186 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVIII. GP
Regierungsvorlage
Bundesgesetz, mit dem das Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen (Resilienz kritischer Einrichtungen-Gesetz – RKEG) erlassen und das Tilgungsgesetz 1972 geändert wird
Der Nationalrat hat beschlossen:
Inhaltsverzeichnis
|
Artikel 1
Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen (Resilienz kritischer Einrichtungen-Gesetz – RKEG)
Inhaltsverzeichnis
|
1. Abschnitt |
|
|
§ 1. |
Kompetenzdeckung |
|
§ 2. |
Anwendungsbereich |
|
§ 3. |
Begriffsbestimmungen |
|
2. Abschnitt |
|
|
§ 4. |
Zuständige Behörde |
|
§ 5. |
Nichteinhaltung von Verpflichtungen |
|
§ 6. |
Beschwerdeverfahren |
|
3. Abschnitt |
|
|
§ 7. |
Datenverarbeitung |
|
§ 8. |
Veröffentlichung von Sicherheitsvorfällen |
|
4. Abschnitt |
|
|
§ 9. |
Strategie für die Resilienz kritischer Einrichtungen |
|
§ 10. |
Risikoanalyse durch den Bundesminister für Inneres |
|
§ 11. |
Ermittlung kritischer Einrichtungen |
|
§ 12. |
Kritische Einrichtungen im Sektor öffentliche Verwaltung |
|
§ 13. |
Unterstützungs- und Vorsorgemaßnahmen |
|
5. Abschnitt |
|
|
§ 14. |
Risikoanalyse durch kritische Einrichtungen |
|
§ 15. |
Resilienzmaßnahmen kritischer Einrichtungen |
|
§ 16. |
Zuverlässigkeitsüberprüfungen |
|
§ 17. |
Meldepflicht kritischer Einrichtungen |
|
§ 18. |
Ausnahmen von Verpflichtungen kritischer Einrichtungen |
|
§ 19. |
Kritische Einrichtungen von besonderer europäischer Bedeutung |
|
6. Abschnitt |
|
|
§ 20. |
Aufsichts- und Durchsetzungsmaßnahmen |
|
§ 21. |
Resilienzauditoren |
|
7. Abschnitt |
|
|
§ 22. |
Verständigungspflichten |
|
§ 23. |
Verwaltungsstrafverfahren |
|
§ 24. |
Nichteinhaltung von Verpflichtungen durch Stellen der öffentlichen Verwaltung |
|
8. Abschnitt |
|
|
§ 25. |
Umsetzung von Rechtsakten der EU |
|
§ 26. |
Personenbezogene Bezeichnungen |
|
§ 27. |
Vollziehung |
|
§ 28. |
Verweisungen |
|
§ 29. |
Übergangsbestimmungen |
|
§ 30. |
Inkrafttreten |
1. Abschnitt
Allgemeine Bestimmungen
Kompetenzdeckung
§ 1. (Verfassungsbestimmung) Die Erlassung, Aufhebung sowie Vollziehung von Vorschriften, wie sie in diesem Bundesgesetz enthalten sind, sind auch in jenen Angelegenheiten Bundessache, hinsichtlich deren das Bundes-Verfassungsgesetz (B‑VG), BGBl. Nr. 1/1930, etwas anderes bestimmt. Die in diesem Bundesgesetz geregelten Angelegenheiten können unmittelbar von Bundesbehörden besorgt werden.
Anwendungsbereich
§ 2. (1) Mit diesem Bundesgesetz werden Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau kritischer Einrichtungen in den im Anhang der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates, ABl. Nr. L 333 vom 27.12.2022 S. 164, (im Folgenden: RKE‑RL) gelisteten Sektoren sichergestellt werden soll.
(2) Angelegenheiten, die in den Anwendungsbereich der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS‑2-Richtlinie), ABl. Nr. L 333 vom 27.12.2022 S. 80, (im Folgenden: NIS‑2‑RL) fallen, bleiben von diesem Bundesgesetz unberührt.
(3) Dieses Bundesgesetz gilt nicht für die Bereiche der Gerichtsbarkeit einschließlich der kollegialen und monokratischen Justizverwaltung sowie der Gesetzgebung einschließlich der Parlamentsdirektion und die Österreichische Nationalbank.
Begriffsbestimmungen
§ 3. Im Sinne dieses Bundesgesetzes bedeutet
1. „kritische Einrichtung“ eine öffentliche oder private Einrichtung, die in Anwendung des § 11 vom Bundesminister für Inneres als solche eingestuft wurde;
2. „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, einen solchen abzuwehren, darauf zu reagieren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall zu bewältigen oder sich von einem solchen Vorfall zu erholen;
3. „Sicherheitsvorfall“ ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit;
4. „Beinahe-Sicherheitsvorfall“ ein Ereignis mit dem Potenzial, einen Sicherheitsvorfall hervorzurufen, dessen Eintritt aber noch rechtzeitig verhindert werden konnte oder der aus sonstigen Gründen nicht eingetreten ist;
5. „kritische Infrastruktur“ Objekte, Anlagen, Ausrüstungen, Netze, Systeme oder Teile eines Objekts, einer Anlage, einer Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind;
6. „wesentlicher Dienst“ ein Dienst, der in der Delegierten Verordnung (EU) 2023/2450 zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, ABl. Nr. L 2023/2450 vom 30.10.2023, festgelegt wurde; darüber hinaus allfällige weitere aufgrund einer Verordnung des Bundesministers für Inneres festgelegte Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder die Erhaltung der Umwelt von erheblicher Bedeutung sind und von einer Einrichtung der im Anhang der RKE‑RL angeführten Kategorien in den gelisteten Sektoren und Teilsektoren erbracht werden;
7. „Risiko“ das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;
8. „Risikoanalyse“ der gesamte Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle Bedrohungen, Schwachstellen oder Gefahren für kritische Einrichtungen, die zu einem Sicherheitsvorfall führen können, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes samt Eintrittswahrscheinlichkeit bewertet werden; im Zuge dieser Risikoanalyse werden sämtliche aus natürlichen Ursachen herrührenden oder vom Menschen verursachten Risiken, die zu einem Sicherheitsvorfall führen können, berücksichtigt;
9. „Mitgliedstaat“ jeder Staat, der Vertragspartei des Vertrags über die Europäische Union in der Fassung BGBl. III Nr. 132/2009 ist;
10. „Drittstaat“ jeder Staat, der nicht Vertragspartei des Vertrags über die Europäische Union in der Fassung BGBl. III Nr. 132/2009 ist;
11. „Einrichtung“ eine natürliche oder juristische Person, eine eingetragene Personengesellschaft oder eine Stelle der öffentlichen Verwaltung;
12. „Resilienzplan“ ein Dokument, in dem die geeigneten und verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Gewährleistung der Resilienz nachvollziehbar dargelegt werden;
13. „Audit“ eine systematische und unabhängige Überprüfung der Einhaltung der Verpflichtungen gemäß den §§ 14 und 15, insbesondere durch Bewertungsbesuche, samt Dokumentation der Ergebnisse in einem Prüfbericht durch Resilienzauditoren (§ 21).
2. Abschnitt
Zuständigkeiten
Zuständige Behörde
§ 4. (1) Zuständige Behörde im Sinne dieses Bundesgesetzes ist der Bundesminister für Inneres.
(2) (Verfassungsbestimmung) Soweit in diesem Bundesgesetz nicht anderes bestimmt ist, übt der Bundesminister für Inneres seine Befugnisse, wie sie in diesem Bundesgesetz enthalten sind, auch gegenüber den in Art. 19 B‑VG bezeichneten obersten Organen der Vollziehung aus.
(3) Der Bundesminister für Inneres kann die Landespolizeidirektionen mit der Durchführung einzelner Aufgaben gemäß den §§ 13 und 20 beauftragen. Der Bundesminister für Inneres kann zudem anordnen, dass ihm von den Landespolizeidirektionen laufend oder zu bestimmten Zeitpunkten direkt über den Fortgang einer Angelegenheit zu berichten ist.
