Erläuterungen
Allgemeiner Teil
Hauptgesichtspunkte des Entwurfs:
Die Richtlinie 2008/114/EG über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, ABl. Nr. L 345 vom 23.12.2008 S. 75, CELEX-Nr.: 32008L0114, (im Folgenden: ECI-RL) sah ein Verfahren für die Ausweisung europäischer kritischer Infrastrukturen (ausschließlich) im Energie- und Verkehrssektor vor, deren Störung oder Zerstörung erhebliche grenzüberschreitende Auswirkungen in mindestens zwei Mitgliedstaaten hätte. Eine im Jahr 2019 durchgeführte Evaluierung der ECI-RL hat jedoch gezeigt, dass aufgrund des zunehmend vernetzten und grenzüberschreitenden Charakters von Tätigkeiten, bei denen kritische Infrastrukturen genutzt werden, Schutzmaßnahmen einzelner Objekte zur Verhinderung sämtlicher Störungen nicht ausreichen. Die Europäische Kommission kam daher zum Schluss, dass ein Ansatz verfolgt werden müsse, der sowohl die bessere Berücksichtigung von Risiken ermöglicht als auch die Rolle und Verpflichtungen von kritischen Einrichtungen als Erbringer von für das Funktionieren des Binnenmarktes wesentlichen Diensten einheitlich festlegt.
Vor diesem Hintergrund wurden am 16. Dezember 2020 im Rahmen der EU-Cybersicherheitsstrategie neue legislative Vorschläge mit dem Ziel präsentiert, die Widerstandsfähigkeit von Einrichtungen, die essenzielle gesellschaftliche Funktionen oder wirtschaftliche Tätigkeiten im Binnenmarkt erbringen, gegen Risiken und Bedrohungen zu erhöhen.
Nach dem erfolgreichen Abschluss der Verhandlungen wurden die Rechtstexte am 27. Dezember 2022 als Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates, ABl. Nr. L 333 vom 27.12.2022 S. 164, CELEX-Nr.: 32022L2557, (im Folgenden: RKE-RL) sowie als Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl. Nr. L 333 vom 27.12.2022 S. 80, CELEX-Nr.: 32022L2555, (im Folgenden: NIS-2-RL) im EU-Amtsblatt veröffentlicht und sind beide Richtlinien am 16. Jänner 2023 in Kraft getreten.
Mit der RKE-RL wurde die ECI-RL aufgehoben sowie ersetzt und erfolgte eine Erweiterung sowohl des Anwendungsbereichs als auch des Umfangs der ECI-RL. Die RKE-RL folgt großteils der Systematik der Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. Nr. L 194 vom 19.07.2016 S. 1, (im Folgenden: NIS-1-RL), dh. der Vorgängerrichtlinie zur NIS-2-RL. Sie verfolgt dabei einen „All-Gefahren-Ansatz“, was bedeutet, dass sie alle relevanten natürlichen und vom Menschen verursachten Risiken, darunter Unfälle, Naturkatastrophen, feindliche Bedrohungen, einschließlich terroristischer Straftaten, und Notsituationen im Bereich der öffentlichen Gesundheit, wie etwa Pandemien, abdeckt. Darin unterscheidet sie sich erheblich von der ECI-RL, die sich in erster Linie auf den Terrorismus fokussierte.
Anders als die ECI-RL stützt sich die RKE-RL aufgrund ihres Ziels, Anwendungsbereichs und Gegenstands sowie der zunehmenden wechselseitigen Abhängigkeiten und der notwendigen Schaffung einheitlicher Ausgangsbedingungen für kritische Einrichtungen auf Art. 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), BGBl. III Nr. 86/1999, in dem die Angleichung der Rechtsvorschriften zur Verbesserung des Binnenmarkts vorgesehen ist. Die grenzüberschreitenden wechselseitigen Abhängigkeiten zwischen den Diensten, die über kritische Infrastrukturen in den nunmehr von der Richtlinie umfassten elf Sektoren erbracht werden, führen dazu, dass sich eine Störung in einem Mitgliedstaat auch auf andere Mitgliedstaaten und die gesamte Union auswirken kann. Um sicherzustellen, dass alle entsprechenden Einrichtungen den Resilienzanforderungen dieser Richtlinie unterliegen, und um diesbezügliche zwischenstaatliche Unterschiede zu verringern, wurde es als wichtig erachtet, harmonisierte Vorschriften festzulegen, die eine einheitliche Ermittlung kritischer Einrichtungen in der Union ermöglichen und die es den Mitgliedstaaten dennoch erlauben, den Aufgaben und der Bedeutung dieser Einrichtungen auf nationaler Ebene angemessen Rechnung zu tragen.
Vor dem Hintergrund dieser Ausführungen ist demnach beabsichtigt, durch die RKE-RL einen unionsrechtlichen Rahmen zu schaffen, der im Wesentlichen darauf abzielt, die Resilienz bzw. physische Widerstandsfähigkeit kritischer Einrichtungen, die für wichtige gesellschaftliche Funktionen oder wirtschaftliche Tätigkeiten im Binnenmarkt unerlässliche Dienste erbringen, zu stärken und ihre Schwachstellen zu verringern, indem ein harmonisiertes Mindestmaß an Verpflichtungen festgelegt wird und kohärente sowie gezielte Unterstützungs- und Aufsichtsmaßnahmen vorgesehen werden. Konkret sollen kritische Einrichtungen ihre Fähigkeit verbessern, Sicherheitsvorfälle zu verhindern, sich davor zu schützen, darauf zu reagieren, die Folgen solcher Vorfälle zu begrenzen, Sicherheitsvorfälle zu bewältigen sowie sich von solchen Vorfällen zu erholen. Dabei soll im Sinne eines „All-Gefahren-Ansatzes“ die Resilienz kritischer Einrichtungen gegenüber allen natürlichen und vom Menschen verursachten Risiken sichergestellt werden (siehe auch oben).
Angesichts der Zusammenhänge zwischen Cybersicherheit und physischer Sicherheit wurde der RKE-RL sowie der NIS-2-RL ein möglichst kohärenter „All-Gefahren-Ansatz“ zugrunde gelegt und soll durch eine abgestimmte nationale Umsetzung der beiden Richtlinien die isolierte Betrachtung physischer und digitaler Risiken überwunden werden. Zudem soll eine Verzahnung zwischen RKE- und NIS-Regime samt Informationsaustausch zwischen den zuständigen Behörden erfolgen. Demzufolge sollen etwa kritische Einrichtungen gemäß der RKE-RL automatisch als wesentliche Einrichtungen im Sinne der NIS-2-RL gelten und somit jedenfalls auch einer (strengen) ex-ante Kontrolle durch die NIS-Behörden unterliegen (im Gegensatz zur ex-post Kontrolle bei wichtigen Einrichtungen gemäß Art. 33 Abs. 1 NIS-2-RL). Darüber hinaus sollen die Mitgliedstaaten ua. sicherstellen, dass die nach der RKE-RL und der NIS-2-RL jeweils erforderlichen nationalen Strategien einen politischen Rahmen für die Koordinierung zwischen den zuständigen nationalen Behörden vorsehen. Zudem sollen die zuständigen Behörden eng zusammenarbeiten und Informationen austauschen, insbesondere über die Ermittlung kritischer Einrichtungen sowie über Risiken, Bedrohungen und Vorfälle, die kritische Einrichtungen (potenziell) beeinträchtigen können, über die von kritischen Einrichtungen ergriffenen Cybersicherheitsmaßnahmen und physischen (Resilienz-)Maßnahmen sowie die Ergebnisse der im Hinblick auf diese Einrichtungen durchgeführten behördlichen Aufsichts- und Durchsetzungstätigkeiten. Um einerseits die Aufsichts- und Durchsetzungstätigkeiten der in den beiden Rechtsbereichen zuständigen Behörden zu straffen und andererseits den Verwaltungsaufwand für die betroffenen Einrichtungen so gering wie möglich zu halten, sollten sowohl die Meldeverpflichtungen bei Sicherheitsvorfällen als auch die behördlichen Aufsichts- und Durchsetzungsverfahren harmonisiert werden. Diese Vorgaben erfordern jedenfalls eine eng aufeinander abgestimmte Vorgehensweise bei der innerstaatlichen Umsetzung der RKE-RL und der NIS-2-RL sowie in Folge eine intensive Zusammenarbeit und einen umfassenden Informationsaustausch zwischen den für diese Bereiche national zuständigen Behörden.
Der Anwendungsbereich der RKE-RL umfasst grundsätzlich elf im Anhang der Richtlinie näher determinierte Sektoren, darunter Energie (Strom, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff), Verkehr (Luftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr, Öffentlicher Verkehr), Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Öffentliche Verwaltung, Weltraum sowie Lebensmittelproduktion, -verarbeitung und -vertrieb.
Vorgesehen ist insbesondere, dass die Mitgliedstaaten eine nationale Strategie zur Verbesserung der Resilienz kritischer Einrichtungen zu erstellen (Art. 4 RKE-RL) und die jeweils zuständigen Behörden regelmäßig Risikobewertungen durchzuführen haben, wobei eine von der Europäischen Kommission in Form eines delegierten Rechtsakts erlassene, nicht erschöpfende Liste wesentlicher Dienste in den im Anhang der RKE-RL genannten Sektoren und Teilsektoren für die Risikobewertungen heranzuziehen ist (Art. 5 RKE-RL). Auf Grundlage dieser Risikobewertungen hat jeder Mitgliedstaat kritische Einrichtungen zu ermitteln, die zumindest einen wesentlichen Dienst erbringen (Art. 6 RKE-RL). Die auf diesem Wege ermittelten kritischen Einrichtungen haben sodann ihrerseits auf Grundlage der Risikobewertungen der Mitgliedstaaten jene Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören können (Art. 12 RKE-RL). Des Weiteren haben sie geeignete und verhältnismäßige Resilienzmaßnahmen für ihren physischen Schutz zu treffen (Art. 13 RKE-RL; ua. Ergreifung von verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen, Erstellung eines Resilienzplans, Benennung eines Verbindungsbeauftragten) und der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder stören könnten, unverzüglich zu melden (Art. 15 RKE-RL). Ergänzt werden diese Regelungen durch Unterstützungsmaßnahmen der Mitgliedstaaten, etwa die Bereitstellung von Leitfäden und Schulungsmaßnahmen, und ein spezifisches Aufsichts- und Durchsetzungsregime durch die national zuständigen Behörden. Demnach sollen etwa die Resilienzmaßnahmen von der zuständigen nationalen RKE-Behörde bzw. den zuständigen nationalen RKE-Behörden überprüft werden können, die zudem verbindliche Anweisungen zur Beseitigung festgestellter Verstöße erteilen kann bzw. können (Art. 21 RKE-RL). Gegebenenfalls sollen die kritischen Einrichtungen auch durch eine wirksame, verhältnismäßige und abschreckende Sanktionierung zur Einhaltung ihrer Verpflichtungen angehalten werden können (Art. 22 RKE-RL).
In Österreich soll eine Umsetzung der RKE-RL mit dem vorliegenden Resilienz kritischer Einrichtungen-Gesetz (RKEG) erfolgen.
Die Hauptgesichtspunkte sind im Einzelnen:
- die Benennung einer zuständigen Behörde, die auch die Funktion einer zentralen Anlaufstelle übernehmen soll
- die Festlegung einer nationalen Strategie zur Verbesserung der Resilienz kritischer Einrichtungen
- die Durchführung einer Risikoanalyse durch die zuständige Behörde zur Bewertung sämtlicher natürlicher und vom Menschen verursachter Risiken (im Sinne des „All-Gefahren-Ansatzes“)
- die bescheidmäßige Ermittlung kritischer Einrichtungen auf Basis der nationalen Strategie sowie der durchgeführten Risikoanalyse
- die Festlegung von Unterstützungsmaßnahmen für kritische Einrichtungen durch die zuständige Behörde
- die Verpflichtung kritischer Einrichtungen zur Durchführung von Risikoanalysen, zum Ergreifen von Resilienzmaßnahmen und zur Meldung von Sicherheitsvorfällen
- die Verpflichtung zur Durchführung von Zuverlässigkeitsüberprüfungen durch die zuständige Behörde
- die Festlegung von Aufsichts- und Durchsetzungsmaßnahmen durch die zuständige Behörde zur Überprüfung der Einhaltung der Verpflichtungen der kritischen Einrichtungen und
- die Festlegung eines effektiven Sanktionsregimes.
Mit der vorgeschlagenen Änderung des Tilgungsgesetzes 1972, BGBl. Nr. 68/1972, soll die gesetzliche Grundlage für unbeschränkte Auskünfte aus dem Strafregister zum Zwecke der Überprüfung der Zuverlässigkeit nach Maßgabe des RKEG geschaffen werden.
Kompetenzgrundlage:
Die Kompetenz des Bundes zur Erlassung eines diesem Entwurf entsprechenden Bundesgesetzes gründet sich hinsichtlich
- des Artikels 2 auf Art. 10 Abs. 1 Z 6 B-VG („Strafrechtswesen“).
Besonderheiten des Normerzeugungsverfahrens:
Der Entwurf kann im Hinblick auf die §§ 1, 4 Abs. 2, § 24 sowie § 30 Abs. 1 (Verfassungsbestimmungen) des Artikels 1 gemäß Art. 44 Abs. 1 B-VG vom Nationalrat nur in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen beschlossen werden. Der Entwurf bedarf überdies im Hinblick auf § 1 (Kompetenzdeckungsklausel) des Artikels 1 gemäß Art. 44 Abs. 2 B-VG der in Anwesenheit von mindestens der Hälfte der Mitglieder und mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen zu erteilenden Zustimmung des Bundesrates.
