A.- X. (geb. 1970) schloss im Frühling 1996 mit der amerikanischen Gruppe "A." einen Lizenzvertrag, der ihn gegen Gebühr berechtigte, die amerikanische Version eines Datenträgers (CD-ROM) "B." in Europa zu vertreiben. Er liess 3'000 solche Datenträger pressen, ohne selber etwas am Datenbestand zu ändern, und bot diese im Internet im In- und Ausland zum Verkauf an. Er verschenkte Werbeexemplare und verkaufte rund 100 Stück zum Preis von je Fr. 70.-.

Die CD-ROM ist über ein Web-Browser-Programm (z.B. Microsoft, Internet-Explorer, Netscape) lesbar. Sie enthält im Inhaltsverzeichnis unter anderem einen Bereich, der mit "VIRUS" betitelt ist. Dieser Teil, der in fünf Unterbereiche gegliedert ist, enthält zwar kein lauffähiges Virusprogramm. Es finden sich dort jedoch Instruktionen und Hinweise zur Erzeugung von Programmen, die Daten infizieren, zerstören oder unbrauchbar machen.

B.- Das Bezirksgericht Zürich erkannte X. am 20. Juli 2000 der gewerbsmässigen Datenbeschädigung im Sinne von Art. 144bis Ziff. 2 Abs. 1 und 2 StGB schuldig und verurteilte ihn zu einer Busse von Fr. 300.-.

Am 22. Februar 2001 bestätigte das Obergericht des Kantons Zürich den Schuldspruch, sprach eine bedingte Gefängnisstrafe von zwei Monaten aus und büsste X. mit Fr. 5'000.- (publiziert in ZR 100/2001 Nr. 44).

Auf kantonale Nichtigkeitsbeschwerde von X. hin hob das Kassationsgericht des Kantons Zürich am 11. November 2001 das Urteil des Obergerichts auf. Letzteres holte darauf ein Gutachten bei Prof. U. Maurer vom Institut für theoretische Informatik der ETH Zürich ein. Am 3. Oktober 2002 bestätigte das Obergericht sein erstes Urteil.

C.- X. führt eidgenössische Nichtigkeitsbeschwerde mit dem Antrag, das Urteil des Obergerichts sei aufzuheben und die Sache zu neuer Entscheidung an die Vorinstanz zurückzuweisen.

Das Bundesgericht weist die Beschwerde ab.

2. Der Beschwerdeführer rügt eine Verletzung von Art. 144bis Ziff. 2 StGB.

2.1.1 Den Tatbestand von Art. 144bis Ziff. 2 Abs. 1 StGB erfüllt, wer Programme, von denen er weiss oder annehmen muss, dass sie zum unbefugten Verändern, Löschen oder Unbrauchbarmachen von elektronisch oder in vergleichbarer Weise gespeicherten Daten verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt. Dieser so genannte Virentatbestand fand erst im Rahmen der Beratungen in den eidgenössischen Räten Eingang ins Gesetz (AB 1993 S 958, 1994 S 430; AB 1994 N 329 f.). Er betrifft Formen der Vorbereitung einer Datenbeschädigung. Der Gesetzgeber normierte damit ein abstraktes Gefährdungsdelikt (GÜNTER STRATENWERTH/GUIDO JENNY, Schweizerisches Strafrecht, Besonderer Teil I, 6. Aufl., § 14 N. 62; PHILIPPE WEISSENBERGER, Basler Kommentar, Strafgesetzbuch II, Basel 2003, Art. 144bis StGB N. 35). Geschütztes Rechtsgut ist das Interesse des Verfügungsberechtigten an der ungestörten Verwendbarkeit von Daten (STEFAN TRECHSEL, Kurzkommentar, 1997, Art. 144bis StGB N. 2; WEISSENBERGER, a.a.O., Art. 144bis StGB N. 3).