(4) Der Bundesminister für Inneres hat die Funktion als zentrale Anlaufstelle gemäß Art. 9 Abs. 2 RKE‑RL auszuüben, die als Verbindungsstelle zu den zentralen Anlaufstellen in den anderen Mitgliedstaaten, zur Gruppe für die Resilienz kritischer Einrichtungen gemäß Art. 19 RKE‑RL sowie zur Europäischen Kommission zu fungieren und die Zusammenarbeit mit Drittstaaten zu gewährleisten hat.
(5) Der Bundesminister für Inneres hat mit jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS‑2-RL als zuständige Behörden benannt oder eingerichtet wurden, insbesondere im Hinblick auf die Festlegung standardisierter Übermittlungsformate sowie kritische Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle, Cybersicherheitsvorfälle, nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle, zusammenzuarbeiten und Informationen zu den ergriffenen Maßnahmen auszutauschen.
(6) Vor Beginn der Tätigkeit müssen sich sämtliche Mitarbeiter, die mit der Wahrnehmung von Aufgaben nach diesem Bundesgesetz betraut sind, einer Sicherheitsüberprüfung gemäß den §§ 55 bis 55b des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, für den Zugang zu geheimer Information unterziehen. Die Sicherheitsüberprüfungen sind alle drei Jahre zu wiederholen. § 55a Abs. 4 dritter und vierter Satz SPG gilt.
Nichteinhaltung von Verpflichtungen
§ 5. Die Führung von Verwaltungsstrafverfahren gemäß § 23 sowie die Feststellung der Nichteinhaltung von Verpflichtungen gemäß § 24 obliegt den Bezirksverwaltungsbehörden.
Beschwerdeverfahren
§ 6. (1) Gegen Bescheide des Bundesministers für Inneres und wegen Verletzung seiner Entscheidungspflicht kann Beschwerde an das Bundesverwaltungsgericht erhoben werden.
(2) Gegen Bescheide der Bezirksverwaltungsbehörden und wegen Verletzung ihrer Entscheidungspflicht in Verwaltungssachen kann Beschwerde an die Verwaltungsgerichte der Länder erhoben werden.
3. Abschnitt
Datenverarbeitungen
Datenverarbeitung
§ 7. (1) Der Bundesminister für Inneres ist als Verantwortlicher gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 74 vom 04.03.2021 S. 35, (im Folgenden: DSGVO) ermächtigt,
1. Identifikations- und Erreichbarkeitsdaten kritischer Einrichtungen einschließlich des Sektors sowie des Teilsektors, in dem diese Einrichtungen ihren wesentlichen Dienst erbringen, sowie die von den kritischen Einrichtungen erbrachten wesentlichen Dienste, Standorte und Versorgungsgebiete kritischer Infrastruktur, Kontaktdaten der gemäß § 11 Abs. 5 namhaft gemachten zentralen Kontaktstellen sowie von Ansprechpersonen,
2. Daten zu kritische Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle, Cybersicherheitsvorfälle, nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle, und
3. Daten zu den gemäß den §§ 14, 15, 17 und 20 gesetzten Maßnahmen
zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben nach diesem Bundesgesetz erforderlich ist.
(2) Übermittlungen der gemäß Abs. 1 verarbeiteten Daten sind
1. an Sicherheitsbehörden für Zwecke der Sicherheitspolizei und Strafrechtspflege sowie zur Wahrnehmung der Aufgaben nach diesem Bundesgesetz,
2. an Staatsanwaltschaften und ordentliche Gerichte für Zwecke der Strafrechtspflege sowie
3. an jene Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS‑2-RL als zuständige Behörden benannt oder eingerichtet wurden, an sonstige inländische Behörden sowie an jene Einrichtungen, die in Umsetzung des Art. 10 Abs. 1 NIS‑2-RL als Computer-Notfallteams (CSIRTs) benannt oder eingerichtet wurden, soweit dies jeweils eine wesentliche Voraussetzung zur Wahrnehmung der ihnen gesetzlich übertragenen Aufgaben ist,
zulässig.
(3) Der Bundesminister für Inneres ist ermächtigt, zum Zwecke der Gewährleistung der grenzüberschreitenden Zusammenarbeit die gemäß Abs. 1 verarbeiteten Daten an die Europäische Kommission, die anderen Mitgliedstaaten, die Gruppe für die Resilienz kritischer Einrichtungen gemäß Art. 19 RKE‑RL sowie Drittstaaten zu übermitteln, soweit dies jeweils zur Erfüllung einer in der RKE‑RL vorgesehenen Informationsverpflichtung erforderlich ist, sowie entsprechende Daten, die von der Europäischen Kommission, anderen Mitgliedstaaten sowie Drittstaaten übermittelt wurden, zu verarbeiten.
(4) Der Bundesminister für Inneres ist zudem ermächtigt, zur Erfüllung seiner Aufgaben gemäß § 17 Abs. 5 sowie § 13 Abs. 2 Z 10 sachdienliche Informationen an kritische Einrichtungen zu übermitteln.
(5) Die gemäß den Abs. 1 bis 4 verarbeiteten Daten sind spätestens fünf Jahre nach Rechtskraft eines Bescheids gemäß § 11 Abs. 8 zu löschen.
(6) Jede Verarbeitung von Daten gemäß den Abs. 1 bis 4 ist vom Bundesminister für Inneres zu protokollieren. Protokolldaten über durchgeführte Verarbeitungsvorgänge, insbesondere Änderungen und Abfragen, sind drei Jahre lang aufzubewahren und danach zu löschen.
(7) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.
Veröffentlichung von Sicherheitsvorfällen
§ 8. (1) Nach Anhörung der von einem Sicherheitsvorfall betroffenen kritischen Einrichtung kann der Bundesminister für Inneres die Öffentlichkeit über erforderliche personenbezogene Identifikations- und Erreichbarkeitsdaten der kritischen Einrichtung sowie sonstige erforderliche Informationen, die mit einer Meldung zu einem Sicherheitsvorfall in Zusammenhang stehen, nach Abwägung der Auswirkungen auf die betroffene kritische Einrichtung veröffentlichen, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung oder zur Bewältigung von Sicherheitsvorfällen erforderlich ist. Die Veröffentlichung darf nur insoweit erfolgen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit oder für die nationale Sicherheit einschließlich der militärischen Landesverteidigung darstellt und keine schutzwürdigen Interessen kritischer Einrichtungen beeinträchtigt.
(2) Der Bundesminister für Inneres hat die im jeweiligen Wirkungsbereich betroffenen Bundesministerien sowie die betroffenen Länder über das Vorliegen eines Sicherheitsvorfalls zu informieren.
4. Abschnitt
Maßnahmen zur Stärkung der Resilienz kritischer Einrichtungen
Strategie für die Resilienz kritischer Einrichtungen
§ 9. (1) Der Bundesminister für Inneres ist verpflichtet, für die Bundesregierung eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (Strategie) vorzubereiten und diese anlassbezogen, längstens jedoch alle vier Jahre anzupassen, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit zur Äußerung zu geben ist. Die Strategie ist erstmalig spätestens bis zum 17. Jänner 2026 von der Bundesregierung zu beschließen.