Besonderer Teil
Zu Artikel 1 (Resilienz kritischer Einrichtungen-Gesetz – RKEG)
Zu § 1 (Kompetenzdeckung):
Das B-VG kennt keinen eigenen Kompetenztatbestand „physische Sicherheit“ oder etwa „Resilienz bzw. Widerstandsfähigkeit kritischer Einrichtungen“. Die Gefahr von Störfällen im Bereich der physischen Sicherheit stellt auch keine „allgemeine Gefahr“, die im Sinne der Rechtsprechung des VfGH unter den Kompetenztatbestand der „Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit“ (Art. 10 Abs. 1 Z 7 B-VG) zu subsumieren wäre, dar. Die abzuwehrenden Gefahren nach der RKE-RL reduzieren sich zudem nicht auf ein bestimmtes Verwaltungsgebiet, sondern handelt es sich dabei mit Blick auf die unterschiedlichen „Anbieter“ bzw. Sektoren oder Einrichtungen, die von der RKE-RL umfasst sind, – wie grundsätzlich im Bereich der Netz- und Informationssystemsicherheit – vielmehr um eine materienübergreifende Querschnittsgefahr, deren Abwehr verschiedenen besonderen Verwaltungsmaterien zuzuordnen ist und die demnach kompetenzrechtlich der Zuständigkeit zur Regelung des jeweiligen Sachgebietes folgt.
Daraus ergibt sich, dass die Vorschriften in diesem Bundesgesetz, mit dem insbesondere die innerstaatliche Umsetzung der RKE-RL erfolgen soll, zwar überwiegend gemäß Art. 10 Abs. 1 B-VG in die Gesetzgebungs- und Vollziehungskompetenz des Bundes fallen, in einigen (Teil-)Sektoren fällt die Umsetzung jedoch in die (Ausführungs-)Gesetzgebung und/oder in die Vollziehung der Länder, weshalb die Begründung einer Kompetenz des Bundes für diese Bereiche verpflichtend einer Verfassungsänderung bedarf.
Vor dem Hintergrund soll in § 1 vorgesehen werden, dass die Erlassung, Aufhebung sowie Vollziehung von Vorschriften, wie sie in diesem Bundesgesetz enthalten sind, auch in den Belangen Bundessache sind, hinsichtlich deren das B-VG etwas anderes bestimmt. Änderungen dieses Bundesgesetzes sollen hingegen nicht von der im vorgeschlagenen § 1 enthaltenen statischen Kompetenzdeckungsklausel umfasst sein, was zur Folge hat, dass jede Novelle zu diesem Bundesgesetz (zB Beseitigung von Vollzugsdefiziten) wiederum einer gesonderten Verfassungsänderung bzw. im Verfassungsrang stehenden Kompetenzdeckungsklausel bedürfte (vgl. auch Janko, Staats- und Verwaltungsorganisation [2014] 9). Zudem soll abweichend von Art. 102 Abs. 1 B-VG ausdrücklich angeordnet werden, dass die in diesem Bundesgesetz geregelten Angelegenheiten – sofern nicht im Einzelfall (einfachgesetzlich) eine gegenteilige Anordnung erfolgt (vgl. etwa § 5 betreffend die Nichteinhaltung von Verpflichtungen) – in unmittelbarer Bundesverwaltung besorgt werden können.
Zu § 2 (Anwendungsbereich):
Angesichts der sich rasch ändernden Bedrohungslage, etwa im Kontext mit der offensichtlichen Sabotage der Gasinfrastruktur Nord Stream 1 und Nord Stream 2 in der jüngsten Vergangenheit, stehen Einrichtungen, die kritische Infrastrukturen betreiben, in Bezug auf ihre Widerstandsfähigkeit gegen feindliche Handlungen und andere von Menschen verursachte Bedrohungen vor besonderen Herausforderungen, während auch die Gefahren aufgrund natürlicher Faktoren und des Klimawandels zunehmen und mit diesen feindlichen Handlungen zusammenwirken können. Es ist daher wesentlich, dass diese Einrichtungen geeignete Maßnahmen zur Stärkung ihrer Resilienz ergreifen, um auf Gefahren vorbereitet zu sein und entsprechend reagieren zu können.
Die physische Sicherheit dieser Einrichtungen und der von ihnen betriebenen kritischen Infrastrukturen, mit der Dienste im Binnenmarkt erbracht werden, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit, der Sicherheit oder für die Umwelt von entscheidender Bedeutung sind, spielt daher eine zentrale Rolle in der heutigen Gesellschaft. Mit diesem Bundesgesetz sollen demzufolge Maßnahmen festgelegt werden, die ein hohes Resilienzniveau kritischer Einrichtungen in den im Anhang der RKE-RL gelisteten Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung auf Bundesebene, Weltraum sowie Lebensmittelproduktion, -verarbeitung und -vertrieb sicherstellen sollen. Die Regelung in Abs. 1 soll den sachlichen Anwendungsbereich des gegenständlichen Bundesgesetzes klar zum Ausdruck bringen.
Im Hinblick darauf, dass die NIS-2-RL das Thema Cybersicherheit ausreichend abdeckt, soll ihr Inhalt – unbeschadet der besonderen Regelungen für Einrichtungen, die im Bereich der digitalen Infrastruktur tätig sind (vgl. Art. 8 RKE-RL) – vom Anwendungsbereich der RKE-RL ausgenommen werden und soll die RKE-RL explizit nicht für Angelegenheiten gelten, die unter die NIS-2-RL fallen (Art. 1 Abs. 2 RKE-RL). Aufgrund der engen Beziehung bzw. Überschneidungen zwischen Cybersicherheit und physischer Sicherheit kritischer Einrichtungen sowie angesichts der Bedeutung der Cybersicherheit für die Resilienz kritischer Einrichtungen (vgl. auch ErwGr 9 zur RKE-RL) sind die Mitgliedstaaten jedoch verpflichtet, für eine koordinierte Umsetzung der NIS-2-RL und der RKE-RL zu sorgen (siehe dazu auch die Erläuterungen im Allgemeinen Teil). Demnach ist in Abs. 2 vorgesehen, dass Angelegenheiten, die unter die Bestimmungen der NIS-2-RL fallen und somit die Sicherheit von Netz- und Informationssystemen betreffen, vom Anwendungsbereich des gegenständlichen Gesetzes ausgenommen werden. So sollen etwa – auch mit Blick auf den der NIS-2-RL ebenfalls zugrunde liegenden „All-Gefahren-Ansatz“ – Maßnahmen zum (physischen) Schutz eines Serverraums, in dem die Informationstechnik einer Einrichtung untergebracht ist, lediglich dem NIS-Regelungsregime unterliegen.
Vor dem Hintergrund der einschränkenden Definition der „Einrichtung der öffentlichen Verwaltung“ in Art. 2 Z 10 RKE-RL soll in Abs. 3 vorgesehen werden, dass die Regelungen dieses Bundesgesetzes nicht für den Bereich der Gerichtsbarkeit sowie der Gesetzgebung (vgl. Art. 24 ff B-VG) und die Österreichische Nationalbank gelten sollen, wobei – mit Blick auf das der innerstaatlichen Rechtsordnung zugrunde liegende Verständnis – die Begrifflichkeit „Gerichtsbarkeit“ sowohl jene der ordentlichen (vgl. Art. 82 ff B-VG) als auch der Verwaltungs- (Art. 129 ff B-VG) und Verfassungsgerichtsbarkeit (Art. 137 ff B-VG) umfassen soll.
Der vorgesehene Ausschluss der Gerichtsbarkeit sowie der Gesetzgebung umfasst auch die für diese Bereiche im Rahmen der Verwaltung erbrachten unterstützenden Tätigkeiten, zumal diese auf die Gewährleistung des ordnungsgemäßen Funktionierens dieser Staatsteilgewalten beschränkt sind und daher per se als von der sich aus der RKE-RL ergebenden Ausnahme erfasst angesehen werden können. Es soll daher klargestellt werden, dass Angelegenheiten der (kollegialen und monokratischen) Justizverwaltung sowie der Parlamentsdirektion ebenfalls nicht vom Anwendungsbereich dieses Bundesgesetzes umfasst sein sollen. Ungeachtet dessen gewährleistet die Justiz die Resilienz sämtlicher ihrer Einrichtungen (der Gerichtsbarkeit, der Justizverwaltung und des Straf- und Maßnahmenvollzugs) durch interne Risikoanalysen und Krisenbewältigungsstrategien. Durch den pauschalen Verweis auf den Bereich der Gerichtsbarkeit ergibt sich auch ohne ausdrückliche gesetzliche Anordnung, dass die Ausnahme die Staatsanwaltschaften umfassen soll (vgl. Art. 90a B-VG, wonach Staatsanwälte Organe der Gerichtsbarkeit sind).
Die Ausnahme soll hingegen nicht für Tochterunternehmen der Österreichischen Nationalbank gelten, zumal die unionsrechtliche Regelung lediglich auf „Zentralbanken“ beschränkt ist.
Zu § 3 (Begriffsbestimmungen):
In Umsetzung des Art. 2 RKE-RL sollen in dieser Bestimmung Inhalte von bestimmten Begriffen festgelegt werden. Sofern es keiner eigenen Legaldefinition aufgrund nationaler Gegebenheiten bzw. Besonderheiten bedarf, sollen die in Art. 2 RKE-RL geregelten Definitionen direkt übernommen werden. Darüber hinaus sollen – soweit erforderlich – begriffliche Anpassungen erfolgen und zusätzliche Definitionen aufgenommen werden.
Unter „kritische Einrichtung“ (Z 1) soll eine öffentliche oder private Einrichtung zu verstehen sein, die mit Bescheid des Bundesministers für Inneres bei Vorliegen der gesetzlich normierten Voraussetzungen gemäß § 11 als solche eingestuft wurde. Sofern im Gesetzestext auf „kritische“ Einrichtungen Bezug genommen wird, sollen demnach lediglich solche Einrichtungen umfasst sein, bei denen tatsächlich (bereits) eine bescheidmäßige Ermittlung erfolgte.
Vor dem Hintergrund der geopolitischen Entwicklungen, von globaler Reichweite geprägten Krisen und der sich dadurch ständig wandelnden Bedrohungslage (siehe dazu die Ausführungen oben) stehen kritische Einrichtungen, die wesentliche Dienste zur Verfügung stellen, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen etc. von entscheidender Bedeutung sind, in Bezug auf den Schutz ihrer (physischen) Widerstandsfähigkeit vor besonderen Herausforderungen. Die Fähigkeit zur schnellen Reaktion auf diese Bedrohungen erfordert ständige Wachsamkeit und Anpassung an die aktuellen Gegebenheiten. Im Sinne des Selbstschutzgedankens soll „Resilienz“ (Z 2) die Fähigkeit einer kritischen Einrichtung bezeichnen, sich umfassend und in jedem Stadium gegen Sicherheitsvorfälle „abzusichern“.
Bei einem „Sicherheitsvorfall“ (Z 3) soll es sich um ein Ereignis handeln, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte (vgl. in diesem Zusammenhang die Regelung in § 17 Abs. 2, wonach der Bundesminister für Inneres mit Verordnung festlegen soll, wann ein Sicherheitsvorfall vorliegt). Ein Sicherheitsvorfall soll – im Sinne des sowohl der RKE-RL als auch diesem Gesetzesentwurf zugrundeliegenden „All-Gefahren-Ansatzes“ – beispielsweise durch Unfälle, Naturkatastrophen, gesundheitliche Notlagen, wie etwa Pandemien, und hybride sowie feindliche Bedrohungen, einschließlich terroristischer Straftaten, verursacht werden können. Zudem soll in Umsetzung unionsrechtlicher Vorgaben klargestellt werden, dass auch Beeinträchtigungen der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit – wie etwa gezielte (physische) Angriffe auf das Bundeskanzleramt – das Ausmaß eines Sicherheitsvorfalles annehmen können.
Als „Beinahe-Sicherheitsvorfall“ (Z 4) soll ein Ereignis verstanden werden, das zwar noch nicht die Schwelle eines Sicherheitsvorfalls gemäß Z 3 erreicht hat, jedoch das Potenzial aufweist, einen solchen hervorzurufen. Die Definition soll demnach auf ein dem Sicherheitsvorfall vorgelagertes Stadium abstellen.
Als Beispiele für „kritische Infrastruktur“ (Z 5) können etwa die Umspannwerke von Stromnetzbetreibern (zB der Netz Niederösterreich GmbH) oder die Bahnhöfe der Österreichischen Bundesbahnen (ÖBB) dienen. Als Orientierung können diesbezüglich etwa die im Zuge des Österreichischen Programms zum Schutz kritischer Infrastruktur (APCIP; vgl. dazu die Erläuterungen zu § 4 Abs. 1) als kritische Infrastruktur gemeldeten Objekte und Anlagen herangezogen werden. Ausschlaggebend ist jedoch, dass nur solche „Infrastrukturen“ als kritisch betrachtet werden sollen, die für die Erbringung eines wesentlichen Dienstes (Z 6) erforderlich sind. Im Ergebnis sollen demnach jene Infrastrukturen erfasst sein, die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen haben und deren Störung oder Zerstörung schwerwiegende Auswirkungen etwa auf die öffentliche Gesundheit, Sicherheit oder wichtige wirtschaftliche Tätigkeiten haben würden. Wenngleich die Definition von „kritischen Infrastrukturen“ im Sinne der RKE-RL mit jener von „kritischen Infrastrukturen“ im Sinne des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, nicht deckungsgleich ist, wird zumindest teilweise eine Orientierung an den gemäß § 22 Abs. 1 Z 6 SPG zu schützenden Einrichtungen erfolgen können.
„Wesentlich“ sollen „Dienste“ sein (Z 6), die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung sind. Dabei soll es sich in erster Linie um jene Dienste handeln, die – nicht erschöpfend – in der Delegierten Verordnung (EU) 2023/2450 der Kommission zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, ABl. Nr. L 2023/2450 vom 30.10.2023, auf Grundlage von Art. 5 Abs. 1 RKE-RL sowie darüber hinaus allenfalls aufgrund einer Verordnung des Bundesministers für Inneres innerhalb der im Anhang der RKE-RL gelisteten Sektoren und Teilsektoren festgelegt wurden. Zur Sicherstellung eines effizienten Vollzugs sowie zur Gewährleistung einer kohärenten Umsetzung der RKE-RL sowie der NIS-2-RL wird es – auch mit Blick auf die Auswirkungen auf das NIS-Regime (vgl. Art. 3 Abs. 1 lit. f NIS-2-RL) – vor der innerstaatlichen Aufnahme weiterer wesentlicher Dienste wohl angezeigt sein, vorab die NIS-2-Behörde zu konsultieren.