2.1.2 Art. 144bis Ziff. 2 Abs. 1 StGB enthält mehrere Tatbestandsvarianten. Das Gesetz stellt zunächst denjenigen unter Strafe, der im Sinne von Ziff. 1 datenschädigende Programme herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht. Die Vorinstanz hat die Anwendung dieser Tatbestandsvarianten ausgeschlossen, da die auf der CD-ROM befindlichen Informationen kein Programm im Sinne von Art. 144bis Ziff. 2 StGB darstellen würden. Im Unterschied zu Ziff. 1 erwähne das Gesetz in Ziff. 2 nur Programme und nicht Daten. Unter diese Tatbestandsvariante fielen nur solche Programme, die dazu bestimmt seien, in die Datenverarbeitungsprogramme anderer eingeschleust zu werden. Sie müssten zudem über die Fähigkeit verfügen, sich selbst zu vervielfältigen. So genannte Quellprogramme (auch als Primärprogramme oder source program bezeichnet) müssten erst noch mittels Compiler (einer Art "Übersetzer") in Maschinensprache umgesetzt und danach mittels eines "Linkage Editors" (eines Systemprogramms, das getrennt übersetzte Programmteile zusammensetzt) vereinigt werden, bevor sie als lauf- bzw. einsatzfähige Programme verwendet werden könnten. Da vorliegend auf der CD-ROM keine einsatzfähigen Programme vorhanden seien, seien die oben erwähnten Tatbestandsvarianten nicht erfüllt (vgl. ZR 100/2001 Nr. 44 E. 1-3).

Die Handlungen des Beschwerdeführers sind daher einzig unter dem Gesichtspunkt der letzten der aufgeführten Tatbestandsvarianten von Art. 144bis Ziff. 2 Abs.1 StGB zu prüfen, nämlich der Anleitung zur Herstellung von Programmen, die zu einem der in Ziff. 1 genannten Zwecke verwendet werden sollen. Diese Tatbestandsvariante stellt einen verselbständigten Anstiftungs- bzw. Gehilfenschaftstatbestand dar. Irrelevant ist, ob die Abgabe von Herstellungsanleitungen entgeltlich oder unentgeltlich erfolgte. Es ist auch nicht erforderlich, dass von diesen Anweisungen effektiv Gebrauch gemacht wird (NIKLAUS SCHMID, Computer- sowie Check- und Kreditkartenkriminalität, Zürich 1994, § 6 N. 62).

3. Der Beschwerdeführer beruft sich auf den Wortlaut des Gesetzes und die historische Auslegung der Wendung "Abgabe von Herstellungsanleitungen".

Demnach sei einzig die Anleitung zur Herstellung von datenschädigenden Programmen strafbar, nicht jedoch der Vertrieb von Herstellungsanleitungen. Nur derjenige, dessen geistiges Erzeugnis die Anleitung sei, könne für deren Abgabe bestraft werden. Vorliegend sei nicht berücksichtigt worden, dass die Anleitungen nicht vom Beschwerdeführer ausgearbeitet worden seien. Diese Kritik bringe ebenfalls Prof. Christian Schwarzenegger in einem als Gutachten beigelegten Vortrag vor. Die von der kantonalen Instanz vorgenommene extensive Auslegung von Art. 144bis StGB halte weder vor dem in Art. 1 StGB festgesetzten Bestimmtheitsgebot stand noch sei sie verfassungs- und konventionskonform (Art. 36 Abs. 1 Satz 1 BV, Art. 7 EMRK). Bei der Tatbestandsvariante des Gebens von Anleitungen zur Herstellung datenschädigender Programme handle es sich um einen klaren Begriff, bei dem für eine Auslegung kein Platz bestehe.

3.1 Entgegen der Auffassung des Beschwerdeführers braucht es sich bei den zur Herstellung eines Computervirus nötigen Angaben nicht um Kenntnisse zu handeln, die der Übermittler selber erworben oder zusammengestellt hat. Das vermittelte Wissen kann, muss aber nicht das geistige Erzeugnis des Täters sein. Dem Wortlaut der Bestimmung nach genügt das Weitergeben von solchen Informationen. Auch der französische und der italienische Wortlaut der fraglichen Tatbestandsvariante erlauben keinen anderen Schluss. Die Ausdrücke "fournir des indications" und "dare indicazioni" umfassen auch das Vermitteln von Angaben. Aus dem Wortlaut ergibt sich somit nicht, dass nur vom Täter selbst erstellte Anleitungen unter den Tatbestand fallen.