(2) Die Strategie hat jedenfalls folgende Inhalte zu umfassen:
1. strategische Ziele zur Verbesserung der Resilienz, insbesondere unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten;
2. einen Steuerungsrahmen zur Verwirklichung der Ziele gemäß Z 1, insbesondere eine Beschreibung der Aufgaben der an der Umsetzung der Strategie beteiligten Akteure;
3. Maßnahmen zur Verbesserung der Resilienz kritischer Einrichtungen samt Beschreibung der Risikoanalyse gemäß § 10;
4. das Verfahren zur Ermittlung kritischer Einrichtungen gemäß § 11;
5. Unterstützungs- und Vorsorgemaßnahmen gemäß § 13 samt Maßnahmen zur Verbesserung der öffentlich-privaten Zusammenarbeit;
6. eine Auflistung der betroffenen Behörden und insbesondere der an der Umsetzung der Strategie beteiligten Bundesministerien, Länder sowie Interessenvertretungen;
7. einen Ablauf für die Koordinierung zwischen dem Bundesminister für Inneres und jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS‑2-RL als zuständige Behörden benannt oder eingerichtet wurden, zum Zweck des Informationsaustausches über Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle und Cybersicherheitsvorfälle sowie über nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle und für die Wahrnehmung der Aufsichtsaufgaben;
8. bereits bestehende Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß den §§ 14 bis 17 durch kleine und mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, die gemäß § 11 als kritische Einrichtungen eingestuft wurden.
(3) Die gemäß Abs. 1 beschlossene Strategie ist vom Bundesminister für Inneres innerhalb von drei Monaten ab Beschlussfassung an den Nationalrat zu übermitteln.
Risikoanalyse durch den Bundesminister für Inneres
§ 10. (1) Der Bundesminister für Inneres ist verpflichtet, auf Grundlage der gemäß § 3 Z 6 festgelegten wesentlichen Dienste erstmalig spätestens bis zum 17. Jänner 2026 und im Anschluss anlassbezogen, längstens jedoch alle vier Jahre eine Risikoanalyse (§ 3 Z 8) aufgeschlüsselt nach den im Anhang der RKE‑RL gelisteten Sektoren und Teilsektoren durchzuführen, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit zur Äußerung zu geben ist.
(2) Bei der Durchführung der Risikoanalyse hat der Bundesminister für Inneres insbesondere
1. die nach Art. 6 Abs. 1 des Beschlusses Nr. 1313/2013/EU über ein Katastrophenschutzverfahren der Union, ABl. Nr. L 347 vom 20.12.2013 S. 924, vorgenommene allgemeine Risikoanalyse,
2. Risikoanalysen, die im Einklang mit den Anforderungen einschlägiger sektorspezifischer Rechtsakte der Union durchgeführt werden, insbesondere der Verordnung (EU) 2019/941 über die Risikovorsorge im Elektrizitätssektor und zur Aufhebung der Richtlinie 2005/89/EG, ABl. Nr. L 158 vom 14.06.2019 S. 1, der Verordnung (EU) 2017/1938 über Maßnahmen zur Gewährleistung der sicheren Gasversorgung und zur Aufhebung der Verordnung (EU) Nr. 994/2010, ABl. Nr. L 280 vom 28.10.2017 S. 1, der Richtlinie 2012/18/EU zur Beherrschung der Gefahren schwerer Unfälle mit gefährlichen Stoffen, zur Änderung und anschließenden Aufhebung der Richtlinie 96/82/EG, ABl. Nr. L 197 vom 24.07.2012 S. 1, sowie der Richtlinie 2007/60/EG über die Bewertung und das Management von Hochwasserrisiken, ABl. Nr. L 288 vom 06.11.2007 S. 27,
3. die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit der gemäß dem Anhang der RKE‑RL gelisteten Sektoren untereinander sowie dieser Sektoren gegenüber in anderen Mitgliedstaaten oder Drittstaaten ansässigen Einrichtungen ergeben, sowie die Auswirkungen, die ein in einem Sektor auftretender Sicherheitsvorfall auf andere Sektoren haben kann, sowie
4. sämtliche gemäß § 17 gemeldeten Informationen über Sicherheitsvorfälle
zu berücksichtigen.
(3) Der Bundesminister für Inneres ist verpflichtet, die relevanten Elemente der Risikoanalyse den gemäß § 11 ermittelten kritischen Einrichtungen zur Verfügung zu stellen. Die zur Verfügung gestellten Informationen sind zu anonymisieren.
Ermittlung kritischer Einrichtungen
§ 11. (1) Der Bundesminister für Inneres hat auf Grundlage der gemäß § 9 erstellten Strategie sowie der gemäß § 10 durchgeführten Risikoanalyse in den im Anhang der RKE‑RL angeführten Kategorien von Einrichtungen der gelisteten Sektoren und Teilsektoren Einrichtungen bescheidmäßig als kritisch einzustufen, wenn
1. sie im Inland tätig sind,
2. sich deren kritische Infrastruktur im Inland befindet,
3. sie einen wesentlichen Dienst (§ 3 Z 6) erbringen und
4. bei Erbringung dieses wesentlichen Dienstes ein Sicherheitsvorfall eintreten kann.
Einrichtungen haben an der Feststellung des für die Einstufung maßgeblichen Sachverhalts mitzuwirken.
(2) Der Bundesminister für Inneres ist verpflichtet, durch Verordnung festzulegen, ob gemäß Abs. 1 Z 4 ein Sicherheitsvorfall eintreten kann. Dabei sind folgende Parameter zu berücksichtigen:
1. die Zahl der Nutzer, die den von der jeweiligen Einrichtung erbrachten wesentlichen Dienst gemäß Abs. 1 Z 3 in Anspruch nehmen;
2. das Ausmaß der Abhängigkeit anderer im Anhang der RKE‑RL gelisteter Sektoren sowie Teilsektoren von dem von der Einrichtung erbrachten wesentlichen Dienst;
3. die möglichen Auswirkungen von Sicherheitsvorfällen auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung oder Sicherheit oder die Gesundheit der Bevölkerung;
4. der Marktanteil der jeweiligen Einrichtung auf dem Markt für wesentliche Dienste oder für die betreffenden wesentlichen Dienste;
5. das geografische Gebiet, das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich allfälliger grenzüberschreitender Auswirkungen;
6. die Bedeutung der Einrichtung für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des jeweiligen wesentlichen Dienstes.
(3) In dem gemäß Abs. 1 erlassenen Bescheid sind kritische Einrichtungen über ihre Verpflichtungen gemäß den Abs. 5 bis 7 und 9 zweiter Satz sowie den §§ 14, 15, 17 und 19 Abs. 1 zu informieren.
(4) In dem gemäß Abs. 1 erlassenen Bescheid sind kritische Einrichtungen in den im Anhang der RKE‑RL gelisteten Sektoren digitale Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen darüber zu informieren, dass die Verpflichtungen gemäß den Abs. 5 bis 7 sowie den §§ 14, 15, 17 und 19 auf sie keine Anwendung finden.
(5) Kritische Einrichtungen haben dem Bundesminister für Inneres innerhalb von vier Wochen nach bescheidmäßiger Einstufung gemäß Abs. 1 eine zentrale Kontaktstelle sowie mindestens eine Ansprechperson zu benennen und sind diesbezügliche Änderungen unverzüglich, längstens jedoch binnen zwei Wochen bekanntzugeben, wobei die Erreichbarkeit der zentralen Kontaktstelle jedenfalls für jenen Zeitraum sicherzustellen ist, in dem kritische Einrichtungen ihre wesentlichen Dienste erbringen.
(6) Kritische Einrichtungen, die über keine Abgabestelle im Inland verfügen, haben dem Bundesminister für Inneres einen Zustellungsbevollmächtigten gemäß § 9 des Zustellgesetzes (ZustG), BGBl. Nr. 200/1982, namhaft zu machen.
(7) Zudem haben kritische Einrichtungen ohne Niederlassung im Inland für die Einhaltung der Verwaltungsvorschriften nach diesem Bundesgesetz dem Bundesminister für Inneres einen verantwortlichen Beauftragten gemäß § 9 des Verwaltungsstrafgesetzes 1991 (VStG), BGBl. Nr. 52/1991, namhaft zu machen.
(8) Fallen die Voraussetzungen für die Erlassung des Bescheids gemäß Abs. 1 nachträglich weg, ist der Bescheid unverzüglich nach Kenntnis des Wegfalls aufzuheben.