Im Sinne der in der RKE-RL vorgesehenen Begriffsdefinition soll als „Risiko“ (Z 7) das Potenzial für – durch einen Sicherheitsvorfall verursachte – Verluste oder Störungen zu verstehen sein, wobei das Ausmaß eines solchen Verlusts bzw. einer solchen Störung und die Eintrittswahrscheinlichkeit eines Sicherheitsvorfalls berücksichtigt werden sollen. Das Risiko stellt demnach das Produkt aus dem potenziell möglichen Schaden (schädlichen Auswirkungen), der aus dem unerwünschten Ereignis resultiert, und der damit verbundenen Eintrittswahrscheinlichkeit dar.
Voraussetzung für Maßnahmen zur Erhöhung der Resilienz ist die Identifikation der Vulnerabilität kritischer Infrastrukturen gegenüber Risiken. Vor dem Hintergrund, dass im deutschen Sprachgebrauch der in der RKE-RL vorgesehene Begriff der „Risikobewertung“ enger gefasst wird und den Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos nicht abdeckt, soll im gegenständlichen Umsetzungsgesetz in unionsrechtskonformer Weise auf den sämtliche Elemente abdeckenden Terminus „Risikoanalyse“ abgestellt werden. Die „Risikoanalyse“ (Z 8) soll demnach das systematische Verfahren zur Bestimmung eines Risikos insbesondere für die physische Sicherheit darstellen (vgl. § 2 Abs. 2, wonach Angelegenheiten, die in den Anwendungsbereich der NIS-2-RL fallen, vom vorgeschlagenen Gesetz unberührt bleiben sollen) und identifizierte Risiken und deren Eintrittswahrscheinlichkeit korrekt und verständlich beschreiben, die Eintrittswahrscheinlichkeit ermitteln und die potenziellen Auswirkungen auf kritische Einrichtungen anhand von Risikokriterien darlegen. Die Risikoanalyse soll sich somit mit der Fragestellung beschäftigen, welche Auswirkungen Gefahren auf Betrieb und Leistungserbringung kritischer Einrichtungen haben und stellt diese somit die korrekte und verständliche Beschreibung von identifizierbaren Risiken sowie die Ermittlung von Eintrittswahrscheinlichkeit und Darstellung der Auswirkungen anhand von Risikokriterien dar (dh. Identifikation der Verletzbarkeit kritischer Infrastrukturen gegenüber Risiken). Sie umfasst demzufolge auch den Prozess des Vergleichs und der Priorisierung von Risiken in Bezug auf deren Wirkung auf die „kritische Dienstleistung“ und sollen im Rahmen der Risikobewertung Entscheidungen hinsichtlich der Notwendigkeit von geänderten und zusätzlichen Maßnahmen zur Risikobehandlung getroffen werden. Wesentlich ist, dass sie im Sinne eines gesamtheitlichen Ansatzes eine Beurteilung sämtlicher „Risiken“ (Z 7) umfassen soll, insbesondere solche sektorübergreifender oder grenzüberschreitender Art und unabhängig davon, ob deren Ursache auf höhere Gewalt oder den Menschen zurückzuführen ist, wobei als Beispiele Unfälle, Naturkatastrophen, gesundheitliche Notlagen, hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten, aber auch technische Gebrechen und nicht intentionelle Handlungsweisen genannt werden können. Wesentlich ist in diesem Zusammenhang, dass Risiken in der Regel nicht statisch sind, sondern einem dynamischen Prozess unterliegen. Ein wichtiger Aspekt in einem Risikomanagementprozess ist somit die ständige Risikoüberwachung bzw. -überprüfung.
Während vom Terminus „Mitgliedstaat“ (Z 9) jeder Staat, der Vertragspartei des Vertrags über die Europäische Union (EUV) in der Fassung BGBl. III Nr. 132/2009 ist, umfasst sein soll, sollen alle anderen Staaten als „Drittstaaten“ (Z 10) gelten.
„Einrichtungen“ (Z 11) sollen den potenziellen Adressatenkreis der Rechte und Pflichten nach diesem Bundesgesetz abbilden und sollen darunter sowohl natürliche und juristische Personen als auch eingetragene Personengesellschaften zu verstehen sein. Vor dem Hintergrund, dass auch Behörden, etwa Bundesminister, unter bestimmten Voraussetzungen unter das RKE-Regime fallen können, diese jedoch mangels (selbständiger) Rechtsfähigkeit in aller Regel keine juristischen Personen sind, sollen darüber hinaus auch Stellen der öffentlichen Verwaltung ausdrücklich genannt werden. Der Terminus ist bewusst sehr weit gefasst und soll neben Behörden auch sonstige Stellen der öffentlichen Verwaltung, wie insbesondere ausgegliederte Rechtsträger privaten oder öffentlichen Rechts, umfassen. Wesentlich ist in diesem Zusammenhang jedoch, dass nur jene Einrichtungen in den Anwendungsbereich dieses Bundesgesetzes und somit unter das RKE-Regime fallen sollen, die der Bundesminister für Inneres bei Vorliegen der gesetzlich normierten Voraussetzungen gemäß § 11 bescheidmäßig als „kritisch“ eingestuft hat.
Vorgesehen ist, dass im Rahmen der zu treffenden Resilienzmaßnahmen kritischer Einrichtungen auch „Resilienzpläne“ mit einer nachvollziehbaren und strukturierten Aufbereitung von geeigneten und verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Gewährleistung der Resilienz (Z 12) zu erstellen sowie auf Verlangen an den Bundesminister für Inneres zu übermitteln sind (vgl. § 20 Abs. 1 des gegenständlichen Entwurfs). Die inhaltlichen Komponenten dieses Dokuments sollen durch die Begriffsbestimmung festgeschrieben werden.
Im Rahmen der Aufsichts- und Durchsetzungsmaßnahmen soll der Bundesminister für Inneres in Umsetzung der unionsrechtlichen Vorgabe in Art. 21 Abs. 1 lit. b RKE-RL gemäß § 20 Abs. 1 von kritischen Einrichtungen die Durchführung von „Audits“ verlangen können. Dabei soll es sich um eine systematische Überprüfung der Einhaltung der Verpflichtungen gemäß den §§ 14 und 15 durch Resilienzauditoren (§ 21) handeln (zB durch Bewertungsbesuche), wobei die Ergebnisse zu dokumentieren und in einem Prüfbericht aufgelistet werden sollen. Wesentlich ist, dass die Prüftätigkeit in Unabhängigkeit von der zu überprüfenden kritischen Einrichtung erfolgen soll (Z 13) und wird sich die Dauer solcher Überprüfungen aus der individuellen Ausprägung der zu überprüfenden kritischen Einrichtung sowie dem Detailgrad der vorgenommenen Prüfhandlungen ergeben.
Zu § 4 (Zuständige Behörde):
Im Hinblick darauf, dass der Schutz kritischer Infrastrukturen bereits in der Vergangenheit immer mehr an Bedeutung gewonnen hat, hat die Bundesregierung im Sinne der Erhöhung der Resilienz im Jahr 2008 den Masterplan APCIP 2008 beschlossen. Wesentlicher Schwerpunkt des – ebenfalls einen „All-Gefahren-Ansatz“ verfolgenden – Masterplans war die – bisher noch freiwillige – Unterstützung strategisch wichtiger Unternehmen beim Aufbau einer umfassenden Sicherheitsarchitektur, wobei etwa die operative Umsetzung sowie die Durchführung von Kontakt- und Beratungsgesprächen durch den Bundesminister für Inneres bzw. die Sicherheitsbehörden erfolgt. Zudem hat der Bundesminister für Inneres als oberste Sicherheitsbehörde im Zusammenhang mit dem Schutz kritischer Infrastrukturen weiterreichende gesetzliche Aufgaben (vgl. die Regelungen im SPG sowie im Staatsschutz- und Nachrichtendienst-Gesetz – SNG, BGBl. I Nr. 5/2016, betreffend den Schutz kritischer Infrastrukturen) und kommt es aufgrund des der RKE-RL zugrundeliegenden „All-Gefahren-Ansatzes“ ebenfalls zu Überschneidungen mit dem RKE-Regime (vgl. etwa die verfassungsschutzrelevante Beratung gemäß § 7 SNG), auch zumal beide Bereiche darauf ausgerichtet sind, den ungestörten Betrieb kritischer Infrastrukturen in besonders relevanten Bereichen zu gewährleisten. Vor dem Hintergrund, dass sich demzufolge beide Regelungsbereiche ergänzen bzw. diese ineinander greifen und die damit im Zusammenhang stehenden sicherheitspolizeilichen Agenden sowie die Unterstützungsaufgaben schon derzeit von den Sicherheitsbehörden wahrgenommen werden, sollen – auch mit Blick auf das Zusammenspiel mit dem Staatlichen Krisen- und Katastrophenmanagement – Synergien geschaffen werden und soll im Sinne einer effektiven, effizienten und schlanken Umsetzung sowie zur Vermeidung von Doppelgleisigkeiten der Bundesminister für Inneres, der auch mit der Verhandlung der RKE-RL auf Unionsebene betraut war, als „RKE-Behörde“ fungieren.
In Abs. 1 erfolgt demnach die Festlegung des Bundesministers für Inneres als zuständige Behörde im Sinne des Art. 9 Abs. 1 RKE-RL und soll vor dem Hintergrund, dass die gesamte Expertise in einer Behörde konzentriert werden soll, mit Blick auf eine effektive und effiziente Verwaltungsführung die ausschließliche Zuständigkeit zur Vollziehung des gegenständlichen Gesetzes – mit Ausnahme des Sanktionsregimes (vgl. § 5) – bei der RKE-Behörde liegen. Daraus ergibt sich, dass der Bundesminister für Inneres als „RKE-Behörde“ die Behördenfunktion auch im Hinblick auf kritische Einrichtungen in den Sektoren Bankwesen und Finanzmarktinfrastrukturen sowie digitale Infrastruktur übernehmen soll (so etwa die Unterstützungs- und Vorsorgemaßnahmen gemäß § 13; zur unionsrechtlichen Zulässigkeit dieser Zuständigkeitsbegründung vgl. Art. 9 Abs. 1 Unterabsatz 2 RKE-RL).
Gemäß Art. 9 Abs. 4 RKE-RL sind die Mitgliedstaaten dazu verpflichtet, die zuständige Behörde mit erforderlichen Befugnissen auszustatten, um die ihnen übertragenen Aufgaben wirksam und effizient zu erfüllen. Zudem sind die Mitgliedstaaten gemäß Art. 21 RKE-RL dazu verpflichtet, die zuständige Behörde unter Wahrung des Grundsatzes der Verhältnismäßigkeit mit spezifischen Befugnissen auszustatten, um die ordnungsgemäße Anwendung und Durchsetzung der gemäß dieser Richtlinie erlassenen nationalen Rechtsvorschriften in Bezug auf kritische Einrichtungen sicherzustellen. Zur unionsrechtskonformen Umsetzung dieser Vorgaben ist es zwingend erforderlich, dass der Bundesminister für Inneres sämtliche Befugnisse nach diesem Bundesgesetz auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung ausüben kann, wie etwa die Ermittlung als kritische Einrichtung sowie die Ausübung der Aufsichts- und Durchsetzungsbefugnisse gemäß § 20, sofern diese mit Bescheid als kritisch eingestuft wurden.
Nach der Rechtsprechung des VfGH sind oberste Organe jedoch gegenüber keinem anderen Organ weisungsgebunden und besteht keine sachlich in Betracht kommende Oberbehörde (vgl. VfGH 11.3.1959, B 179/58). Oberste Organe dürfen zudem nicht an Willenserklärungen anderer Organe gebunden werden (vgl. VfSlg. 19.827/2013) und darf die Kontrolle der Rechtmäßigkeit des Handelns eines obersten Organes nicht einer anderen Verwaltungsbehörde übertragen werden (vgl. VfSlg. 13.626/1993). Folglich bedarf es für die – unionsrechtlich verpflichtend vorgesehene – Ausübung von Befugnissen gegenüber obersten Organen einer entsprechenden verfassungsrechtlichen Grundlage, die mit Abs. 2 geschaffen werden soll. Demnach soll der Bundesminister für Inneres als zuständige „RKE-Behörde“ (in Anlehnung an die Regelung in § 35 Abs. 2 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999) dazu ermächtigt sein, seine Befugnisse, wie sie in diesem Bundesgesetz enthalten sind, auch gegenüber den in Art. 19 B-VG genannten obersten Organen der Vollziehung auszuüben, soweit in diesem Bundesgesetz nicht anderes bestimmt ist. Zu beachten ist, dass von dieser Regelung lediglich die Befugnisse des Bundesministers für Inneres gemäß § 11 zur bescheidmäßigen Ermittlung kritischer Einrichtungen sowie gemäß § 20 zur Setzung von Aufsichts- und Durchsetzungsmaßnahmen umfasst sein sollen und damit keinesfalls ein Weisungsrecht im Sinne des Art. 20 B-VG des Bundesministers für Inneres gegenüber obersten Organen der Vollziehung verbunden sein soll. Durch den statischen Verweis auf die „Befugnisse, wie sie in diesem Bundesgesetz enthalten sind,“ soll klargestellt werden, dass lediglich (geringfügige) Anpassungen der einzelnen einfachgesetzlichen (Aufsichts-/Durchsetzungs-)Befugnisse, die zu keiner Erweiterung bzw. Ausdehnung der Befugnisse führen, von der verfassungsrechtlichen Grundlage abgedeckt sind.
Im Sinne eines effizienten Vollzugs kann es sich als sinnvoll erweisen, die Landespolizeidirektionen mit der Durchführung einzelner Aufgaben gemäß den §§ 13 und 20, bei denen etwa eine Anwesenheit vor Ort erforderlich ist (zB Vor-Ort-Kontrollen gemäß § 20 Abs. 3 oder Durchführung von Schulungen gemäß § 13 Abs. 2 Z 4), zu beauftragen und sich regelmäßig darüber berichten zu lassen, um einen österreichweiten koordinierten Vollzug sicherzustellen. In Abs. 3 soll daher eine entsprechende Rechtsgrundlage geschaffen und vorgesehen werden, dass der Bundesminister für Inneres den Landespolizeidirektionen diesbezügliche auf die jeweils übertragenen Aufgaben bezogene Berichtspflichten vorschreiben kann (vgl. die damit im Zusammenhang stehende Ermächtigung zur Datenübermittlung an Sicherheitsbehörden zur Wahrnehmung der Aufgaben nach diesem Bundesgesetz gemäß § 7 Abs. 2).