Ebenso wenig ist die vom Beschwerdeführer verlangte enge Auslegung mit dem Ziel der Bestimmung vereinbar. Diese soll die Verfügungsmacht über intakte Daten schützen und stellt zu diesem Zweck bereits Vorbereitungshandlungen zu den in Art. 144bis Ziff. 1 StGB genannten Handlungen unter Strafe. Damit soll im Sinne einer wirksamen Verbrechensbekämpfung auf dem Gebiet der Datenbeschädigung ein besonders frühzeitiges Eingreifen ermöglicht werden (vgl. zur Pönalisierung von Vorbereitungshandlungen im Allgemeinen STRATENWERTH, Schweizerisches Strafrecht, Allgemeiner Teil I, 2. Aufl., § 12 N. 6). In der ständerätlichen Kommission für Rechtsfragen wurde im Zusammenhang mit der Revision von Art. 144 StGB und dem Erlass des neuen Art. 144bis StGB darauf hingewiesen, dass Unternehmen gewerbsmässig Programmteile zur "Aufzucht" von Viren herstellen und Baukästen zur Virenkonstruktion anbieten würden. Solche Vorbereitungshandlungen seien unter Strafe zu stellen. Mit der Tatbestandsvariante des Gebens von Anleitungen solle vorbeugend verhindert werden, dass fachtechnische Kenntnisse zur Erzeugung von datenschädigenden Programmen zugänglich gemacht werden, wenn der Täter weiss oder annehmen muss, dass sie zu den in Art. 144bis Ziff. 1 StGB beschriebenen Zwecken verwendet werden sollen. Es gehe darum zu verhindern, dass datenschädigende Programme überhaupt entstehen können und in Umlauf gesetzt werden (Teilprotokoll 1 der Sitzung der ständerätlichen Kommission für Rechtsfragen vom 14./15. Oktober 1993, S. 89; Teilprotokoll 4 der Sitzung vom 11. November 1993, S. 112 und 117; BERNARD CORBOZ, Les infractions en droit suisse, Bern 2002, Bd. I, Art. 144bis StGB N. 19; SCHMID, Das neue Computerstrafrecht, ZStR 113/1995 S. 32). Aus dieser Zielsetzung folgt, dass es irrelevant ist, ob die Anleitungen von demjenigen verbreitet werden, der das datenschädigende Programm ganz oder teilweise selbst geschaffen hat, oder von einem Dritten, der die Anleitung zur Herstellung solcher Programme anderen lediglich übermittelt.

3.2 Fehl geht auch die Rüge, nur die Anleitung zur Herstellung von datenschädigenden Programmen sei strafbar und nicht das Vertreiben solcher Anleitungen. Da das einmalige Abgeben von Herstellungsanleitungen unter Strafe gestellt ist, erlaubt es Art. 144bis Ziff. 2 Abs.1 StGB a fortiori, auch die mit dem Vertrieb von CD-ROMs wiederholt verübte Tat zu ahnden. Die Häufigkeit der Einzelakte stellt im Übrigen auch ein Element der gewerbsmässigen Tatbegehung dar, worauf die Vorinstanz erkannt hat.

4. Der Beschwerdeführer macht weiter geltend, auch wenn das Vertreiben von nicht selbst verfassten Herstellungsanleitungen von Art. 144bis Ziff. 2 StGB erfasst sei, dürfe eine Verurteilung auf Grund dieser Bestimmung nicht erfolgen. Die Herstellungsanleitung sei bruchstückhaft. Die unvollständige Abgabe von Informationen zur Herstellung datenschädigender Programme sei jedoch durch den Begriff der Anleitung nicht gedeckt.

4.1 Entgegen der Auffassung des Beschwerdeführers braucht die Anleitung nicht alle zur Herstellung eines datenschädigenden Programms nötigen Schritte abzudecken. Es genügt, wenn Informationen zu wesentlichen Herstellungsvorgängen abgegeben werden und dadurch die Herstellung von datenschädigenden Programmen wesentlich erleichtert wird (WEISSENBERGER, a.a.O., Art. 144bis StGB N. 47). Aus dem deutschen Gesetzestext geht dies zwar nicht ganz eindeutig hervor. Der französische und italienische Text lassen jedoch keinen Zweifel offen: Die Wendung "fournir des indications en vue de leur fabrication" und "dare indicazioni" deuten daraufhin, dass das Geben jeglicher (also auch unvollständiger) Angaben genügt, die zur Herstellung von datenschädigenden Programmen nützlich sind. Dabei muss es sich allerdings um für die Herstellung solcher Programme spezifische und wesentliche Angaben handeln.