(9) Der Bundesminister für Inneres hat eine Liste mit den ermittelten kritischen Einrichtungen zu erstellen, diese in regelmäßigen Abständen, längstens jedoch alle vier Jahre zu überprüfen und gegebenenfalls anzupassen. Kritische Einrichtungen haben dem Bundesminister für Inneres Änderungen des für die Einstufung maßgeblichen Sachverhalts unverzüglich bekanntzugeben.
(10) Der Bundesminister für Inneres ist verpflichtet, jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS‑2-RL als zuständige Behörden benannt oder eingerichtet wurden, innerhalb eines Monats nach bescheidmäßiger Einstufung die Identität der ermittelten kritischen Einrichtungen einschließlich des Sektors sowie des Teilsektors, in dem diese Einrichtungen ihren wesentlichen Dienst erbringen, bekanntzugeben.
Kritische Einrichtungen im Sektor öffentliche Verwaltung
§ 12. (1) Im Sektor öffentliche Verwaltung sind vom Bundesminister für Inneres gemäß § 11 Abs. 1 nur Einrichtungen zu ermitteln, die abweichend von den in § 11 Abs. 1 Z 1 bis 4 festgelegten Voraussetzungen
1. zum Zweck eingerichtet wurden, im öffentlichen Interesse liegende Aufgaben nicht gewerblicher Art zu erfüllen,
2. zur Besorgung von Angelegenheiten der Bundesverwaltung berufen sind und entweder als Bundesbehörden eingerichtet wurden oder Rechtspersönlichkeit besitzen, mit Ausnahme der Länder, Gemeinden sowie Gemeindeverbände,
3. der Aufsicht des Bundes unterstehen oder an die Weisungen eines obersten Organs des Bundes gebunden sind oder ein Leitungs- oder Aufsichtsorgan haben, das mehrheitlich aus Mitgliedern besteht, die von Bundesbehörden oder von anderen auf Bundesebene eingerichteten Körperschaften des öffentlichen Rechts eingesetzt worden sind, oder an denen der Bund mit mindestens 50 vH des Stamm-, Grund- oder Eigenkapitals beteiligt ist oder die Mitglieder der Bundesregierung sind und
4. ermächtigt sind, im Rahmen ihrer gesetzlich übertragenen Aufgaben Bescheide im eigenen Namen zu erlassen, die Rechte Einzelner im grenzüberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr berühren.
(2) Einrichtungen im Sektor öffentliche Verwaltung, deren Wirkungsbereiche überwiegend die nationale Sicherheit einschließlich der militärischen Landesverteidigung, die öffentliche Sicherheit oder die Strafverfolgung umfassen, unterliegen nicht den Bestimmungen dieses Bundesgesetzes.
(3) Unbeschadet des Abs. 2 haben der Bundesminister für Inneres, der Bundesminister für Justiz und der Bundesminister für Landesverteidigung im jeweiligen Wirkungsbereich die notwendigen strukturellen Voraussetzungen zur Sicherstellung eines hohen Resilienzniveaus zu schaffen.
Unterstützungs- und Vorsorgemaßnahmen
§ 13. (1) Der Bundesminister für Inneres ist verpflichtet, auf Grundlage der gemäß § 10 durchgeführten Risikoanalyse kritische Einrichtungen bei der Verbesserung ihrer Resilienz zu unterstützen sowie Vorsorgemaßnahmen zu ergreifen. Dies hat jedenfalls folgende Tätigkeiten zu umfassen:
1. Beratung kritischer Einrichtungen beim Ergreifen von Resilienzmaßnahmen;
2. Beratung kritischer Einrichtungen bei der Beurteilung, ob bereits durchgeführte Risikoanalysen gemäß § 14 Abs. 3 oder ergriffene Resilienzmaßnahmen gemäß § 15 Abs. 3 zumindest gleichwertig sind;
3. Übermittlung von Frühwarnungen sowie von sonstigen sektorspezifischen Informationen an kritische Einrichtungen, sofern ein Risiko vorliegt;
4. Beratung der in ihrem Wirkungsbereich betroffenen Bundesminister und öffentlichen Einrichtungen zum Forschungs- und Förderbedarf und zu den Forschungs- und Förderprioritäten im Bereich der physischen Sicherheit sowie Beratung der kritischen Einrichtungen bei der Auswahl geeigneter Förderungen und Forschungsprojekte.
(2) Der Bundesminister für Inneres kann zudem insbesondere folgende weitere Maßnahmen ergreifen:
1. Bereitstellung von Mustern und Vorlagen für Risikoanalysen und Resilienzpläne für kritische Einrichtungen;
2. Entwicklung und Bereitstellung von generellen Empfehlungen und von Leitfäden für kritische Einrichtungen zur Prävention von Sicherheitsvorfällen und Reduktion von Risiken;
3. Beratung kritischer Einrichtungen bei der Organisation von und Mitwirkung an Sicherheitsübungen sowie Übungen zur Überprüfung der Notfallpläne;
4. Beratung und Durchführung von Schulungen für das Personal kritischer Einrichtungen;
5. Bereitstellung von Informationen zum Thema physische Sicherheit sowie Organisation und Durchführung von Kampagnen zur Bewusstseinsbildung und Sensibilisierung insbesondere für physische Bedrohungen sowie zur Stärkung und Erweiterung von Fähigkeiten und Kenntnissen im Bereich der physischen Sicherheit;
6. Durchführung von langfristigen strategischen Analysen betreffend Bedrohungen der physischen Sicherheit und Sicherheitsvorfälle, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit zur Äußerung zu geben ist;
7. Verfolgung von Entwicklungen und gegebenenfalls Mitarbeit an der Er‑ und Überarbeitung von Normen mit Bezug auf die physische Sicherheit;
8. Mitwirkung und Teilnahme an nationalen, europäischen und internationalen Forschungs- und Förderprojekten und -programmen auf dem Gebiet der physischen Sicherheit;
9. Zusammenarbeit auf Unionsebene zur Sicherung und Aufrechterhaltung von Lieferketten im Krisenfall;
10. Übermittlung sachdienlicher Informationen an kritische Einrichtungen anlässlich einer Meldung gemäß § 17 Abs. 6.
5. Abschnitt
Verpflichtungen kritischer Einrichtungen
Risikoanalyse durch kritische Einrichtungen
§ 14. (1) Kritische Einrichtungen haben erstmalig innerhalb von neun Monaten nach bescheidmäßiger Einstufung gemäß § 11 Abs. 1 und im Anschluss bei Änderungen der maßgeblichen Risikofaktoren anlassbezogen, längstens jedoch alle vier Jahre insbesondere auf Grundlage der vom Bundesminister für Inneres durchgeführten Risikoanalyse gemäß § 10 eine Risikoanalyse durchzuführen und die Ergebnisse strukturiert aufzubereiten.
(2) Die Risikoanalyse gemäß Abs. 1 hat die wechselseitige Abhängigkeit zwischen dem von der jeweiligen kritischen Einrichtung erbrachten wesentlichen Dienst und wesentlichen Diensten, die von anderen Einrichtungen der im Anhang der RKE‑RL gelisteten Sektoren erbracht werden, zu berücksichtigen.
(3) Den Anforderungen gemäß den Abs. 1 und 2 wird insoweit entsprochen, als von der kritischen Einrichtung aufgrund anderer rechtlicher Verpflichtungen Risikoanalysen durchgeführt werden, die hinsichtlich der Anforderungen gemäß den Abs. 1 und 2 zumindest gleichwertig sind.
Resilienzmaßnahmen kritischer Einrichtungen
§ 15. (1) Kritische Einrichtungen haben auf Grundlage der seitens des Bundesministers für Inneres bereitgestellten Elemente der gemäß § 10 durchgeführten Risikoanalyse sowie der Ergebnisse der gemäß § 14 durchgeführten Risikoanalyse nach Ablauf von zehn Monaten nach bescheidmäßiger Einstufung gemäß § 11 Abs. 1 geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen in Bezug auf den von ihnen erbrachten wesentlichen Dienst gemäß § 11 Abs. 1 Z 4 zu treffen. Diese sind in einem Resilienzplan (§ 3 Z 12) darzulegen.