Gemäß Art. 9 Abs. 2 RKE-RL in Zusammenschau mit ErwGr 23 zur RKE-RL hat jeder Mitgliedstaat zur Erleichterung der grenzüberschreitenden Zusammenarbeit und Kommunikation auf Unionsebene sowie mit Blick auf die effektive Umsetzung der RKE-RL eine zentrale Anlaufstelle zu benennen oder einzurichten, wobei diese auch innerhalb einer zuständigen Behörde angesiedelt sein kann. Dementsprechend soll in Abs. 4 vorgesehen werden, dass dem Bundesminister für Inneres auch diese Funktion zukommt. Klargestellt werden soll, dass er auch als Verbindungsstelle zu den zentralen Anlaufstellen der anderen Mitgliedstaaten der Europäischen Union, zur Gruppe für die Resilienz kritischer Einrichtungen gemäß Art. 19 RKE-RL sowie zur Europäischen Kommission fungieren und – vor dem Hintergrund der gemäß Art. 9 Abs. 2 letzter Satz RKE-RL eingeräumten Option – die Zusammenarbeit mit Drittstaaten sicherstellen soll.
Vor dem Hintergrund der Zusammenhänge zwischen Cybersicherheit und physischer Sicherheit soll durch eine abgestimmte nationale Umsetzung der RKE-RL und der NIS-2-RL die isolierte Betrachtung physischer und digitaler Risiken überwunden werden und demzufolge eine intensive Zusammenarbeit samt Informationsaustausch zwischen den für diese Bereiche national zuständigen Behörden erfolgen (vgl. die Erläuterungen im Allgemeinen Teil). Wesentlich ist, dass die Anforderungen der beiden Richtlinien komplementär umgesetzt werden und kritische Einrichtungen keinem Verwaltungsaufwand ausgesetzt sein sollen, der über das zur Erreichung der Ziele der beiden Richtlinien erforderliche Maß hinausgeht (vgl. ErwGr 24 zur RKE-RL). Demnach ist etwa in Art. 9 Abs. 6 RKE-RL vorgesehen, dass jeder Mitgliedstaat sicherzustellen hat, dass die zuständige Behörde mit jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS-2-RL als zuständige Behörden benannt oder eingerichtet wurden, zusammenarbeiten und Informationen austauschen. In Abs. 5 soll die innerstaatliche Abbildung dieser unionsrechtlichen Verpflichtung erfolgen und klargestellt werden, dass sich die Zusammenarbeit insbesondere auf kritische Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle, Cybersicherheitsvorfälle, nicht cybersicherheitsbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle sowie auf entsprechende seitens der jeweiligen Behörde gesetzte Maßnahmen (zB Aufsichts- und Durchsetzungsmaßnahmen) beziehen soll (vgl. in diesem Zusammenhang die in § 7 Abs. 2 Z 3 vorgesehene Datenverarbeitungsermächtigung). Im Rahmen dieser Zusammenarbeit soll im Sinne einer effizienten Vorgehensweise auch darauf geachtet werden, die den jeweils betroffenen Einrichtungen vorgeschriebenen elektronischen Übermittlungsformate möglichst einheitlich zu gestalten.
Insbesondere vor dem Hintergrund des allfälligen Zugangs zu sensiblen Informationen im Rahmen ihrer Tätigkeiten soll in Abs. 6 vorgesehen werden, dass sich sämtliche Mitarbeiter der „RKE-Behörde“ vor Beginn ihrer Tätigkeit einer Sicherheitsüberprüfung gemäß den §§ 55 bis 55b SPG für den Zugang zu geheimer Information zu unterziehen haben, die alle drei Jahre zu wiederholen sein soll. Durch den Verweis auf § 55a Abs. 4 dritter und vierter Satz SPG soll die Klarstellung erfolgen, dass unter gewissen Voraussetzungen Sicherheitsüberprüfungen auch vor Ablauf der dreijährigen Frist durchgeführt werden können.
Zu § 5 (Nichteinhaltung von Verpflichtungen):
In § 5 soll die Klarstellung erfolgen, dass die Bezirksverwaltungsbehörden – sohin in mittelbarer Bundesverwaltung – für die Führung von Verwaltungsstrafverfahren gemäß § 23 sowie die Feststellung der Nichteinhaltung der Verpflichtungen gemäß § 24 zuständig sind.
Angemerkt wird, dass mit Blick auf die erforderliche Expertise zum Zwecke der Zuständigkeitskonzentration mit Landesgesetz die sprengelübergreifende Zusammenarbeit von Bezirksverwaltungsbehörden vorgesehen werden kann („Kompetenzzentren“; vgl. etwa § 1 des Landesgesetzes über die Kooperation zwischen Bezirksverwaltungsbehörden in Oberösterreich, LGBl. Nr. 103/2018, sowie § 2a des Gesetzes vom 14. Februar 1977 über die Organisation der Bezirkshauptmannschaften, LGBl. Nr. 11/1977).
Zu § 6 (Beschwerdeverfahren):
Die Abgrenzung der Zuständigkeiten zwischen den Verwaltungsgerichten ergibt sich zwar bereits ex constitutione (vgl. Art. 131 B-VG). Vor dem Hintergrund der Regelung im vorgeschlagenen § 1 soll im Sinne der Rechtssicherheit jedoch gemäß Abs. 1 die sachliche Zuständigkeit des Bundesverwaltungsgerichts für Beschwerden gegen Bescheide des Bundesministers für Inneres sowie wegen Verletzung seiner Entscheidungspflicht klargestellt werden (vgl. Art. 131 Abs. 2 B-VG).
Im Hinblick darauf, dass die Bezirksverwaltungsbehörde als „Sanktionsbehörde“ fungieren und das Verwaltungsstrafverfahren sowie das Verfahren betreffend die Nichteinhaltung von Verpflichtungen gegenüber Stellen der öffentlichen Verwaltung demnach in mittelbarer Bundesverwaltung vollzogen werden soll (vgl. die §§ 23 und 24), soll im Sinne der Rechtssicherheit in Abs. 2 zudem die Klarstellung erfolgen, dass die Verwaltungsgerichte der Länder für Beschwerden gegen Bescheide der Bezirksverwaltungsbehörden sowie wegen Verletzung ihrer Entscheidungspflicht zuständig sein sollen (vgl. Art. 131 Abs. 1 B-VG).
Zu § 7 (Datenverarbeitung):
In dieser Bestimmung soll die vom Bundesminister für Inneres geführte Datenverarbeitung verankert und insbesondere durch Nennung von Betroffenenkreis, Datenarten und Löschungsfristen näher determiniert werden. Diese Ermächtigung zur Datenverarbeitung – worunter insbesondere die Ermittlung und Speicherung von Daten fallen wird – soll den Bundesminister für Inneres in die Lage versetzen, den ihm gesetzlich übertragenen Aufgaben auch tatsächlich nachkommen zu können sowie österreichweit mögliche Bedrohungen und Gefahren ehestmöglich zu erkennen, damit eine rasche Reaktion sowie Gewährleistung bzw. Wiederherstellung der Resilienz möglich ist. Zudem soll durch diese Regelung auch die unionsrechtlich vorgesehene enge Zusammenarbeit sowie der erforderliche Informationsaustausch mit der in Umsetzung des Art. 8 Abs. 1 NIS-2-RL innerstaatlich für die NIS-Agenden zuständigen Behörde bzw. den zuständigen Behörden, etwa betreffend Risiken, Bedrohungen und Vorfälle, die kritische Einrichtungen beeinträchtigen, abgebildet werden. Nur auf diese Weise ist es möglich, das Ziel der RKE-RL, konkret die Resilienz bzw. physische Widerstandsfähigkeit kritischer Einrichtungen zu stärken und ihre Schwachstellen zu verringern, zu erreichen.
In Abs. 1 soll demnach normiert werden, dass der Bundesminister für Inneres als Verantwortlicher gemäß Art. 4 Z 7 in Verbindung mit Art. 24 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 74 vom 04.03.2021 S. 35, (im Folgenden: DSGVO) ermächtigt ist, die erforderlichen Erreichbarkeits- (zB Telefonnummer, Mailadresse, Anschrift) und Identifikationsdaten (zB Namen, Geschlecht, Geburtsdatum, Rechtsform, Firma, Firmenbuchnummer, vertretungsbefugte Organe) bescheidmäßig ermittelter kritischer Einrichtungen (vgl. dazu die Begriffsbestimmung in § 3 Z 11, wonach als „Einrichtung“ nicht nur natürliche sondern etwa auch juristische Personen gelten) samt dem Sektor und Teilsektor, in dem diese ihren wesentlichen Dienst erbringen, die von diesen kritischen Einrichtungen erbrachten wesentlichen Dienste, die Standorte und Versorgungsgebiete kritischer Infrastrukturen sowie Kontaktdaten der namhaft gemachten zentralen Kontaktstellen sowie von Ansprechpersonen zu verarbeiten (Z 1).
Zudem ist es für die ordnungsgemäße Erfüllung der im Rahmen dieses Bundesgesetzes übertragenen Aufgaben notwendig, Daten zu Cybersicherheitsrisiken (zum Begriff „Cybersicherheit“ vgl. auch Art. 6 Z 3 NIS-2-RL), Cyberbedrohungen, Beinahe-Cybersicherheitsvorfällen, Cybersicherheitsvorfällen, aber vor allem auch zu nicht cyberbezogenen Risiken, Bedrohungen, Beinahe-Sicherheitsvorfällen und Sicherheitsvorfällen, die kritische Einrichtungen betreffen, zu verarbeiten und soll zu diesem Zweck eine eindeutige und ausreichende Rechtsgrundlage geschaffen werden (Z 2). Intention dieser Regelung ist es auch, den in der RKE-RL vorgesehenen erforderlichen umfassenden Informationsaustausch und dadurch die intensive Zusammenarbeit mit den NIS-Behörden sicherzustellen (siehe dazu auch die Übermittlungsermächtigung gemäß Abs. 2 Z 3).
Zur effektiven und effizienten Aufgabenwahrnehmung nach diesem Bundesgesetz ist es überdies erforderlich, Daten zu den durchgeführten Risikoanalysen und getroffenen Resilienzmaßnahmen sowie vorgenommenen Meldungen kritischer Einrichtungen, aber auch den angeordneten bzw. getroffenen Aufsichts- und Durchsetzungsmaßnahmen zu verarbeiten (Z 3). Ziel dieser Datenverarbeitungsermächtigung ist es, die im gegenständlichen Bundesgesetz vorgesehenen Maßnahmen, die sowohl präventiver als auch reaktiver Natur sind, effektiv und erfolgreich durchführen zu können.
Eine wesentliche Einschränkung der von der Ermächtigung umfassten Datenarten ergibt sich aus dem Zweck der Verarbeitung: Klargestellt wird, dass für eine Verarbeitung nur jene personenbezogenen Daten in Betracht kommen, die vom Bundesminister für Inneres für die Aufgabenerfüllung (zB zur Durchführung von Aufsichtsmaßnahmen, aber auch für unionsrechtlich vorgeschriebene Datenübermittlungen insbesondere an die Europäische Kommission) unabdingbar sind.
In Abs. 2 bis 4 sollen die Übermittlungsempfänger der gemäß Abs. 1 verarbeiteten Daten ausgewiesen werden.
In Abs. 2 ist vorgesehen, dass Übermittlungen einerseits an Sicherheitsbehörden für Zwecke der Sicherheitspolizei und Strafrechtspflege (Z 1) sowie an Staatsanwaltschaften und ordentliche Gerichte für Zwecke der Strafrechtspflege (Z 2) zulässig sind. Durch die Übermittlungsermächtigung an Sicherheitsbehörden „zur Wahrnehmung der Aufgaben nach diesem Bundesgesetz“ (Z 1) soll insbesondere sichergestellt werden, dass den Landespolizeidirektionen, die gemäß dem vorgeschlagenen § 4 Abs. 3 mit der Durchführung einzelner Aufgaben nach diesem Bundesgesetz betraut werden können, auch die zur Aufgabenwahrnehmung erforderlichen Daten zur Verfügung gestellt werden können. Die Verarbeitung der Daten durch die Landespolizeidirektionen soll demnach mit Blick auf die Regelung in § 4 Abs. 3 im gesetzlichen Auftrag des Bundesministers für Inneres (vgl. Art. 4 Z 8 DSGVO) erfolgen. Andererseits soll durch die Ermächtigung in Z 3 gewährleistet werden, dass eine Datenübermittlung auch an sonstige inländische Behörden zulässig sein soll, jedoch ebenfalls nur insoweit, als dies eine wesentliche Voraussetzung zur Wahrnehmung einer ihnen gesetzlich übertragenen Aufgabe darstellt. Die diesbezügliche Einschränkung bzw. Konkretisierung ergibt sich demnach wieder aus dem Zweck der Verarbeitung („wesentliche Voraussetzung zur Wahrnehmung der ihnen gesetzlich übertragenen Aufgaben“) und ergeben sich die gesetzlichen Aufgaben (und damit auch die Datenarten) wiederum aus den jeweiligen zur Anwendung gelangenden Materiengesetzen. Durch diese Regelung soll auch die in Art. 9 Abs. 5 RKE-RL vorgesehene Zusammenarbeit mit anderen nationalen Behörden, insbesondere denjenigen, „die für den Katastrophenschutz, die Strafverfolgung und den Schutz personenbezogener Daten zuständig“ sind, sichergestellt werden und soll die Möglichkeit einer Übermittlung an jene Behörden, die gemäß Art. 8 Abs. 1 der NIS-2-RL als zuständige Behörden benannt wurden, bestehen. Zudem soll eine Übermittlungsermächtigung an die in Umsetzung des Art. 10 Abs. 1 NIS-2-RL benannten oder eingerichteten Computer-Notfallteams (CSIRTs) geschaffen werden.
Vor dem Hintergrund, dass der Begriff der „Übermittlung“ technologieneutral ist (vgl. auch ErwGr 15 zur DSGVO) und in der vorgeschlagenen Regelung nicht vorgesehen ist, in welcher Form die Übermittlung der Daten erfolgen soll, sollen Datenübermittlungen auch in Form der Einräumung und Inanspruchnahme einer Abfrageberechtigung stattfinden können (vgl. in diesem Zusammenhang auch § 22b Abs. 4 des Passgesetzes 1992, BGBl. Nr. 839/1992, wonach die „Einräumung einer Möglichkeit zum automatisierten Abruf der personenbezogenen Daten“ als eine mögliche Form der Übermittlung normiert ist).