4.2 Gemäss den verbindlichen Feststellungen der Vorinstanz (Art. 277bis Abs. 1 BStP) enthält die CD-ROM genügend Instruktionen und Hinweise, mit deren Hilfe ein lauf- bzw. einsatzfähiges, datenschädigendes Programm erzeugt werden kann. Für das Compilieren und Linken könne auf frei verfügbare Software zurückgegriffen werden. Auch für diese Schritte enthalte im Übrigen die CD-ROM Anleitungen. Insoweit der Beschwerdeführer die Anleitung als bruchstückhaft bezeichnet, stützt er sich daher in unzulässiger Weise auf einen Sachverhalt, der von den tatsächlichen Feststellungen der Vorinstanz abweicht (Art. 273 Abs. 1 lit. b BStP). Da im Übrigen selbst bruchstückhafte spezifische Anleitungen zur Herstellung von datenschädigenden Programmen von Art. 144bis Ziff. 2 StGB erfasst sind, ist die Rüge, soweit darauf einzutreten ist, unbegründet.

5. Der Beschwerdeführer rügt weiter die Annahme des Eventualvorsatzes. Es müsse ein dolus directus ersten Grades vorliegen. Eine Schädigungsabsicht könne ihm aber nicht vorgeworfen werden. Weder sein Wissen um das allfällige Schädigungspotential von Computerviren noch die grundsätzlich negative Zweckbestimmung des vertriebenen Datenträgers liessen einen Rückschluss auf seinen Willen zu.

5.1 Zunächst ist zu prüfen, ob der subjektive Tatbestand direkten Vorsatz voraussetzt oder ob Eventualvorsatz genügt. In einem zweiten Schritt ist zu erörtern, ob in casu die verlangte Vorsatzform zu Recht angenommen wurde.

5.2 Der subjektive Tatbestand von Art. 144bis Ziff. 2 StGB erfasst zwei Ebenen: Jene, welche die Handlung des Täters betrifft (vorliegend das Geben von Herstellungsanleitungen) und jene, welche sich auf sein Wissen im Hinblick auf die von einem Dritten getätigten Nachfolgehandlungen (Verwendung zu einem in Ziff. 1 genannten Zweck) bezieht.

Beim direkten Vorsatz ersten Grades will oder nimmt der Täter den Erfolg in Kauf und sieht diesen als sicher voraus. Beim Eventualdolus hält der Täter den Erfolg (nur) für möglich (BGE 126 IV 60 E. 2b S. 64; BGE 105 IV 12 E. 4b S. 14). Folgte man der Auffassung des Beschwerdeführers, dass in Bezug auf eine schädigende Nachfolgeverwendung der Programme direkter Vorsatz ersten Grades erforderlich ist, so bedeutete dies, dass der Täter gerade diese Verwendung als sein eigentliches Handlungsziel anstreben muss.

Der Gesetzgeber wollte mit der Wendung "von denen er weiss oder annehmen muss" vor allem die fahrlässige von der eventualvorsätzlichen Tatbegehung unterscheiden und erstere ungeahndet lassen, letztere hingegen unter Strafe stellen (AB 1993 S 958; AB 1994 N 329). Die Frage nach dem direkten Vorsatz wird in den Gesetzesmaterialien nicht erörtert. Aus der Formulierung von Art. 144bis Ziff. 2 Abs. 1 StGB, wonach auch derjenige strafbar ist, der annehmen muss, dass die datenschädigenden Programme zu den in Ziff. 1 angeführten Zwecken verwendet werden sollen, ist jedoch ersichtlich, dass Eventualvorsatz genügt. Auch nach der Lehre reicht Eventualvorsatz aus. Der Täter muss demnach zumindest in Kauf nehmen, dass die Programme zu einem der in Ziff. 1 genannten Zwecke verwendet werden sollen (CORBOZ, a.a.O., Art. 144bis StGB N. 20; REHBERG/SCHMID/DONATSCH, Strafrecht III, 8. Aufl., § 16 S. 176; WEISSENBERGER, a.a.O., Art. 144bis StGB N. 48). Den Tatbestand erfüllt somit bereits, wer den Verwendungszweck hätte annehmen sollen, und nicht nur jener, der diesen als sicher annahm.

5.3.1 Es ist unbestritten, dass der Beschwerdeführer bei der Abgabe von Herstellungsanleitungen (erste Ebene) vorsätzlich handelte. Er wusste, dass die CD-ROM, die er vertrieb, Beschreibungen zur Herstellung von Computerviren enthielt. Die Vorinstanz nimmt diesbezüglich zutreffend Vorsatz an.