(2) Bei den Resilienzmaßnahmen handelt es sich insbesondere um solche, die erforderlich sind, um
1. das Auftreten von Sicherheitsvorfällen zu verhindern, unter Berücksichtigung von Maßnahmen zur Katastrophenvorsorge und zum Umgang mit dem Klimawandel,
2. einen angemessen physischen Schutz der kritischen Infrastruktur und der Räumlichkeiten der kritischen Einrichtungen zu gewährleisten,
3. Sicherheitsvorfälle abzuwehren, diese zu bewältigen und die Auswirkungen solcher Vorfälle gering zu halten, unter Berücksichtigung von Risiko- und Krisenmanagementmaßnahmen sowie Notfallplänen,
4. nach Sicherheitsvorfällen die Fortsetzung oder rasche Wiederaufnahme des wesentlichen Dienstes zu gewährleisten, unter Berücksichtigung alternativer Lieferketten,
5. angemessene personelle Sicherheitsvorkehrungen unter Berücksichtigung des Personals externer Dienstleister zu gewährleisten, insbesondere die Festlegung von Anforderungen an die Ausbildung sowie die Qualifikation des Personals und die Identifizierung von kritischen Funktionen samt Festlegung von Zugangsberechtigungen sowie Verpflichtungen zur Vornahme von Zuverlässigkeitsüberprüfungen von Personen, die die Anforderungen gemäß § 16 Abs. 1 Z 1 oder 2 erfüllen, sofern für diese Personen nicht bereits eine Sicherheitsüberprüfung gemäß den §§ 55 bis 55b SPG, Verlässlichkeitsprüfung gemäß den §§ 23 und 24 des Militärbefugnisgesetzes (MBG), BGBl. I Nr. 86/2000, oder Zuverlässigkeitsüberprüfung gemäß § 134a des Luftfahrtgesetzes (LFG), BGBl Nr. 253/1957, vorliegt, deren Durchführung jeweils nicht länger als drei Jahre zurückliegt, und keine Anhaltspunkte bestehen, wonach die Person nicht mehr zuverlässig sein sollte, und
6. Personal in kritischen Funktionen insbesondere im Rahmen der Bereitstellung von Schulungsmaßnahmen im Hinblick auf die Steigerung der Resilienz zu sensibilisieren.
(3) Der Anforderung gemäß Abs. 1 erster Satz wird insoweit entsprochen, als von der kritischen Einrichtung aufgrund anderer rechtlicher Verpflichtungen Resilienzmaßnahmen ergriffen wurden, die hinsichtlich der in Abs. 1 genannten technischen, sicherheitsbezogenen und organisatorischen Anforderungen zumindest gleichwertig sind.
Zuverlässigkeitsüberprüfungen
§ 16. (1) Auf begründetes Ersuchen der kritischen Einrichtung ist zum Zweck der Bewertung eines potenziellen Sicherheitsrisikos für die kritische Einrichtung
1. Personal gemäß § 15 Abs. 2 Z 5, das über einen Zugang zu ihren Räumlichkeiten, Informationen oder Kontrollsystemen verfügt oder sonstige sensible Funktionen für die kritische Einrichtung wahrnimmt oder
2. eine Person, die eine unter Z 1 angeführte Funktion anstrebt,
einer Zuverlässigkeitsüberprüfung zu unterziehen, sofern eine solche unter Berücksichtigung der Risikoanalyse gemäß § 10 erforderlich ist. Solange die Voraussetzungen nach diesem Absatz erfüllt sind, kann die Überprüfung der Zuverlässigkeit nach drei Jahren wiederholt werden. Bei Vorliegen von Anhaltspunkten, wonach eine Person nicht mehr zuverlässig sein könnte, kann die Überprüfung der Zuverlässigkeit vor Ablauf dieser Frist wiederholt werden.
(2) Zum Zweck der Durchführung der Zuverlässigkeitsüberprüfung gemäß Abs. 1 hat die kritische Einrichtung die personenbezogenen Daten der betroffenen Personen dem Bundesminister für Inneres im elektronischen Weg über einen sicheren Kommunikationskanal strukturiert zu übermitteln. Diese Daten haben den Vor- und Familiennamen, gegebenenfalls den Geburtsnamen, das Geschlecht, das Geburtsdatum, den Geburtsort einschließlich des Geburtslandes, die Staatsangehörigkeiten, die Vornamen der Eltern, den Hauptwohnsitz, Strafregisterbescheinigungen oder vergleichbare Nachweise aus Drittstaaten der letzten fünf Jahre in beglaubigter Übersetzung in deutscher oder englischer Sprache, die bei erstmaliger Vorlage nicht älter als sechs Monate sein dürfen, die Angabe der Art der beabsichtigten Tätigkeit und die Zustimmung zur Überprüfung der Zuverlässigkeit sowie zur Übermittlung des Ergebnisses der Überprüfung an die ersuchende kritische Einrichtung zu enthalten. Zudem ist, wenn vorhanden, eine Kopie eines Reisepasses, Personalausweises oder Identitätsausweises (§ 35a SPG) des Herkunftsstaates, ansonsten eine Kopie eines Fremdenpasses oder Konventionsreisepasses vorzulegen.
(3) Zum Zweck der Überprüfung der Zuverlässigkeit ist der Bundesminister für Inneres zudem ermächtigt, jene personenbezogenen Daten zu verarbeiten, die die Sicherheitsbehörden in Vollziehung von Bundes- oder Landesgesetzen verarbeitet haben. Darüber hinaus sind Staatsanwaltschaften und Gerichte ermächtigt, den Sicherheitsbehörden nach Maßgabe des § 76 Abs. 4 der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, ermittelte personenbezogene Daten zu übermitteln, soweit eine Weiterverarbeitung dieser Daten durch die Sicherheitsbehörden zur Überprüfung der Zuverlässigkeit erforderlich ist.
(4) Der Bundesminister für Inneres hat die Landespolizeidirektion Wien um Einholung von Informationen aus dem Strafregister eines anderen Mitgliedstaates oder des Vereinigten Königreichs zu ersuchen, soweit dies zur Überprüfung der Zuverlässigkeit erforderlich ist.
(5) Bei der Überprüfung der Zuverlässigkeit ist zu berücksichtigen, ob
1. die Person wegen einer von Amts wegen zu verfolgenden mit Vorsatz begangenen gerichtlich strafbaren Handlung rechtskräftig gerichtlich verurteilt wurde, solange die Verurteilung nicht getilgt ist, oder
2. gegen die Person ein Strafverfahren wegen einer von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung, die nur vorsätzlich begangen werden kann, anhängig ist, oder
3. gegen die Person ein Waffenverbot nach dem Waffengesetz 1996 (WaffG), BGBl. I Nr. 12/1997, vorliegt, oder
4. die Person ein Naheverhältnis zu einer extremistischen oder terroristischen Gruppierung hat und im Hinblick auf deren bestehende Strukturen oder auf zu gewärtigende Entwicklungen in deren Umfeld extremistische oder terroristische Aktivitäten derselben nicht ausgeschlossen werden können, oder
5. die Person ein Naheverhältnis zu einer kriminellen Gruppierung hat und im Hinblick auf deren bestehende Strukturen oder auf zu gewärtigende Entwicklungen in deren Umfeld Verbrechen, andere erhebliche Gewalttaten gegen Leib und Leben oder Vergehen nach dem Fremdenpolizeigesetz 2005 (FPG), BGBl. I Nr. 100/2005, insbesondere Schlepperei, begangen werden oder die Begehung der angeführten Delikte nicht ausgeschlossen werden kann.