Übermittlungsermächtigungen von Daten aus dem sicherheitspolizeilichen Bereich (zB hinsichtlich des „strafrechtsakzessorischen“ Schutzes kritischer Infrastruktur) ergeben sich hingegen unmittelbar aus den Regelungen im SPG bzw. sind diese im SNG (vgl. etwa § 53a Abs. 1a iVm Abs. 5a SPG betreffend Daten aus der SKI-Datenbank bzw. § 12 Abs. 1 iVm Abs. 4 SNG betreffend Daten aus der SNG-Analyseanwendung) ausreichend abgebildet.
Zum Zwecke der Gewährleistung der grenzüberschreitenden Zusammenarbeit soll in Abs. 3 vorgesehen werden, dass der Bundesminister für Inneres zudem ermächtigt ist, die gemäß Abs. 1 verarbeiteten Daten an die Europäische Kommission, andere Mitgliedstaaten, die Gruppe für die Resilienz kritischer Einrichtungen (vgl. Art. 19 RKE-RL) sowie Drittstaaten (vgl. damit im Zusammenhang auch Art. 44 DSGVO) zu übermitteln. Diese Ermächtigung soll jedoch nur insoweit bestehen, als dies zur Erfüllung einer in der RKE-RL ausdrücklich vorgesehenen Informationsverpflichtung erforderlich ist. Die Verpflichtung ergibt sich demnach aus zwingenden unionsrechtlichen Vorgaben (vgl. in diesem Zusammenhang etwa Art. 5 Abs. 2 und 4, Art. 7 Abs. 2, Art. 9 Abs. 3, Art. 11, Art. 15 Abs. 1 letzter Satz und Abs. 3, Art. 17 Abs. 2, Art. 18 Abs. 3 und Abs. 4 Unterabsatz 2 und 4 und Art. 18 Abs. 10 RKE-RL). In dieser Regelung findet sich zudem eine entsprechende Ermächtigung zur (Weiter-)Verarbeitung entsprechender von der Europäischen Kommission, anderen Mitgliedstaaten sowie Drittstaaten übermittelten Daten durch den Bundesminister für Inneres.
In Abs. 4 soll die gesetzliche Grundlage für die Ermächtigung des Bundesministers für Inneres geschaffen werden, zum Zweck der Erfüllung der Aufgabe gemäß § 17 Abs. 5 sowie anlässlich freiwilliger Meldungen gemäß § 17 Abs. 6 (vgl. § 13 Abs. 2 Z 10) sachdienliche Informationen an die von einer Bedrohung, einem Beinahe-Sicherheitsvorfall oder einem Sicherheitsvorfall betroffenen kritischen Einrichtungen zu übermitteln (zu den Begriffsbestimmungen vgl. auch § 3). Intention dieser Regelung ist es ebenfalls, wirksam und rasch auf Bedrohungen, Beinahe-Sicherheitsvorfälle sowie Sicherheitsvorfälle reagieren zu können und somit ein hohes Resilienzniveau sicherzustellen, damit wesentliche Dienste dauerhaft bzw. ohne maßgebliche Unterbrechungen zur Verfügung gestellt werden können.
Auch nach Rechtskraft eines Bescheids gemäß § 11 Abs. 8, durch den die Einstufung einer Einrichtung als „kritisch“ aufgehoben wird, können Umstände eintreten, die die Heranziehung der gemäß den Abs. 1 bis 4 zu dieser Einrichtung verarbeiteten Daten erforderlich machen (zB für eine wirksame Reaktion auf Sicherheitsvorfälle aufbauend auf „Vorerfahrungen“). Es kann sich daher als schwierig erweisen, im Vorhinein zu beurteilen, zu welchem Zeitpunkt genau diese Daten nicht mehr erforderlich sein werden. Demnach soll unter Berücksichtigung des in der DSGVO vorgesehenen Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) sowie mit Blick auf den Verhältnismäßigkeitsgrundsatz (§ 1 Abs. 2 DSG) aber auch vor dem Hintergrund der Wichtigkeit der Aufrechterhaltung eines hohen Resilienzniveaus betreffend wesentliche Dienste in Abs. 5 vorgesehen werden, dass die gemäß den Abs. 1 bis 4 verarbeiteten Daten spätestens fünf Jahre nach (rechtskräftiger) Aufhebung des Bescheids gemäß § 11 Abs. 1 zu löschen sind. Aus der unmittelbaren Anwendbarkeit der DSGVO ergibt sich, dass bei Wegfall der Erforderlichkeit ohnedies eine unmittelbar geltende proaktive Löschungsverpflichtung besteht (vgl. Art. 17 Abs. 1 lit. a DSGVO).
Vor dem Hintergrund, dass die DSGVO von spezifischen Regelungen betreffend die Protokollierung Abstand nimmt, wird vorgeschlagen, in Abs. 6 eine Protokollierungsdauer von drei Jahren vorzusehen.
Gemäß Art. 21 Abs. 1 DSGVO hat der Betroffene das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung der ihn betreffenden personenbezogenen Daten Widerspruch zu erheben. Darüber hinaus hat der Betroffene gemäß Art. 18 Abs. 1 DSGVO das Recht, unter näher normierten Voraussetzungen die Einschränkung der Verarbeitung zu verlangen. Ein solches, dem Betroffenen durch die DSGVO in genereller Weise eingeräumtes Widerspruchsrecht sowie das Recht auf Einschränkung der Verarbeitung kann jedoch gemäß Art. 23 DSGVO zur Sicherstellung einer der in Abs. 1 lit. a bis j genannten Zwecke durch nationale Bestimmungen beschränkt werden, sofern eine solche Beschränkung notwendig und verhältnismäßig ist. Von einer solchen Beschränkung soll in Abs. 7 für sämtliche nach dem gegenständlichen Bundesgesetz verarbeiteten Daten Gebrauch gemacht werden.
Für einen geordneten Vollzug des gegenständlichen Bundesgesetzes und zur Sicherstellung eines hohen Resilienzniveaus bezüglich der umfassten wesentlichen Dienste ist für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit und die Erhaltung der Umwelt die Verarbeitung personenbezogener Daten kritischer Einrichtungen in dem gesetzlich vorgesehenen Maße unerlässlich und liegt in diesem Sinne immer ein überwiegendes schutzwürdiges öffentliches Interesse an der Datenverarbeitung vor. Es ist daher erforderlich und sachgerecht, den Ausschluss des Widerspruchsrechts gemäß Art. 21 DSGVO sowie des Rechts auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO für alle nach diesem Bundesgesetz verarbeiteten personenbezogenen Daten vorzusehen. Eine Einzelfallabwägung, wie sie in Art. 21 Abs. 1 DSGVO vorgesehen ist, hätte überdies zur Folge, dass im Falle eines Widerspruchs durch die betroffene kritische Einrichtung eine weitere Datenverarbeitung mit Ausnahme der Speicherung der Daten bis zum Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung nicht mehr vorgenommen werden dürfte, sofern die Betroffene die Einschränkung der Verarbeitung verlangt (Art. 18 Abs. 1 lit. d DSGVO). Dasselbe gilt für den Fall, dass die Betroffene die Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 lit. a oder lit. d DSGVO verlangt. Durch die Ausübung dieser Rechte könnte eine Betroffene demnach verhindern, dass sie betreffende personenbezogene Daten zur Erfüllung gesetzlicher Aufgaben (zB Aufsichtsmaßnahmen gegenüber kritischen Einrichtungen) – zumindest für die Dauer der Prüfung des Antrags – verarbeitet werden dürfen. Zur Aufrechterhaltung der öffentlichen Ordnung und Sicherheit als allgemeines öffentliches Interesse und zur Sicherstellung der mit der Verarbeitung personenbezogener Daten Betroffener verbundenen Kontroll-, Überwachungs- und Ordnungsfunktionen (siehe auch Art. 23 Abs. 1 lit. h DSGVO) ist die gesetzlich vorgesehene Verarbeitung der betreffenden Daten zur Erfüllung der der Behörde übertragenen Aufgaben jedoch – bis zu deren gesetzlich vorgesehenen Löschung – zu jedem Zeitpunkt erforderlich. Die Datenverarbeitung ist demnach – auch mit Blick auf die geopolitischen Entwicklungen sowie die aktuellen Bedrohungsszenarien – Grundvoraussetzung für die Aufrechterhaltung der gesamtstaatlichen Resilienz. Im Falle eines Widerspruchs nach Art. 21 DSGVO sowie bei einem Verlangen auf Einschränkung der Verarbeitung nach Art. 18 DSGVO und der – wenn auch nur vorübergehenden – Unzulässigkeit der Weiterverarbeitung wäre die Besorgung der Aufgaben nach diesem Bundesgesetz und ein geordneter, sparsamer und effizienter Vollzug sowie die Gewährleistung der physischen Sicherheit kritischer Einrichtungen nicht mehr möglich und würde diese Möglichkeit – etwa bei Einrichtungen, die die erforderlichen Resilienzmaßnahmen nicht ergriffen haben – auch eine erhebliche Missbrauchsgefahr mit sich bringen. Darüber hinaus liegt der Verarbeitung von bestimmten Daten eine unionsrechtliche Verpflichtung zugrunde. Der generelle Ausschluss der Rechte gemäß den Art. 18 und 21 DSGVO ist daher unerlässlich.
Ist die Verarbeitung unrechtmäßig bzw. benötigt der Verantwortliche die Daten nicht länger, sind die personenbezogenen Daten angesichts der strengen Zweckbindung ihrer Verarbeitung sowie des erhöhten Anspruchs an behördliche Register oder Dateisysteme, ausschließlich rechtmäßig verarbeitete personenbezogene Daten zu enthalten, umgehend zu löschen und soll es nicht möglich sein, dass die Betroffene lediglich die Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 lit. b und lit. c DSGVO verlangt.
Den für den Ausschluss des Widerspruchsrechts bzw. des Rechts auf Einschränkung der Verarbeitung einschlägigen Vorgaben des Art. 23 Abs. 2 DSGVO wird entsprechend Rechnung getragen. So ergeben sich aus den gesetzlichen Vorgaben zur Verarbeitung von personenbezogenen Daten nach diesem Bundesgesetz für den Ausschluss der Rechte gemäß den Art. 18 und 21 DSGVO insbesondere sowohl der Umfang der vorgenommenen Beschränkung und die Kategorien der betreffenden personenbezogenen Daten (siehe dazu die taxative Auflistung der Datenarten gemäß Abs. 1) als auch der für deren Verarbeitung Verantwortliche (vgl. Abs. 1), die Zwecke (vgl. etwa Abs. 2 bis 4) sowie die jeweiligen Speicherfristen (vgl. Abs. 5 und 6). Der Ausschluss des Rechts auf Widerspruch gegen die Verarbeitung von personenbezogenen Daten bezieht sich überdies selbstverständlich ausschließlich auf jene Daten, die in Übereinstimmung mit den gesetzlichen und unionsrechtlichen Vorgaben in rechtskonformer Weise verarbeitet werden. Den Betroffenen bleibt es zudem auch bei Ausschluss des Widerspruchsrechts sowie des Rechts auf Einschränkung der Verarbeitung unbenommen, hinsichtlich der Verarbeitung von sie betreffenden unrichtigen personenbezogenen Daten, unrechtmäßig verarbeiteten personenbezogenen Daten oder personenbezogenen Daten, deren Verarbeitung für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig ist, von ihrem Recht auf Berichtigung und Löschung gemäß den Art. 16 bis 17 DSGVO Gebrauch zu machen. Durch den Ausschluss der Rechte gemäß den Art. 18 und 21 DSGVO entsteht für die Betroffene daher auch kein Rechtsschutzdefizit. Als grundrechtsschützende Maßnahme und in Umsetzung des Art. 23 Abs. 2 lit. h DSGVO ist im letzten Satz vorgesehen, dass die Betroffenen in geeigneter Weise hierüber zu informieren sind. Ausdrücklich steht es der Behörde dabei frei, diese Information nicht an jede einzelne Betroffene individuell, sondern an „die Betroffenen“ in deren Gesamtheit zu richten. Die Information kann daher auch in allgemeiner Weise erteilt werden (zB auf der Homepage). Zudem soll auch die in Abs. 6 vorgesehene Protokollierungs- und Aufbewahrungspflicht insbesondere dazu dienen, Missbrauch sowie unrechtmäßige Zugänge zu bzw. unrechtmäßige Übermittlungen von personenbezogenen Daten hintanzuhalten.
Die Ausführungen lassen erkennen, dass das in der DSGVO vorgesehene Recht auf Widerspruch sowie das Recht auf Einschränkung der Verarbeitung in einem Spannungsverhältnis zur gesetzlich angeordneten Datenverarbeitung stehen. Die Bestimmung stellt demzufolge eine ausgewogene Abwägung zwischen den administrativen Interessen sowie dem Schutz der Betroffenen vor der Verarbeitung unrichtiger und unrechtmäßig verarbeiteter Daten dar und soll den unionsrechtskonformen Vollzug des gegenständlichen Gesetzes sowie die Funktionalität und die ordnungsgemäße Führung der vorgesehenen Datenverarbeitung gewährleisten.
