittelt, sind die jeweiligen Einrichtungen darüber zu unterrichten.

(3) Die Cybersicherheitsbehörde kann bei Bedarf für jeden Sektor (§ 2) eine Einrichtung zur Wahrnehmung der Aufgaben gemäß Abs. 1 ermächtigen (sektorspezifisches CSIRT). Solange kein sektorspezifisches CSIRT besteht, hat das nationale CSIRT die Aufgaben des jeweiligen sektorspezifischen CSIRTs für den jeweiligen Sektor wahrzunehmen.

(4) Das bei der Cybersicherheitsbehörde eingerichtete GovCERT hat als sektorspezifisches CSIRT (Abs. 3) die Aufgaben gemäß Abs. 1 für Einrichtungen der öffentlichen Verwaltung (§ 24 Abs. 3) wahrzunehmen. Solange kein nationales CSIRT besteht, hat das GovCERT die Aufgaben des nationalen CSIRTs (Abs. 2 und 3) wahrzunehmen.

(5) Die Cybersicherheitsbehörde hat die Entscheidung über die Ermächtigung des nationalen CSIRTs (Abs. 2) sowie sektorspezifischer CSIRTs (Abs. 3) in einer Weise kundzumachen, die geeignet scheint, einen möglichst weiten Adressatenkreis zu erreichen.

(6) Dem nationalen CSIRT und den sektorspezifischen CSIRTs gebührt vom Bund ein Ersatz für die bei Erfüllung ihrer Aufgaben gemäß Abs. 1 sowie § 11 Abs. 1 entstandenen Kosten, deren Höhe auf Grundlage einer transparenten internen Kostenrechnung unter Zugrundelegung der Prinzipien der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit nach dem Grundsatz der Kostendeckung festzulegen ist.

(7) Sektorspezifische CSIRTs (Abs. 3 und 4) sind ermächtigt, für Zwecke des Abs. 1 Z 2 und 4 auf Ersuchen einer wesentlichen oder wichtigen Einrichtung Daten gemäß § 17 Abs. 2 zweiter Satz, die durch eine bei dieser Einrichtung eingerichtete IKT‑Lösung gemäß § 17 Abs. 2 erster Satz gewonnen wurden, zu analysieren.

(8) Die CSIRTs haben mit sektorspezifischen oder sektorübergreifenden Zusammenschlüssen wesentlicher und wichtiger Einrichtungen zusammenzuarbeiten und mit diesen gemäß § 36 gegebenenfalls einschlägige Informationen auszutauschen.

(9) Die CSIRTs sind ermächtigt, Kooperationsbeziehungen mit CSIRTs und gleichwertigen Stellen oder Sicherheitsdienstleistern in Drittländern aufzunehmen. Es sind einschlägige Regeln und Verfahren für den wirksamen, effizienten und sicheren Informationsaustausch, einschließlich des Traffic Light Protocol, zu verwenden.

(10) Die Cybersicherheitsbehörde hat der Europäischen Kommission unverzüglich die Identität der CSIRTs gemäß den Abs. 2 bis 4 und des als Koordinator gemäß § 11 Abs. 1 benannten CSIRTs, ihre jeweiligen Aufgaben in Bezug auf wesentliche und wichtige Einrichtungen sowie allfällige Änderungen dieser Angaben mitzuteilen.

(11) CSIRTs können die Aufgaben gemäß Abs. 1 Z 2 bis 4 und Z 7 auch gegenüber sonstigen Einrichtungen oder Personen wahrnehmen, sofern diese von einem Risiko oder einem Cybersicherheitsvorfall betroffen sind.

(12) Die Cybersicherheitsbehörde ist verpflichtet, die Ermächtigung gemäß den Abs. 2 und 3 zu widerrufen, wenn eine für die Erteilung der Ermächtigung erforderliche Voraussetzung gemäß § 9 Abs. 1 nicht mehr gegeben ist.

Schlagworte

Netzsystem

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273869