5.3.2 Streitig ist hingegen, ob die Vorinstanz zu Recht Eventualvorsatz hinsichtlich der Nachfolgehandlung annahm. Wenn wie vorliegend aufgrund äusserer Umstände auf Eventualvorsatz geschlossen wurde, kann im Verfahren der eidgenössischen Nichtigkeitsbeschwerde die richtige Bewertung dieser Umstände im Hinblick auf den Rechtsbegriff des Eventualvorsatzes überprüft werden (BGE 125 IV 242 E. 3c S. 252; BGE 119 IV 242 E. 2c S. 248).

Nach NIKLAUS SCHMID (Computer- sowie Check- und Kreditkartenkriminalität, Zürich 1994, § 6 N. 65) ist bei Art. 144bis Ziff. 2 Abs. 1 StGB Eventualabsicht regelmässig gegeben, wenn Virenprogramme, die im Regelfall allein zur Schädigung fremder Daten, Datenverarbeitungen oder Datenverarbeitungsanlagen produziert und vertrieben werden, ohne Kontrolle über die (nicht schädigende) Verwendung aus den Händen gegeben werden. Der Gesetzgeber hat die Wendung "weiss oder annehmen muss" ausdrücklich dem Hehlereitatbestand entnommen (AB 1993 S 958; AB 1994 N 329). Gemäss der Rechtsprechung zu Art. 160 StGB liegt Eventualvorsatz vor, wenn Verdachtsgründe die Möglichkeit einer strafbaren Vortat nahe legen (BGE 119 IV 242 E. 2b S. 247; BGE 101 IV 402 E. 2 S. 405). Auf den Virentatbestand übertragen bedeutet dies, dass Eventualvorsatz vorliegt, wenn sich die nahe liegende Möglichkeit einer datenschädigenden Verwendung von Computerviren aufdrängt (siehe WEISSENBERGER, a.a.O., Art. 144bis StGB N. 49). Ob dies zutrifft, ist an Hand der konkreten Umstände des Einzelfalls sorgfältig zu prüfen. So bleibt etwa die Anleitung zur Herstellung von Viren zu Forschungs- und Ausbildungszwecken straflos, wenn angemessene Vorkehrungen gegen ihre schädigende Verwendung getroffen werden. Massgeblich sind namentlich die Gestaltung der Informationen, die Umstände ihrer Abgabe und der Kreis der Abnehmer (WEISSENBERGER, a.a.O., Art. 144bis StGB N. 50).

5.3.3 Die Vorinstanz hält verbindlich fest (Art. 277bis Abs. 1 BStP), dass der Beschwerdeführer die CD-ROM als Sammlung von Untergrundinformationen angepriesen habe. Gemäss seiner Aussage enthalte die CD-ROM "alle grauen und schwarzen Zonen", die auf Internet gefunden werden könnten. Auf der CD-ROM befänden sich nach seinen eigenen Worten "illegale und gefährliche Dinge". Er habe bewusst an solchen Informationen interessierte Kreise des Internets angesprochen. Er habe auch nicht kontrolliert, an wen er die Herstellungsanleitungen verschenkt und verkauft habe, und er sei an Schutzvorkehrungen nicht interessiert gewesen. Ihm sei es einzig darum gegangen, mit dem Vertrieb des Datenträgers einen Verdienst zu erzielen. Die Vorinstanz schloss, dass der Beschwerdeführer unter diesen Umständen mit einem Missbrauch der gelieferten Herstellungsanleitung habe rechnen müssen oder diesen in Kauf genommen habe, selbst wenn er ihn weder gewünscht noch beabsichtigt habe. Diese Annahme ist nicht zu beanstanden. Die Möglichkeit, dass ein Kunde die Herstellungsanleitungen befolgen, ein datenschädigendes Programm erzeugen und in Umlauf setzen würde, lag nahe. Die Warnung auf dem Umschlag und auf der CD-ROM vor der datenschädigenden Wirkung vermag daran nichts zu ändern. Der Beschwerdeführer hatte mit dem Vertrieb des Datenträgers auf Internet überhaupt keine Kontrolle über den Gebrauch, den seine Abnehmer von den übermittelten Informationen machen würde. Die Vorinstanz verletzt daher kein Bundesrecht, wenn sie den subjektiven Tatbestand von Art. 144bis Ziff. 2 StGB als erfüllt betrachtet.