Zu § 8 (Veröffentlichung von Sicherheitsvorfällen):
In Umsetzung von Art. 15 Abs. 4 letzter Satz RKE-RL, wonach die Mitgliedstaaten die Öffentlichkeit über Sicherheitsvorfälle zu informieren haben, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse gelegen ist, soll in dieser Bestimmung eine Ermächtigung des Bundesministers für Inneres vorgesehen werden, – nach verpflichtender vorheriger Anhörung der von einem Sicherheitsvorfall betroffenen kritischen Einrichtung – erforderliche personenbezogene Identifikations- und Erreichbarkeitsdaten der kritischen Einrichtung (zB Bezeichnung der betroffenen kritischen Einrichtung) sowie sonstige erforderliche Informationen, die mit der Meldung zu einem Sicherheitsvorfall in Zusammenhang stehen (zB mögliche Ursache, voraussichtliche Dauer, negative Auswirkungen) zu veröffentlichen (vgl. in diesem Zusammenhang auch Art. 23 Abs. 7 NIS-2-RL, der unter bestimmten Voraussetzungen eine Information der Öffentlichkeit über erhebliche Sicherheitsvorfälle vorsieht). Wesentlich ist, dass der Veröffentlichung eine Interessenabwägung voranzugehen hat und demnach die Veröffentlichung nach Abwägung der Auswirkungen auf die vom Sicherheitsvorfall betroffene kritische Einrichtung nur dann zulässig sein soll, sofern die Sensibilisierung der Öffentlichkeit mit Blick auf die Verhütung sowie Bewältigung von Sicherheitsvorfällen erforderlich ist. Eine anonymisierte Information über das Vorliegen eines Sicherheitsvorfalls würde regelmäßig dem Zweck der Veröffentlichung zuwiderlaufen, zumal für die Öffentlichkeit in der Regel auch ein wesentliches Interesse daran bestehen wird, welches Unternehmen vom Sicherheitsvorfall betroffen ist. Aus der unmittelbaren Anwendbarkeit der DSGVO ergibt sich insbesondere, dass die Veröffentlichung personenbezogener Daten selbstverständlich nur im unbedingt erforderlichen Ausmaß unter Beachtung der Grundsätze der Verhältnismäßigkeit und Datenminimierung erfolgen darf (vgl. etwa Art. 5 Abs. 1 lit. c DSGVO).
Vor dem Hintergrund, dass davon auszugehen ist, dass die mit einer Meldung zu einem Sicherheitsvorfall im Zusammenhang stehenden Daten auch „sensible“ Informationen enthalten können (zB im Hinblick auf Sicherheitsvorfälle bei Einrichtungen der öffentlichen Verwaltung oder etwa Geschäftsgeheimnisse privater Einrichtungen), soll die ausdrückliche Klarstellung erfolgen, dass die Veröffentlichung nur insoweit – dh. in jenem Ausmaß bzw. Umfang – erfolgen darf, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit oder für die nationale Sicherheit darstellt (vgl. in diesem Zusammenhang auch die in § 24 vorgesehene Einschränkung) und diese Veröffentlichung keine schutzwürdigen Interessen kritischer Einrichtungen (zB Sicherheitslücken, Betriebs- bzw. Geschäftsgeheimnisse) – unabhängig davon, ob diese vom Sicherheitsvorfall betroffen sind – beeinträchtigt.
Unter „nationale Sicherheit“ wird üblicherweise die innere und äußere Staatssicherheit (zB militärische Landesverteidigung, Schutz der verfassungsmäßigen Einrichtungen) verstanden und können darunter Angelegenheiten der Außen-, Sicherheits- und Verteidigungspolitik verstanden werden (vgl. in diesem Zusammenhang auch § 2 des Bundesgesetzes über die Errichtung des Nationalen Sicherheitsrates, BGBl. I Nr. 122/2001). Wenngleich die militärische Landesverteidigung als Teil der nationalen Sicherheit ohnehin mitumfasst ist, soll diese im Sinne der Rechtssicherheit ausdrückliche Erwähnung finden. Im Fall einer Gefährdung dieser Schutzgüter wären wohl (nach einer Einzelfallabwägung) lediglich allgemeine Informationen über das Vorliegen eines Sicherheitsvorfalls öffentlich bekannt zu machen (zB ohne konkrete Rückschlüsse auf allfällige Sicherheitsmängel etc.).
Vor dem Hintergrund, dass sowohl andere Bundesministerien als auch die Länder von Sicherheitsvorfällen betroffen sein können, soll im Sinne einer raschen Reaktionsfähigkeit sowie mit Blick auf die rasche Eindämmung allfälliger Folgen in Abs. 2 zudem eine Verpflichtung des Bundesministers für Inneres, die im jeweiligen Wirkungsbereich betroffenen Bundesministerien sowie die betroffenen Länder über das Vorliegen eines Sicherheitsvorfalls zu informieren, statuiert werden.
Zu § 9 (Strategie für die Resilienz kritischer Einrichtungen):
Mit dieser Bestimmung soll Art. 4 RKE-RL umgesetzt werden. Zur Gewährleistung eines umfassenden Ansatzes in Bezug auf die Resilienz kritischer Einrichtungen (vgl. auch ErwGr 13 zur RKE-RL) soll die Strategie für die Resilienz kritischer Einrichtungen die für ein hohes Resilienzniveau erforderlichen strategischen Ziele und politischen Maßnahmen festlegen, wobei nach Möglichkeit auf bereits bestehenden sektorbezogenen Strategien, Plänen oder sonstigen vergleichbaren Dokumenten aufgebaut werden sollte. Wesentlich ist, dass die Strategie im Sinne eines umfassenden Gefahrenansatzes einen Rahmen für die Koordinierung von cyberbezogenen Risiken, Cyberbedrohungen und Cybersicherheitsvorfällen im Sinne der NIS-2-RL und von physischen Risiken, Bedrohungen und Sicherheitsvorfällen im Sinne der RKE-RL, einschließlich der Wahrnehmung von Aufsichtsaufgaben, beinhalten soll.
Zur Erfüllung dieser unionsrechtlichen Vorgaben soll in Abs. 1 vorgesehen werden, dass der Bundesminister für Inneres verpflichtet ist, für die Bundesregierung eine derartige Strategie vorzubereiten und diese anlassbezogen, längstens jedoch alle vier Jahre, anzupassen, und soll den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen (zB Wirtschaftskammer Österreich, Industriellenvereinigung, Österreichische Apothekerkammer, Österreichische Ärztekammer) Gelegenheit gegeben werden, sich vorab dazu zu äußern (zB schriftlich). Wie in der RKE-RL vorgesehen soll ein erstmaliger Beschluss der Bundesregierung spätestens bis zum 17. Jänner 2026 erfolgen (zur Relevanz der Strategie im Rahmen der Ermittlung kritischer Einrichtungen vgl. die Erläuterungen zu § 11 Abs. 1). Im Sinne der Transparenz wird es zudem grundsätzlich angezeigt sein, die von der Bundesregierung beschlossene Strategie zu veröffentlichen (etwa auf der Homepage des Bundesministeriums für Inneres) und entspricht diese Vorgangsweise auch der geübten Praxis.
Entsprechend den Vorgaben des Art. 4 Abs. 2 RKE-RL sollen in Abs. 2 folgende Mindestinhalte der Strategie aufgelistet werden:
- strategische Ziele (samt etwaiger Prioritäten) zur Verbesserung der Resilienz kritischer Einrichtungen, insbesondere unter Berücksichtigung grenzüberschreitender und sektorübergreifender, aber etwa auch sonstiger gegenseitiger Abhängigkeiten (Z 1)
- einen Steuerungsrahmen zur Verwirklichung der Ziele gemäß Z 1, insbesondere eine Beschreibung der Aufgaben der an der Umsetzung der Strategie beteiligten Akteure, wie etwa der jeweiligen Behörden (zB von den Sektoren betroffene Bundesminister oder Behörden, die gemäß Art. 46 der Verordnung [EU] 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen [EG] Nr. 1060/2009, [EU] Nr. 648/2012, [EU] Nr. 600/2014, [EU] Nr. 909/2014 und [EU] Nr. 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1, national als zuständige Behörden benannt oder eingerichtet wurden), kritischer Einrichtungen oder sonstiger Akteure (zB Interessenvertretungen; Z 2)
- eine Beschreibung der Maßnahmen zur Verbesserung der Resilienz kritischer Einrichtungen samt Beschreibung der Risikoanalyse gemäß § 10, wobei die konkreten Maßnahmen auf Grundlage der strategischen Ziele gemäß Z 1 zu beschreiben sein werden (Z 3)
- eine Beschreibung des behördlichen Verfahrens zur Ermittlung kritischer Einrichtungen gemäß § 11, dh. insbesondere wesentlicher Verfahrensschritte des verwaltungsbehördlichen Ermittlungsverfahrens, die der Feststellung des entscheidungsrelevanten Sachverhalts dienen (zB sofern zweckmäßig Befassung relevanter Interessenvertretungen sowie der jeweiligen in Betracht kommenden Einrichtungen im Sinne des Grundsatzes des Parteiengehörs; Z 4)
- eine Beschreibung der geplanten Unterstützungs- und Vorsorgemaßnahmen gemäß § 13 (zB Umfang sowie Verfahren) samt Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor und dem privaten Sektor sowie öffentlichen und privaten Einrichtungen (Z 5)
- eine Auflistung der betroffenen Behörden und insbesondere der an der Umsetzung der Strategie beteiligten Bundesministerien, Länder sowie Interessenvertretungen (für Beispiele siehe die Erläuterungen zu Abs. 1; Z 6)
- einen Ablauf bzw. politischen Rahmen für die Koordinierung zwischen den Bereichen der Resilienz kritischer Einrichtungen sowie Netz- und Informationssystemsicherheit zum Zweck des Informationsaustausches über Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle und Cybersicherheitsvorfälle sowie über nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle und für die Wahrnehmung der Aufsichtsaufgaben (zur erforderlichen Zusammenarbeit mit der NIS-Behörde vgl. auch die Erläuterungen zum Allgemeinen Teil; Z 7)
- eine Beschreibung bereits bestehender nationaler Maßnahmen, die darauf abzielen, die Umsetzung der Verpflichtungen gemäß den §§ 14 bis 17 durch kleine und mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, die gemäß § 11 als kritische Einrichtungen eingestuft wurden, zu erleichtern (Z 8).
Als Element einer starken Einbindung des Nationalrats soll in Abs. 3 zudem vorgesehen werden, dass der Bundesminister für Inneres die gemäß Abs. 1 beschlossene Strategie innerhalb von drei Monaten ab Beschlussfassung an den Nationalrat zu übermitteln hat.
Zu § 10 (Risikoanalyse durch den Bundesminister für Inneres):
Ein maßgeblicher Inhalt einer Risikoanalyse besteht in der korrekten und verständlichen Beschreibung von identifizierten Risiken sowie der Ermittlung von Eintrittswahrscheinlichkeit und Darstellung der Auswirkungen anhand von Risikokriterien. Die Risikoanalyse beschäftigt sich vor allem mit der Fragestellung, welche Gefahren welche Auswirkungen auf den Betrieb und die Leistungserbringung kritischer Infrastrukturen haben oder haben könnten (vgl. auch § 3 Z 7 und 8). Strategisches Ziel der RKE-RL ist die Erhöhung der Resilienz kritischer Einrichtungen (vgl. dazu auch oben). Um dieses Ziel erreichen zu können, ist die Identifikation der Vulnerabilität kritischer Einrichtungen gegenüber Risiken maßgeblich. Nur auf diese Weise ist es möglich, Schwachstellen zu erkennen und zielgerichtete Maßnahmen zur Steigerung der Resilienz zu ergreifen.
Diesen Überlegungen zufolge soll in Umsetzung des Art. 5 RKE-RL dem Bundesminister für Inneres als zuständige Behörde gemäß Abs. 1 die Aufgabe zukommen, auf Grundlage der seitens der Europäischen Kommission – und allenfalls weiterer aufgrund einer Verordnung des Bundesministers für Inneres – festgelegten wesentlichen Dienste gemäß § 3 Z 6 spätestens bis zum 17. Jänner 2026 und im Anschluss anlassbezogen, längstens jedoch alle vier Jahre eine Risikoanalyse (vgl. § 3 Z 8) durchzuführen und soll den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit gegeben werden, sich vorab dazu zu äußern (vgl. dazu auch die Regelung in § 9 Abs. 1). Im Rahmen dieser Risikoanalyse soll zudem eine Aufschlüsselung nach den im Anhang der RKE-RL gelisteten Sektoren und Teilsektoren erfolgen, was bedeutet, dass sowohl eine gesamtstaatliche Bewertung als auch eine Bewertung auf „Branchenebene“ durchgeführt werden soll.
Mit Blick auf den der RKE-RL zugrunde liegenden „All-Gefahren-Ansatz“ ist es wesentlich, dass diese Bewertung sämtliche Risiken, die sich auf die Erbringung wesentlicher Dienste auswirken könnten, zu berücksichtigen hat, unabhängig davon, ob sie auf höhere Gewalt oder den Menschen zurückzuführen sind. Zu diesen Risiken können etwa Unfälle, Naturkatastrophen, Pandemien sowie hybride und andere feindliche Bedrohungen, einschließlich terroristischer Straftaten, gezählt werden (vgl. auch ErwGr 15 zur RKE-RL sowie die umfassende Definition des Begriffs „Risiko“ in § 3 Z 7).
Diese Risikoanalyse soll wiederum seitens der Behörde bei der Ermittlung kritischer Einrichtungen gemäß § 11 (vgl. dazu auch die Erläuterungen zu § 11 Abs. 1) sowie bei der Unterstützung kritischer Einrichtungen gemäß § 13 im Rahmen des Ergreifens von Resilienzmaßnahmen Beachtung finden.
Gemäß Abs. 2 sollen bei Durchführung der Risikoanalyse andere allgemeine sowie sektorspezifische Risikoanalysen aufgrund einschlägiger Rechtsakte der Union zu berücksichtigen sein und ist eine entsprechende demonstrative Auflistung vorgesehen. Darüber hinaus sollen jedoch auch sonstige für die Durchführung der Risikoanalyse maßgebliche Informationen herangezogen werden (arg: „insbesondere“).
Zudem ist – in Umsetzung der Regelung in Art. 5 Abs. 2 RKE-RL – vorgesehen, dass auch die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit zwischen den im Anhang genannten Sektoren, einschließlich dem Ausmaß der Abhängigkeit dieser Sektoren gegenüber in anderen Mitgliedstaaten und Drittstaaten ansässigen Einrichtungen ergeben, sowie die Auswirkungen, die ein in einem Sektor auftretender Sicherheitsvorfall (vgl. dazu § 3 Z 3) auf andere Sektoren haben kann, einbezogen werden (Z 3). Schließlich sollen – sofern vorhanden – sämtliche gemäß § 17 gemeldeten Informationen über Sicherheitsvorfälle in die Analyse aufgenommen werden (Z 4).