Einer Verurteilung durch ein inländisches Gericht ist eine Verurteilung durch ein ausländisches Gericht gleichzuhalten, die den Voraussetzungen des § 73 des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974, entspricht.
(6) Der Bundesminister für Inneres hat das Ergebnis der Überprüfung der Zuverlässigkeit unverzüglich der ersuchenden kritischen Einrichtung zu übermitteln.
(7) Für die Überprüfung der Zuverlässigkeit gebührt dem Bund von der ersuchenden kritischen Einrichtung als Ersatz ein Pauschalbetrag, der nach Maßgabe der durchschnittlichen Aufwendungen mit Verordnung des Bundesministers für Inneres festgesetzt wird. Die Zuverlässigkeitsüberprüfung ist nach der Entrichtung der Gebühr durchzuführen. Der Bund, die von ihm betriebenen Unternehmungen sowie die übrigen Gebietskörperschaften im Rahmen ihres öffentlich-rechtlichen Wirkungskreises sind von der Entrichtung der Gebühr befreit.
Meldepflicht kritischer Einrichtungen
§ 17. (1) Kritische Einrichtungen haben nach Ablauf von zehn Monaten nach bescheidmäßiger Einstufung Sicherheitsvorfälle unverzüglich, längstens jedoch binnen 24 Stunden nach Kenntnis dem Bundesminister für Inneres strukturiert zu melden, soweit dies aus operativer Sicht möglich ist. Ergänzende Informationen sowie Informationen über später bekannt gewordene Umstände zum Sicherheitsvorfall sind dem Bundesminister für Inneres längstens binnen eines Monats nach der Erstmeldung in einer Folgemeldung mitzuteilen.
(2) Der Bundesminister für Inneres ist verpflichtet, durch Verordnung festzulegen, wann ein Sicherheitsvorfall vorliegt. Dabei sind insbesondere folgende Parameter zu berücksichtigen:
1. die Zahl oder der Anteil der vom Sicherheitsvorfall betroffenen Nutzer, die den von der jeweiligen Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen;
2. die Dauer der Störung;
3. das vom Sicherheitsvorfall betroffene geografische Gebiet.
(3) In den Meldungen gemäß Abs. 1 müssen sämtliche relevanten Informationen zum Sicherheitsvorfall, die zum Zeitpunkt der Erst- und Folgemeldung bekannt sind, insbesondere die Art, die vermutete oder tatsächliche Ursache und die Folgen des Sicherheitsvorfalls, bereits zur Abwehr des Sicherheitsvorfalls ergriffene Maßnahmen sowie Angaben zur betroffenen kritischen Infrastruktur, enthalten sein. Informationen, die erforderlich sind, um grenzüberschreitende Auswirkungen des Sicherheitsvorfalls zu eruieren, sind ebenfalls zu übermitteln. Die Meldung ist in einem standardisierten elektronischen Format zu übermitteln.
(4) Auf Ersuchen des Bundesministers für Inneres haben kritische Einrichtungen innerhalb einer angemessenen Frist weitere erforderliche Informationen zum Sicherheitsvorfall zu übermitteln. Kritische Einrichtungen sind verpflichtet, den Bundesminister für Inneres unverzüglich über die Beendigung eines Sicherheitsvorfalls zu informieren.
(5) Der Bundesminister für Inneres ist verpflichtet, auf Grundlage der Meldungen gemäß den Abs. 1 und 4 den vom Sicherheitsvorfall betroffenen kritischen Einrichtungen sachdienliche Informationen, insbesondere über die wirksame Abwehr und Bewältigung des betreffenden Sicherheitsvorfalls, unverzüglich zur Verfügung zu stellen.
(6) Bedrohungen und Beinahe-Sicherheitsvorfälle können von kritischen Einrichtungen an den Bundesminister für Inneres gemeldet werden.
(7) Langen beim Bundesminister für Inneres Meldungen über erhebliche Sicherheitsvorfälle gemäß Art. 23 NIS‑2-RL ein, hat er die jeweiligen Einrichtungen unverzüglich an die für die Entgegennahme dieser Meldungen zuständigen Stellen zu verweisen.
Ausnahmen von Verpflichtungen kritischer Einrichtungen
§ 18. (1) Die Anforderungen gemäß § 15 sind insoweit nicht anwendbar,
1. als kritische Einrichtungen aufgrund sektorspezifischer unionsrechtlicher Bestimmungen verpflichtet sind, für die Erbringung eines wesentlichen Dienstes gleichwertige Maßnahmen zu ergreifen und
2. die jeweiligen Verpflichtungen in diesen sektorspezifischen Rechtsakten ein zumindest gleichwertiges Resilienzniveau für kritische Einrichtungen gewährleisten.
Der Bundesminister für Inneres hat über gleichwertige Bestimmungen gemäß Z 1 und das Ausmaß der Gleichwertigkeit gemäß Z 2 auf der Homepage des Bundesministeriums für Inneres zu informieren.
(2) Bei Beurteilung der Gleichwertigkeit ist auf den Inhalt sowie den Zweck der sektorspezifischen unionsrechtlichen Verpflichtungen sowie auf die potenziellen Auswirkungen der aufgrund dieser Verpflichtungen zu ergreifenden Maßnahmen auf das Resilienzniveau Bedacht zu nehmen. Dabei sind insbesondere der Inhalt, der Umfang sowie die konkrete Ausgestaltung der gleichwertigen Verpflichtungen zu berücksichtigen.
(3) § 11 Abs. 5 bis 7 sowie die §§ 14, 15, 17 und 19 gelten nicht für kritische Einrichtungen in den im Anhang der RKE‑RL gelisteten Sektoren digitale Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen.
Kritische Einrichtungen von besonderer europäischer Bedeutung
§ 19. (1) Kritische Einrichtungen haben dem Bundesminister für Inneres unverzüglich mitzuteilen, dass sie wesentliche Dienste für oder in mindestens sechs Mitgliedstaaten erbringen. Diese Mitteilung hat insbesondere auch Informationen darüber zu enthalten, welche wesentlichen Dienste sie für oder in diesen Mitgliedstaaten erbringen und um welche Mitgliedstaaten es sich dabei handelt. Kritische Einrichtungen haben zudem den Bundesminister für Inneres über den Wegfall der Voraussetzungen zu unterrichten.
(2) Der Bundesminister für Inneres ist verpflichtet, Mitteilungen der Europäischen Kommission über Einstufungen als kritische Einrichtungen von besonderer Bedeutung für Europa gemäß Art. 17 Abs. 3 RKE‑RL unverzüglich an die jeweiligen kritischen Einrichtungen weiterzuleiten und diese insbesondere über ihre Verpflichtungen gemäß den Abs. 3 und 4 zu unterrichten. Die Verpflichtungen gelten ab dem Zeitpunkt der Zustellung der Mitteilung an die kritische Einrichtung.
(3) Kritische Einrichtungen von besonderer Bedeutung für Europa sind, soweit dies erforderlich ist, verpflichtet, seitens der Europäischen Kommission gemäß Art. 18 RKE‑RL organisierten Beratungsmissionen Zugang zu ihrer kritischen Infrastruktur zu ermöglichen und Einsicht in diesbezügliche Unterlagen und Informationen zu gewähren.
(4) Kritische Einrichtungen von besonderer Bedeutung für Europa sind verpflichtet, den Bundesminister für Inneres über die aufgrund einer Empfehlung der Europäischen Kommission gemäß Art. 18 Abs. 4 Unterabsatz 3 RKE‑RL ergriffenen Maßnahmen zu unterrichten.
