Gemäß § 44 Abs 5 TKG 2021 haben Betreiber öffentlicher Kommunikationsnetze und Anbieter öffentlicher Kommunikationsdienste der Regulierungsbehörde Sicherheitsverletzungen mit beträchtlichen Auswirkungen auf den Betrieb der Netze oder Dienste in der von der Regulierungsbehörde vorgeschriebenen Form unverzüglich mitzuteilen.
Die Regulierungsbehörde orientiert sich bei der Anwendung dieser Bestimmung an den Vorgaben, die in dem von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) veröffentlichten und nachstehend verlinkten Dokument Technical Guideline on Incident Reporting festgelegt sind.
- ENISA Technical Guideline on Incident Reporting under the EECC
- ENISA Technical Guideline on Security Measures under the EECC
- ENISA 5G Supplement to Technical Guideline on Security Measures under the EECC
Dies betrifft insbesondere die Abgrenzung, unter welchen Voraussetzungen die Auswirkungen eines Vorfalls so beträchtlich sind, dass der Vorfall der Regulierungsbehörde mitgeteilt werden muss. Ob eine Mitteilungspflicht besteht, hängt einerseits von der Erreichbarkeit von Notrufnummern, andererseits von der Dauer des Vorfalls und von der Anzahl der betroffenen Teilnehmer in der jeweiligen Dienstekategorie ab. Bei den Dienstekategorien unterscheidet man folgende Kategorien und Subkategorien:
• nummerngebundene interpersonelle Kommunikationsdienste (fester Sprachkommunikationsdienst, mobiler Sprachkommunikationsdienst und nummerngebundener Nachrichtendienst wie z. B. SMS oder andere)
• Internetzugangsdienste (fester Internetzugangsdienst, mobiler Internetzugangsdienst) und
• weitere Kommunikationsdienste (nummernunabhängiger interpersoneller Kommunikationsdienst wie z. B. Email-Dienst, Messaging-/Online-Chat-Dienst, Videoanruf-/-konferenzdienst oder andere sowie Dienste zur Übertragung von Signalen wie z. B. machine-to-machine-Kommunikation, Mietleitung/Etherlink oder andere).
- Ein Vorfall ist jedenfalls mitzuteilen, wenn eine Notrufnummer aus einem Kommunikationsnetz für Teilnehmer eines verfügbaren öffentlichen Telefondienstes nicht erreichbar ist.
- Die Nichterreichbarkeit einer Notrufnummer ist auch dann mitzuteilen, wenn der Telefondienst aus Sicht des Teilnehmers nur teilweise verfügbar ist (beispielsweise, wenn für Teilnehmer lediglich einige Rufnummern erreichbar sind, aber zumindest eine Notrufnummer nicht).
- Darüber hinaus ist ein Vorfall auch dann mitzuteilen, wenn der Telefondienst der Notrufleitstelle, an dem ein Notruf terminiert, für passive Gespräche nicht verfügbar ist, unabhängig davon, ob die Notrufnummer (z.B. durch automatische Weiterleitung) erreichbar ist oder nicht.
- Andernfalls ist ein Vorfall dann mitzuteilen, wenn er mehr als x Stunden dauert und mehr als y Teilnehmer der jeweiligen Dienstekategorie betrifft. Die Werte x (Dauer) und y (Teilnehmeranzahl) ergeben sich dabei aus folgender Tabelle:
| Dienstekategorie/Dauer | ≤ 1 h | > 1 h | > 2 h | > 4 h | > 6 h | > 8 h | > 16 h |
|---|---|---|---|---|---|---|---|
Nummerngebundene | |||||||
| Fester Sprachkommunikationsdienst | 500.000 | 340.000 | 230.000 | 110.000 | 50.000 | 20.000 | 10.000 |
| Mobiler Sprachkommunikationsdienst | 500.000 | 500.000 | 250.000 | 150.000 | 100.000 | 50.000 | 10.000 |
| Nummerngebundener Nachrichtendienst (SMS) | 500.000 | 500.000 | 250.000 | 150.000 | 100.000 | 50.000 | 10.000 |
Internetzugangsdienste | |||||||
| Fester Internetzugangsdienst | 500.000 | 390.000 | 250.000 | 130.000 | 50.000 | 30.000 | 10.000 |
| Mobiler Internetzugangsdienst | 500.000 | 500.000 | 250.000 | 150.000 | 100.000 | 50.000 | 10.000 |
Weitere Kommunikationsdienste | |||||||
| Nummernunabhängige Kommunikationsdienste | |||||||
| 500.000 | 500.000 | 250.000 | 150.000 | 100.000 | 50.000 | 10.000 | |
| Messaging/Online-Chat | 500.000 | 500.000 | 250.000 | 150.000 | 100.000 | 50.000 | 10.000 |
| Videoanruf/-konferenz | 500.000 | 500.000 | 250.000 | 150.000 | 100.000 | 50.000 | 10.000 |
| andere | 500.000 | 500.000 | 250.000 | 150.000 | 100.000 | 50.000 | 10.000 |
| Dienste für Übertragung von Signalen | |||||||
| Maschine-Maschine-Kommunikation | 500.000 | 500.000 | 250.000 | 150.000 | 100.000 | 50.000 | 10.000 |
| Mietleitung inkl. Etherlink | n/a | 2.300 | 1.500 | 800 | 300 | 200 | n/a |
| andere | - | - | - | - | - | - | - |
Zur Vereinfachung der Eingaben an die RTR-GmbH steht im E-Governmentbereich ein Eingabeformular zur Verfügung, das vorzugsweise zu verwenden ist. Das PDF-File "Mitteilungsformular", welches am Ende der Seite zum Download bereitsteht, wird bis auf Weiteres ergänzend bestehen bleiben.
Im Bereich der Mitteilungspflicht betreffend Notrufe wurde die Regelung dahingehend klargestellt, dass ein Vorfall jedenfalls der RTR-GmbH mitzuteilen ist, wenn ein Anschluss einer Leitstelle nicht planmäßig erreichbar ist. Ergänzend stehen Beispiele für Meldungen des Ausfalls von Notrufen zur Information zur Verfügung.
Downloads
Mitteilungsformular.pdf (pdf, 786,7 KB)
Mitteilungspflicht_bei_Ausfall_von_Notrufnummern.pdf (pdf, 222,7 KB)
ENISA Technical Guideline on Incident Reporting under the EECC (pdf, 1.845,7 KB)
ENISA Technical Guideline on Security Measures under the EECC (pdf, 2.346,1 KB)
ENISA 5G Supplement to Technical Guideline on Security Measures under the EECC (pdf, 2.494,0 KB)
ENISA_Technical_Guideline_On_Threats_And_Assets.pdf (pdf, 1.364,6 KB)