Die relevanten Elemente der Risikoanalyse sollen den kritischen Einrichtungen gemäß Abs. 3 in anonymisierter Form zur Verfügung gestellt werden. Wesentlich ist demnach, dass keine Zuweisung allfälliger personenbezogener Daten zu einer identifizierten oder identifizierbaren Einrichtung erfolgen kann.
Zu § 11 (Ermittlung kritischer Einrichtungen):
Die Maßnahmen der Mitgliedstaaten zur Ermittlung kritischer Einrichtungen und zur Gewährleistung ihrer Resilienz sollen einem risikobasierten Ansatz folgen, bei dem diejenigen Einrichtungen im Fokus stehen, die für die Erfüllung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten am bedeutendsten sind (vgl. auch ErwGr 15 zur RKE-RL). Um sicherzustellen, dass alle entsprechenden Einrichtungen auch tatsächlich den Resilienzanforderungen der RKE-RL unterliegen, wurden auf unionsrechtlicher Ebene harmonisierte Vorschriften festgeschrieben, die einerseits eine einheitliche Ermittlung kritischer Einrichtungen in der gesamten Union sicherstellen und es andererseits ermöglichen, den Aufgaben und der Bedeutung dieser Einrichtungen auf nationaler Ebene angemessen Rechnung zu tragen (vgl. ErwGr 16 zur RKE-RL).
Mit gegenständlicher Bestimmung soll Art. 6 RKE-RL umgesetzt werden. Gemäß Abs. 1 soll der Bundesminister für Inneres verpflichtet sein, sämtliche kritischen Einrichtungen für jede der im Anhang der RKE-RL angeführten Kategorie von Einrichtungen der gelisteten Sektoren und Teilsektoren mit Bescheid als kritisch einzustufen. Wesentlich ist, dass die bescheidmäßige Einstufung unter Heranziehung der gemäß § 9 erstellten Strategie sowie der gemäß § 10 durchgeführten Risikoanalyse erfolgen soll (vgl. dazu die vorgeschlagenen Regelungen in § 9 Abs. 1 sowie § 10 Abs. 1 sowie die unionsrechtlichen Verpflichtungen gemäß Art. 4 Abs. 1 RKE-RL bzw. Art. 5 Abs. 1 RKE-RL). Darauf basierend soll die RKE-Behörde in einem weiteren Schritt die Einstufung – wie es sich aus Art. 6 Abs. 1 RKE-RL ergibt – vorzunehmen haben, wobei Einrichtungen an der Feststellung des für die Einstufung als kritische Einrichtung maßgeblichen Sachverhalts mitzuwirken haben sollen (vgl. in diesem Zusammenhang die Regelung in § 11 Abs. 9, wonach kritische Einrichtungen auch verpflichtet sein sollen, Änderungen des für die Einstufung maßgeblichen Sachverhalts unverzüglich bekanntzugeben). Damit soll im Sinne der Rechtsprechung des VwGH zu § 39 Abs. 2 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991, klargestellt werden, dass mit dem Grundsatz der Amtswegigkeit des Verwaltungsverfahrens die Pflicht der Parteien, an der Ermittlung des Sachverhalts mitzuwirken, korrespondiert, was gerade dort von Bedeutung ist, wo ein Sachverhalt nur im Zusammenwirken mit der Partei geklärt werden kann, weil die Behörde außerstande ist, sich die Kenntnis von ausschließlich in der Sphäre der Partei liegenden Umständen von Amts wegen zu beschaffen (vgl. VwGH 18.07.2023, Ra 2022/10/0093). Die Anforderungen an die Mitwirkungspflicht in amtswegig eingeleiteten Verfahren sind zwar grundsätzlich weniger streng als jene im Antragsverfahren (vgl. VwGH 09.04.2013, 2011/04/0001), jedoch werden auch im Verfahren zur Ermittlung kritischer Einrichtungen regelmäßig Informationen seitens der Einrichtungen benötigt werden, damit eine tatsachenbasierte Einstufung erfolgen kann.
Um den Aufgaben und der Bedeutung der jeweiligen Einrichtungen Rechnung zu tragen, soll es für die Einstufung erforderlich sein, dass seitens der in Betracht kommenden Einrichtung bestimmte Kriterien kumulativ erfüllt werden. Demnach ist vorgesehen, dass eine Einrichtung zunächst nur dann als „kritisch“ einzustufen ist, sofern sie in Österreich tätig ist (Z 1), was bedeutet, dass sie Tätigkeiten ausübt, die für den betreffenden wesentlichen Dienst bzw. für die betreffenden wesentlichen Dienste erforderlich sind (vgl. ErwGr 16 zur RKE-RL).
Zudem soll nur dann eine Ermittlung möglich sein, wenn sich deren kritische Infrastruktur (zB Umspannwerk, Pipeline, Raffinerie) im Inland befindet (Z 2). Auch wenn in vielen Fällen der Ort der Niederlassung der kritischen Einrichtung derselbe wie jener sein wird, an dem die Dienstleistungen erbracht werden oder an dem sich die kritische Infrastruktur befindet, ist es wesentlich, dass der Ort der Niederlassung als solcher nicht entscheidend sein soll. Demnach ist es nicht zwingend erforderlich, dass auch eine Niederlassung in Österreich besteht, sondern ist lediglich ausschlaggebend, dass tatsächlich Dienstleistungen in Österreich erbracht werden und auch die kritische Infrastruktur im Inland vorhanden ist.
Die zu ermittelnde Einrichtung hat zudem einen wesentlichen Dienst oder mehrere wesentliche Dienste (vgl. dazu die Definition in § 3 Z 6) zu erbringen (Z 3). Ob dieser wesentliche Dienst (zB Elektrizitätsversorgung im Sektor „Energie“, Erbringung von Gesundheitsdienstleistungen im Sektor „Gesundheit“, Erbringung von Vertrauensdiensten im Sektor „digitale Infrastruktur“; vgl. dazu auch die Delegierte Verordnung [EU] 2023/2450), in Österreich erbracht wird, soll hingegen – im Gegensatz zu den in Z 1 und Z 2 gelisteten Voraussetzungen, die explizit auf das Inland abstellen – irrelevant sein. Damit soll der Intention, Einrichtungen zu schützen, die Tätigkeiten im Binnenmarkt erbringen, die insbesondere für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen von entscheidender Bedeutung sind, Rechnung getragen werden und die zunehmend verflochtene Unionswirtschaft Berücksichtigung finden.
Des Weiteren soll lediglich dann eine Einstufung als kritische Einrichtung erfolgen, wenn – aufgrund ihrer Bedeutung für die Daseinsvorsorge – überhaupt ein Sicherheitsvorfall bei der Erbringung des jeweiligen wesentlichen Dienstes (Z 3) eintreten kann (Z 4).
Liegen die in Abs. 1 festgelegten Voraussetzungen nicht oder (auch nur) teilweise nicht vor, soll keine Verpflichtung (und auch keine Möglichkeit) zur Ermittlung kritischer Einrichtungen in dem entsprechenden Sektor oder Teilsektor bestehen (siehe auch ErwGr 16 zur RKE-RL). Im Hinblick darauf, dass etwa der in Anhang II der NIS-2-RL genannte Sektor „Forschung“ im Anhang zur RKE-RL nicht aufgelistet ist, können Einrichtungen in diesem Sektor (zB Einrichtungen im Bildungs-, Hochschul- oder Forschungsbereich) nicht als kritische Einrichtungen ermittelt werden.
Zur Bestimmung des Ausmaßes einer durch einen Sicherheitsvorfall verursachten Störung wurden in Art. 7 Abs. 1 RKE-RL Kriterien festgelegt. Um Anstrengungen der Mitgliedstaaten betreffend die Ermittlung der Betreiber wesentlicher Dienste im Sinne der NIS-1-RL und die diesbezüglich gewonnenen Erfahrungen zu nutzen, erfolgte dabei eine enge Anlehnung an jene in der NIS-1-RL gelisteten Parameter (vgl. auch ErwGr 18 zur RKE-RL).
Im Hinblick auf die Beurteilung, ob gemäß Abs. 1 Z 4 ein Sicherheitsvorfall bei der Erbringung der wesentlichen Dienste eintreten kann, sollen in Umsetzung der in Art. 7 RKE-RL vorgesehenen Regelung die in Abs. 2 taxativ gelisteten Parameter zu berücksichtigen sein. Dazu zählen die Zahl der Nutzer des von der jeweiligen Einrichtung erbrachten wesentlichen Dienstes gemäß Abs. 1 Z 3 (Z 1) sowie das Ausmaß der Abhängigkeit anderer im Anhang der RKE-RL gelisteter Sektoren sowie Teilsektoren von dem von der Einrichtung erbrachten wesentlichen Dienst (Z 2). Vor dem Hintergrund, dass schwere Krisen, wie etwa die COVID-19-Pandemie, gezeigt haben, wie wichtig es ist, die Sicherheit von Lieferketten zu gewährleisten, und diese auch die negativen wirtschaftlichen und gesellschaftlichen Auswirkungen sowohl auf etliche Sektoren als auch auf grenzüberschreitender Ebene vor Augen geführt haben, ist es essenziell, dass im Rahmen der Bestimmung des Ausmaßes der Abhängigkeit anderer Sektoren und Teilsektoren von wesentlichen Diensten einer kritischen Einrichtung auch die Auswirkungen auf Lieferketten mitberücksichtigt werden (vgl. ErwGr 18 zur RKE-RL). Zudem sollen die möglichen Auswirkungen von Sicherheitsvorfällen im Sinne von Ausmaß und Dauer auf bestimmte taxativ genannte Rechtsgüter Berücksichtigung finden (Z 3) und soll auch der Marktanteil der jeweiligen Einrichtung auf dem Markt für wesentliche Dienste oder für den betreffenden wesentlichen Dienst in die Beurteilung miteinbezogen werden (Z 4). Vor dem Hintergrund, dass etwa auch die Wirtschaft, die Freizügigkeit und die Sicherheit der Unionsbürger vom ordnungsgemäßen Funktionieren der kritischen Infrastrukturen abhängen, sollen in diesem Zusammenhang auch potenzielle Bedrohungen durch ausländische Beteiligungen an kritischen Infrastrukturen in der Union anerkannt werden (vgl. ErwGr 19 zur RKE-RL). Demnach soll das von einem Sicherheitsvorfall potenziell betroffene geografische Gebiet, einschließlich etwaiger grenzüberschreitender Auswirkungen, Berücksichtigung finden und soll in diesem Zusammenhang auch auf allfällige Schwachstellen, die aus der Abgeschiedenheit bestimmter geografischer Gebiete, wie insbesondere Bergregionen oder sonstige isolierte Gebiete, resultieren, Bedacht genommen werden (Z 5). Des Weiteren ist vorgesehen, dass die Bedeutung der Einrichtung für die Aufrechterhaltung des wesentlichen Dienstes in die Beurteilung einbezogen werden soll, wobei die Verfügbarkeit alternativer Mittel für die Erbringung des jeweiligen wesentlichen Dienstes angemessen zu berücksichtigen sein wird (Z 6).
In diesem Zusammenhang ist zu beachten, dass eine Festlegung von (innerstaatlichen) Schwellenwerten (vgl. dazu auch Art. 7 Abs. 2 lit. c RKE-RL) lediglich zur Spezifizierung jener Einrichtungen möglich ist, die für die Daseinsvorsorge von einer solchen entscheidenden Bedeutung sind, sodass eine Störung bei der Erbringung des wesentlichen Dienstes das Ausmaß der Erheblichkeit im Sinne eines Sicherheitsvorfalls annehmen würde. Im Hinblick darauf, dass betreffend die Festlegung wesentlicher Dienste im Gegensatz zur NIS-1-RL für das RKE-Regime ein delegierter Rechtsakt der Europäischen Kommission erlassen wurde (siehe dazu oben sowie § 3 Z 6), ist hingegen eine Einschränkung bzw. eine Adaptierung wesentlicher Dienste etwa in Form von Schwellenwerten (vgl. die Regelungen in der Netz- und Informationssystemsicherheitsverordnung – NISV, BGBl. II Nr. 215/2019) nicht zulässig (sehr wohl aber eine Ausdehnung, vgl. ErwGr 41 zur RKE-RL).
Wesentlich ist, dass nach der Systematik des gegenständlichen Gesetzesentwurfs der Anwendungsbereich lediglich allgemein umschrieben ist und dieser durch die Festlegung von Schwellenwerten auf Grundlage der in Abs. 2 vorgeschlagenen Verordnungsermächtigung konkretisiert werden soll. Um eine umfassende und zeitgerechte Einbindung der betroffenen Sektoren sicherzustellen, ist mit Blick auf eine effiziente und kohärente Umsetzung der RKE-RL angedacht, diese Verordnung vor Erlassung einem Begutachtungsverfahren zu unterziehen. Auf diese Weise soll der breiten Öffentlichkeit jedenfalls die Möglichkeit zur Stellungnahme gegeben werden, um durch deren Mitwirkung zu sachgerechten Ergebnissen zu gelangen. Gleiches soll für die übrigen aufgrund dieses Bundesgesetzes zu erlassenden Verordnungen gelten.
Im Interesse der Wirksamkeit, Effizienz, Kohärenz und Rechtssicherheit (vgl. auch ErwGr 16 zur RKE-RL) soll gemäß Abs. 3 vorgesehen werden, dass kritische Einrichtungen im gemäß Abs. 1 zu erlassenden Bescheid sowohl über ihre Verpflichtung zur Bekanntgabe einer zentralen Kontaktstelle und einer Ansprechperson (Abs. 5), eines Zustellungsbevollmächtigten gemäß § 9 des Zustellgesetzes (ZustG), BGBl. Nr. 200/1982, (Abs. 6), eines verantwortlichen Beauftragten gemäß § 9 des Verwaltungsstrafgesetzes 1991 (VStG), BGBl. Nr. 52/1991 (Abs. 7) und von Änderungen des für die Einstufung maßgeblichen Sachverhalts (Abs. 9 zweiter Satz), zur Durchführung einer Risikoanalyse (§ 14) sowie zum Ergreifen von Resilienzmaßnahmen (§ 15) als auch zur Meldung von Sicherheitsvorfällen (§ 17) zu informieren sind. Zudem sollen sie darüber in Kenntnis zu setzen sein, dass eine Verpflichtung zur Mitteilung besteht, sofern die jeweilige kritische Einrichtung für oder in mindestens sechs Mitgliedstaaten wesentliche Dienste erbringt (§ 19 Abs. 1). Diese Information soll selbstverständlich auch den Zeitpunkt umfassen, ab dem die Verpflichtungen gemäß den §§ 14, 15, 17 und 19 Abs. 1 auf sie Anwendung finden (vgl. § 14 Abs. 1, § 15 Abs. 1, § 17 Abs. 1 sowie § 19 Abs. 1).