6. Abschnitt
Aufsicht und Durchsetzung
Aufsichts- und Durchsetzungsmaßnahmen
§ 20. (1) Der Bundesminister für Inneres ist ermächtigt, von kritischen Einrichtungen innerhalb einer angemessenen Frist unter Angabe des Zwecks sowie der Art und des Umfangs der erforderlichen Informationen die Übermittlung der Risikoanalyse gemäß § 14 Abs. 1, des Resilienzplans gemäß § 15 Abs. 1 sowie sonstige Nachweise für die Erfüllung der Anforderungen gemäß den §§ 14 und 15 zu verlangen. Kann auf Grundlage der von der kritischen Einrichtung übermittelten Nachweise nicht beurteilt werden, ob die Anforderungen gemäß den §§ 14 und 15 erfüllt wurden, kann der Bundesminister für Inneres von der jeweiligen kritischen Einrichtung die Durchführung eines Audits (§ 3 Z 13) verlangen.
(2) Auf Verlangen des Bundesministers für Inneres gemäß Abs. 1 haben kritische Einrichtungen zur Überprüfung der Anforderungen gemäß den §§ 14 und 15 die erforderlichen Informationen sowie den Prüfbericht über durchgeführte Audits an den Bundesminister für Inneres zu übermitteln.
(3) Zur Überprüfung der Einhaltung der Anforderungen gemäß § 15 ist der Bundesminister für Inneres zudem nach vorheriger Ankündigung berechtigt, Vor‑Ort-Kontrollen der kritischen Infrastruktur sowie der Räumlichkeiten, die der Erbringung der wesentlichen Dienste dienen, durchzuführen. Zu diesem Zweck haben kritische Einrichtungen dem Bundesminister für Inneres auf Verlangen im erforderlichen Ausmaß das gefahrlose Betreten und Besichtigen ihrer kritischen Infrastruktur und Räumlichkeiten zu ermöglichen, die erforderlichen Informationen zu erteilen sowie Einschau in relevante sachdienliche Unterlagen und Aufzeichnungen zu gewähren. Die kritischen Einrichtungen haben aktiv an der Überprüfung, insbesondere durch beigestelltes, fachkundiges Personal, mitzuwirken. Die Durchführung der Überprüfung hat im unbedingt erforderlichen Ausmaß zu erfolgen und ist unter möglichster Schonung der Rechte der betroffenen Einrichtung und Dritter auszuüben.
(4) Hat eine kritische Einrichtung ihre Niederlassung in einem anderen Mitgliedstaat der Europäischen Union, ist der Bundesminister für Inneres ermächtigt, die zuständige Behörde dieses Mitgliedstaates zu ersuchen, Maßnahmen gemäß Abs. 3 zu ergreifen und die Ergebnisse einer solchen Überprüfung der eigenen Beurteilung zugrunde zu legen.
(5) Ergibt sich im Rahmen der Überprüfungen gemäß den Abs. 1 bis 4, dass die Anforderungen an die Risikoanalyse gemäß § 14 und die Anforderungen an die Resilienzmaßnahmen gemäß § 15 nicht oder nicht vollständig erfüllt werden, hat der Bundesminister für Inneres der kritischen Einrichtung mit Bescheid aufzutragen, innerhalb einer angemessenen Frist erforderliche und verhältnismäßige Maßnahmen nachweislich zu ergreifen, die zur Herstellung des rechtmäßigen Zustandes notwendig sind.
(6) Der Bundesminister für Inneres hat bei Ergreifung von Aufsichts- und Durchsetzungsmaßnahmen jene Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS‑2-RL als zuständige Behörden benannt oder eingerichtet wurden, zu unterrichten.
Resilienzauditoren
§ 21. (1) Ein Resilienzauditor ist eine natürliche oder juristische Person oder eingetragene Personengesellschaft mit Niederlassung in Österreich oder in einem anderen EU‑Mitgliedstaat, der aufgrund eines begründeten schriftlichen Antrags bei Erfüllung der in der Verordnung gemäß Abs. 2 normierten Voraussetzungen aufgrund eines rechtskräftigen Bescheids des Bundesministers für Inneres zur Durchführung von Audits (§ 3 Z 13) berechtigt ist.
(2) Ein Resilienzauditor ist verpflichtet, Sicherheitsvorkehrungen zu treffen, geeignete technische und organisatorische Hilfsmittel zu verwenden sowie über ein System zur Qualitätssicherung zu verfügen, um in seinem Aufgabenbereich Audits durchführen zu können. Zudem darf das Audit lediglich durch sicherheitsüberprüfte Personen vorgenommen werden. Der Bundesminister für Inneres ist ermächtigt, mit Verordnung die Voraussetzungen, die Resilienzauditoren erfüllen müssen, sowie nähere verfahrensrechtliche Bestimmungen festzulegen. In dieser Verordnung können auch nähere Regelungen zu Form und Inhalt des Prüfberichts vorgesehen werden.
(3) Der Bundesminister für Inneres ist befugt, zur Kontrolle der Einhaltung der gemäß Abs. 2 normierten Voraussetzungen von Resilienzauditoren Auskünfte zu verlangen, Einschau in erforderliche Unterlagen zu nehmen sowie nach vorheriger Ankündigung Vor-Ort-Kontrollen durchzuführen. § 20 Abs. 3 zweiter bis vierter Satz sowie § 20 Abs. 4 gelten sinngemäß.
(4) Der Resilienzauditor ist verpflichtet, dem Bundesminister für Inneres unverzüglich Änderungen betreffend die Voraussetzungen gemäß Abs. 2 sowie deren Wegfall mitzuteilen.
(5) Bei Wegfall oder Nichteinhaltung der gemäß Abs. 2 normierten Voraussetzungen ist der Resilienzauditor vom Bundesminister für Inneres darauf hinzuweisen, dass er diese binnen einer angemessenen Frist nachweislich zu erfüllen hat. Wird dieser Nachweis nicht innerhalb der festgelegten Frist erbracht, hat der Bundesminister für Inneres die Erteilung der Berechtigung gemäß Abs. 1 mit Bescheid zu widerrufen.
(6) Der Bundesminister für Inneres ist verpflichtet, eine Liste mit den berechtigten Resilienzauditoren zu führen und den kritischen Einrichtungen eine aktuelle Liste zur Verfügung zu stellen.
(7) Resilienzauditoren sowie das von diesen eingesetzte Personal sind zur vertraulichen Behandlung der im Rahmen der Durchführung von Audits (§ 3 Z 13) bekanntgewordenen Informationen verpflichtet.
7. Abschnitt
Verfahren vor der Bezirksverwaltungsbehörde
Verständigungspflichten
§ 22. (1) Der Bundesminister für Inneres hat der zuständigen Bezirksverwaltungsbehörde den Verdacht einer Verwaltungsübertretung gemäß § 23 Abs. 1 oder Abs. 2 sowie die Nichteinhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen durch Behörden und sonstige Stellen der öffentlichen Verwaltung einschließlich der Gebietskörperschaften sowie in Formen des Privatrechts eingerichtete Stellen der öffentlichen Verwaltung (§ 24) anzuzeigen.
(2) Die Bezirksverwaltungsbehörde hat dem Bundesminister für Inneres einen jährlichen Bericht über die Einleitung sowie die Gründe der Nichteinleitung oder Einstellung von Verwaltungsstrafverfahren und Verfahren gemäß § 24 nach standardisierten Vorgaben bis zum 31. März des Folgejahres zu übermitteln.
Verwaltungsstrafverfahren
§ 23. (1) Eine Verwaltungsübertretung begeht, wer
1. entgegen § 11 Abs. 5 dem Bundesminister für Inneres eine Kontaktstelle oder eine Ansprechperson nicht benennt oder diesbezügliche Änderungen dem Bundesminister für Inneres nicht rechtzeitig bekannt gibt,
2. entgegen § 11 Abs. 6 dem Bundesminister für Inneres einen Zustellungsbevollmächtigten gemäß § 9 ZustG oder entgegen § 11 Abs. 7 einen verantwortlichen Beauftragten gemäß § 9 VStG nicht namhaft macht,
3. entgegen § 11 Abs. 9 dem Bundesminister für Inneres Änderungen des für die Einstufung maßgeblichen Sachverhalts nicht unverzüglich bekannt gibt,
4. entgegen § 14 Abs. 1 die Risikoanalyse nicht oder nicht fristgerecht erstellt,
5. entgegen § 19 Abs. 1 und 4 seinen Mitteilungspflichten nicht nachkommt,
6. entgegen § 19 Abs. 3 seinen Verpflichtungen im Hinblick auf seitens der Europäischen Kommission gemäß Art. 18 RKE‑RL organisierten Beratungsmissionen nicht nachkommt,
7. entgegen § 20 Abs. 2 dem Bundesminister für Inneres zur Überprüfung der Anforderungen gemäß den §§ 14 und 15 die erforderlichen Informationen oder den Prüfbericht über durchgeführte Audits nicht oder nicht vollständig übermittelt,
8. entgegen § 20 Abs. 3 dem Bundesminister für Inneres das gefahrlose Betreten und Besichtigen der kritischen Infrastruktur und Räumlichkeiten nicht ermöglicht, die erforderlichen Informationen nicht erteilt, Einschau in relevante sachdienliche Unterlagen und Aufzeichnungen nicht gewährt oder seiner Pflicht zur aktiven Mitwirkung an der Überprüfung nicht nachkommt,
9. entgegen § 21 Abs. 3 dem Bundesminister für Inneres das gefahrlose Betreten und Besichtigen der Räumlichkeiten nicht ermöglicht, Auskünfte nicht erteilt, Einschau in erforderliche Unterlagen nicht gewährt oder seiner Pflicht zur aktiven Mitwirkung an der Überprüfung nicht nachkommt,
10. entgegen § 21 Abs. 4 seiner Mitteilungspflicht nicht nachkommt oder
11. entgegen § 21 Abs. 7 der Verpflichtung zur vertraulichen Behandlung von Informationen zuwiderhandelt.
Die Begehung ist von der Bezirksverwaltungsbehörde mit einer Geldstrafe bis zu 50 000 Euro, im Wiederholungsfall bis zu 100 000 Euro zu bestrafen.
(2) Eine Verwaltungsübertretung begeht außerdem, wer
1. den in einem rechtskräftigen Bescheid gemäß § 20 Abs. 5 angeordneten Maßnahmen nicht ordnungsgemäß und fristgerecht nachkommt oder
2. seinen Meldepflichten gemäß § 17 Abs. 1 und 4 nicht oder nicht fristgerecht nachkommt.
Die Begehung ist von der Bezirksverwaltungsbehörde mit einer Geldstrafe bis zu 500 000 Euro zu bestrafen.
(3) Die Bezirksverwaltungsbehörde kann Geldstrafen gegen eine juristische Person oder eingetragene Personengesellschaft verhängen, wenn Verwaltungsübertretungen gemäß den Abs. 1 und 2 durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person oder der eingetragenen Personengesellschaft gehandelt haben und eine Führungsposition aufgrund
1. der Befugnis zur Vertretung der juristischen Person oder der eingetragenen Personengesellschaft,
2. der Befugnis, Entscheidungen im Namen der juristischen Person oder der eingetragenen Personengesellschaft zu treffen, oder
3. einer Kontrollbefugnis innerhalb der juristischen Person oder der eingetragenen Personengesellschaft
innehaben.
(4) Juristische Personen oder eingetragene Personengesellschaften können wegen Verwaltungsübertretungen gemäß den Abs. 1 und 2 auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 3 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person oder eingetragene Personengesellschaft tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung erfüllt.
(5) Von der Bestrafung eines Verantwortlichen gemäß § 9 VStG ist abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person oder eingetragene Personengesellschaft verhängt wird.
Nichteinhaltung von Verpflichtungen durch Stellen der öffentlichen Verwaltung
§ 24. (Verfassungsbestimmung) Die Bezirksverwaltungsbehörde hat abweichend von § 23 die Nichteinhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen durch als kritisch eingestufte Behörden und sonstige Stellen der öffentlichen Verwaltung einschließlich der Gebietskörperschaften sowie in Formen des Privatrechts eingerichtete Stellen der öffentlichen Verwaltung mit Bescheid festzustellen und eine angemessene Frist zur Herstellung des rechtmäßigen Zustandes anzuordnen. Wird der rechtmäßige Zustand nicht fristgerecht hergestellt, hat die Bezirksverwaltungsbehörde nach Rechtskraft des Bescheids die Nichteinhaltung dieser Verpflichtungen in einer allgemeinen Weise zu veröffentlichen, die geeignet scheint, einen möglichst weiten Personenkreis zu erreichen. Diese Veröffentlichung darf nur insoweit erfolgen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit oder für die nationale Sicherheit einschließlich der militärischen Landesverteidigung darstellt und keine schutzwürdigen Interessen kritischer Einrichtungen beeinträchtigt.
8. Abschnitt
Schluss- und Übergangsbestimmungen
Umsetzung von Rechtsakten der EU
§ 25. Dieses Bundesgesetz dient der Umsetzung der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG, ABl. Nr. L 333 vom 27.12.2022 S. 164.
Personenbezogene Bezeichnungen
§ 26. Alle in diesem Bundesgesetz verwendeten personenbezogenen Bezeichnungen gelten gleichermaßen für alle Geschlechter.
Vollziehung
§ 27. Mit der Vollziehung dieses Bundesgesetzes sind betraut
1. hinsichtlich des § 9 Abs. 1 die Bundesregierung,
2. hinsichtlich der übrigen Bestimmungen der Bundesminister für Inneres.
Verweisungen
§ 28. Verweisungen in diesem Bundesgesetz auf andere Bundesgesetze sind als Verweisungen auf die jeweils geltende Fassung zu verstehen.
Übergangsbestimmungen
§ 29. (1) Von dem der Kundmachung dieses Bundesgesetzes folgenden Tag an sind, soweit nicht bereits erfolgt, alle vorbereitenden organisatorischen und personellen Maßnahmen zu setzen, die für die Ermöglichung einer zeitgerechten Aufgabenwahrnehmung durch den Bundesminister für Inneres erforderlich sind.
(2) Verordnungen auf Grund dieses Bundesgesetzes und seiner Novellen können ab dem Tag der Kundmachung dieses Bundesgesetzes oder der betreffenden Novelle erlassen werden. Die Verordnungen treten frühestens mit dem Inkrafttreten der jeweiligen Bestimmungen dieses Bundesgesetzes oder der betreffenden Novelle in Kraft.
Inkrafttreten
§ 30. (1) (Verfassungsbestimmung) Die §§ 1, 4 Abs. 2 und § 24 dieses Bundesgesetzes treten nach Ablauf von vier Monaten nach der Kundmachung dieses Bundesgesetzes mit dem nächstfolgenden Monatsersten in Kraft.
(2) Das Inhaltsverzeichnis, die Abschnittsbezeichnungen, die Abschnittsüberschriften, die Paragraphenüberschriften, die §§ 2 und 3, § 4 Abs. 1, 3 und 4, die §§ 5 bis 23 sowie die §§ 25 bis 28 dieses Bundesgesetzes treten nach Ablauf von vier Monaten nach der Kundmachung dieses Bundesgesetzes mit dem nächstfolgenden Monatsersten in Kraft.
Artikel 2
Änderung des Tilgungsgesetzes 1972
Das Tilgungsgesetz 1972, BGBl. Nr. 68/1972, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 148/2021, wird wie folgt geändert:
1. In § 6 Abs. 1 Z 3 wird nach der Wortfolge „den luftfahrtrechtlichen Vorschriften“ die Wortfolge „und den Vorschriften über die Resilienz kritischer Einrichtungen“ eingefügt.
2. Dem § 9 wird folgender Abs. 1n angefügt:
„(1n) § 6 Abs. 1 Z 3 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/xxxx tritt nach Ablauf von vier Monaten nach der Kundmachung dieses Bundesgesetzes mit dem nächstfolgenden Monatsersten in Kraft.“