Mit der NIS-2-RL werden Einrichtungen im Sektor digitale Infrastruktur, die für eine Einstufung als kritische Einrichtungen im Sinne der RKE-RL in Frage kommen könnten, verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu beherrschen, sowie erhebliche Sicherheitsvorfälle und Cyberbedrohungen zu melden. Vor dem Hintergrund, dass Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, wird in der NIS-2-RL ebenfalls ein gefahrenübergreifender Ansatz angewandt, der sowohl die Resilienz von Netz- und Informationssystemen als auch die physischen Komponenten und das physische Umfeld dieser Systeme umfasst (vgl. auch ErwGr 20 zur RKE-RL). Da die in der NIS-2-RL diesbezüglich festgelegten Anforderungen mit Blick auf Inhalt und Umfang den entsprechenden Verpflichtungen aus der RKE-RL zumindest gleichwertig sind, sollen die in Abs. 5 bis 7 sowie den §§ 14, 15, 17 und 19 festgelegten Verpflichtungen aus dem RKE-Bereich für Einrichtungen im Sektor digitale Infrastruktur nicht gelten. Zudem ist die Resilienz von Einrichtungen in den Sektoren Bankwesen und Finanzmarktinfrastrukturen durch die in Rechtsvorschriften der Union enthaltenen umfassenden Anforderungen für Finanzunternehmen ebenfalls vollumfänglich abgedeckt (vgl. ErwGr 20 und 21 zur RKE-RL). Um Doppelarbeit und unnötigen Verwaltungsaufwand zu vermeiden, ist daher in Art. 8 RKE-RL eine entsprechende Ausnahmebestimmung für die in diesen Bereichen bzw. Sektoren tätigen kritischen Einrichtungen vorgesehen (vgl. auch die Erläuterungen zu § 18 Abs. 3). Durch die Regelung in Abs. 4 soll demnach sichergestellt werden, dass kritische Einrichtungen in den im Anhang der RKE-RL gelisteten Sektoren Bankwesen, Finanzmarktinfrastrukturen und digitale Infrastruktur gleichzeitig mit Bescheiderlassung auch darüber zu informieren sind, dass die Verpflichtungen gemäß Abs. 5 (Bekanntgabe einer zentralen Kontaktstelle sowie einer Ansprechperson), Abs. 6 (Namhaftmachung eines Zustellungsbevollmächtigten gemäß § 9 ZustG) und Abs. 7 (Namhaftmachung eines verantwortlichen Beauftragten gemäß § 9 VStG) sowie gemäß den §§ 14 (Risikoanalyse), 15 (Resilienzmaßnahmen), 17 (Meldepflicht bei Sicherheitsvorfällen) und 19 (allfällige Mitteilungspflicht sowie zusätzliche Verpflichtungen für kritische Einrichtungen von besonderer europäischer Bedeutung) auf sie keine Anwendung finden.
Um die Zusammenarbeit zu erleichtern und zur Sicherstellung einer schnellen Reaktionsfähigkeit, raschen Erreichbarkeit sowie funktionierenden Kommunikation zwischen dem Bundesminister für Inneres sowie den jeweiligen kritischen Einrichtungen sollen in Umsetzung der Regelung in Art. 13 Abs. 3 RKE-RL nach Abs. 5 kritische Einrichtungen dem Bundesminister für Inneres innerhalb von vier Wochen nach Rechtskraft des Ermittlungsbescheides eine zentrale Kontaktstelle (samt Erreichbarkeiten), beispielsweise ein Funktionspostfach, sowie mindestens eine Ansprechperson als direkte Kommunikationsschiene namhaft zu machen bzw. – sofern eine derartige „Stelle“ noch nicht besteht – einzurichten haben und sollen jegliche die zentrale Kontaktstelle oder die namhaft gemachte(n) Ansprechperson(en) betreffenden Änderungen ohne Aufschub, längstens jedoch binnen zwei Wochen bekanntzugeben sein. Durch die Option zur Nennung mehrerer Ansprechpersonen soll etwa Einrichtungen, die mehrere wesentliche Dienste erbringen, die Möglichkeit eröffnet werden, wahlweise entweder eine Ansprechperson für die gesamte Einrichtung oder eine Ansprechperson je „betriebenen“ wesentlichen Dienst zu benennen. Wesentlich ist, dass die Erreichbarkeit der zentralen Kontaktstelle während des Zeitraums, in dem die betreffende kritische Einrichtung ihre wesentlichen Dienste erbringt, gewährleistet ist. Über diese Verpflichtung soll ebenfalls im Bescheid gemäß Abs. 1 zu informieren sein.
Das ZustG regelt die physische und elektronische Zustellung von behördlichen und (verwaltungs-)gerichtlichen Dokumenten an deren Adressaten (Näheres vgl. Bumberger/Schmid, Praxiskommentar zum Zustellgesetz [2018] § 1 ZustG) und hat der Bundesgesetzgeber – aufgrund des Bedürfnisses nach Erlassung einheitlicher Vorschriften – die Bedarfskompetenz nach Art. 11 Abs. 2 B-VG durch Erlassung dieses Gesetzes in Anspruch genommen. Wird demnach keine (abweichende) materienspezifische Regelung vorgenommen, finden die Regelungen des ZustG (automatisch) Anwendung. Vor dem Hintergrund der Tatsache, dass eine Niederlassung im Inland nicht erforderlich sein soll, um als kritische Einrichtung eingestuft werden zu können (vgl. dazu die Erläuterungen zu Abs. 1), soll in Abs. 6 insofern eine materienspezifische Abweichung von § 10 Abs. 1 ZustG vorgenommen werden, als kritische Einrichtungen, die über keine Abgabestelle (vgl. § 2 Z 4 ZustG) im Inland verfügen, dem Bundesminister für Inneres verpflichtend einen Zustellungsbevollmächtigten gemäß § 9 ZustG namhaft zu machen haben. Eine derartige Abweichung ist zur richtlinienkonformen Umsetzung zwingend erforderlich (vgl. Art. 11 Abs. 2 zweiter Halbsatz B-VG), um sicherzustellen, dass auch gegenüber kritischen Einrichtungen ohne Abgabestelle im Inland eine wirksame Zustellung von behördlichen Dokumenten (zB des konstitutiven Ermittlungsbescheids) erfolgen kann. Durch den Verweis auf § 9 ZustG ist auch § 9 Abs. 2 letzter Satz ZustG anwendbar, wonach das Erfordernis des Hauptwohnsitzes im Inland nicht für Staatsangehörige von EWR-Vertragsstaaten gilt, falls Zustellungen durch Staatsverträge mit dem Vertragsstaat des Wohnsitzes des Zustellungsbevollmächtigten oder auf andere Weise sichergestellt sind.
Von seiner Bedarfskompetenz gemäß Art. 11 Abs. 2 B-VG hat der Bundesgesetzgeber auch durch die Erlassung des VStG Gebrauch gemacht. § 9 VStG regelt die verwaltungsstrafrechtliche Verantwortlichkeit bei Tatbegehung von juristischen Personen oder eingetragenen Personengesellschaften und wird statutarischen Vertretungsorganen die Möglichkeit zu einer Verantwortlichkeitsübertragung durch Bestellung sogenannter „verantwortlicher Beauftragter“ eingeräumt (vgl. Lewisch/Fister/Weilguni, Verwaltungsstrafgesetz [2023] § 9 Rz 1). In Anbetracht der Tatsache, dass auch jene Einrichtungen vom RKE-Regime umfasst sind, die – wie bereits oben erläutert – nicht zwangsläufig eine Niederlassung im Inland haben (vgl. auch die Erläuterungen zu Abs. 1), solche Einrichtungen jedoch nach den Vorgaben der RKE-RL ebenso zu beaufsichtigen sowie zu sanktionieren sind, ist es aufgrund der unionsrechtlichen Vorgaben (sowie im Hinblick darauf, dass sich eine diesbezügliche Zusammenarbeit insbesondere mit Drittstaaten als schwierig erweisen kann) unbedingt erforderlich, dass eine verpflichtende Benennung eines verantwortlichen Beauftragten erfolgt, um die strafrechtliche Verantwortlichkeit solcher Einrichtungen sicherzustellen. Als Abweichung zur Regelung in § 9 Abs. 2 VStG (wonach die Möglichkeit zur Bestellung verantwortlicher Beauftragter besteht) soll demzufolge in Abs. 7 bereits gesetzlich normiert werden, dass kritische Einrichtungen ohne Niederlassung im Inland dem Bundesminister für Inneres verpflichtend einen verantwortlichen Beauftragten gemäß § 9 VStG zu benennen haben, dem die Verantwortung für die Einhaltung der Verwaltungsvorschriften nach diesem Bundesgesetz obliegt. Betreffend die Voraussetzungen soll ein Verweis auf die Regelungen in § 9 VStG erfolgen, was bedeutet, dass der Verantwortliche insbesondere lediglich eine Person mit Hauptwohnsitz im Inland oder in einem EWR-Vertragsstaat sein kann, die strafrechtlich verfolgt werden kann, ihrer Bestellung nachweislich zugestimmt hat und der für den ihrer Verantwortung unterliegenden klar abzugrenzenden Bereich eine entsprechende Anordnungsbefugnis zugewiesen ist (vgl. § 9 Abs. 4 VStG). Da in § 9 Abs. 4 VStG auf den „Hauptwohnsitz“ (und nicht den „Sitz“) abgestellt wird, leitet der VwGH mit Blick auf die Gesetzesterminologie ab, dass nur die Bestellung natürlicher Personen als verantwortliche Beauftragte in Betracht kommen kann (vgl. VwGH 16.5.2011, 2009/17/0185).
In Abs. 8 soll eine gesetzliche Grundlage dafür geschaffen werden, den Bescheid gemäß Abs. 1 aufzuheben, sobald die erforderlichen Voraussetzungen nachträglich wegfallen. Wesentlich ist, dass ein solcher „Aufhebungsbescheid“ unverzüglich nach Kenntnisnahme des Wegfalls der für die Einstufung maßgeblichen Voraussetzungen durch den Bundesminister für Inneres zu erlassen sein soll, zumal kritische Einrichtungen aufgrund ihrer Verpflichtungen nach diesem Bundesgesetz insbesondere finanziellen sowie personellen Belastungen ausgesetzt sind. Ab dem Zeitpunkt der Zustellung dieses „Aufhebungsbescheids“ sollen die in diesem Bundesgesetz für kritische Einrichtungen vorgesehenen Verpflichtungen für die jeweilige Einrichtung keine Anwendung mehr finden.
Vor dem Hintergrund der in Art. 6 Abs. 3 RKE-RL vorgesehenen Regelung soll in Abs. 9 normiert werden, dass den Bundesminister für Inneres die Verpflichtung trifft, eine Liste mit den ermittelten kritischen Einrichtungen zu erstellen, diese in regelmäßigen Abständen, längstens jedoch alle vier Jahre zu überprüfen und allenfalls bei Bedarf anzupassen. Für diese Zwecke soll – auch mit Blick auf die im Rahmen des Einstufungsverfahrens vorgesehene Mitwirkungspflicht gemäß Abs. 1 – vorgesehen werden, dass (bereits) als kritisch eingestufte Einrichtungen verpflichtet sind, dem Bundesminister für Inneres für die Einstufung maßgebliche Änderungen (zB bei Erbringung weiterer wesentlicher Dienste) unverzüglich bekanntzugeben. Bei der vorgesehenen „unverzüglichen“ Bekanntgabe soll von einem Handeln „so bald als möglich“, „ohne unnötigen Aufschub“ bzw. „ohne schuldhaftes Zögern“ auszugehen sein (vgl. VwGH 10.10.2014, Ro 2014/02/0020).
Vor dem Hintergrund, dass als kritisch eingestufte Einrichtungen automatisch als wesentliche Einrichtungen im Sinne der NIS-2-RL gelten (vgl. dazu die Erläuterungen im Allgemeinen Teil sowie Art. 3 Abs. 1 lit. f NIS-2-RL) und mit Blick auf den unionsrechtlich vorgesehenen intensiven Informationsaustausch zwischen den für den RKE-Bereich sowie den NIS-2-Bereich innerstaatlich zuständigen Behörden soll in Umsetzung der Regelung in Art. 6 Abs. 4 RKE-RL der Bundesminister für Inneres gemäß Abs. 10 verpflichtet sein, jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS-2-RL als zuständige Behörden benannt oder eingerichtet wurden, innerhalb eines Monats nach bescheidmäßiger Einstufung die Identität der ermittelten kritischen Einrichtungen einschließlich des Sektors sowie des Teilsektors, in dem diese Einrichtungen ihren wesentlichen Dienst erbringen, bekanntzugeben. Daraus ergibt sich, dass in dieser Mitteilung gegebenenfalls auch anzugeben sein wird, dass es sich bei den betreffenden kritischen Einrichtungen um Einrichtungen in den im Anhang der RKE-RL gelisteten Sektoren Bankwesen, Finanzmarktinfrastrukturen und digitale Infrastruktur handelt, für die Abs. 5 bis 7 sowie die §§ 14, 15, 17 und 19 nicht gelten sollen (vgl. Art. 6 Abs. 4 zweiter Satz RKE-RL; siehe in diesem Zusammenhang auch die Erläuterungen zu Abs. 4 sowie § 18 Abs. 3).
Zu § 12 (Kritische Einrichtungen im Sektor öffentliche Verwaltung):
Gemäß der in Art. 2 Z 10 RKE-RL angeführten Begriffsdefinition in Zusammenschau mit dem Anhang zur RKE-RL gilt als eine „Einrichtung der öffentlichen Verwaltung“ eine als solche in einem Mitgliedstaat nach nationalem Recht anerkannte Einrichtung von Zentralregierungen, mit Ausnahme der Justiz, der Parlamente und der Zentralbanken. Diese Regelung definiert demnach „Einrichtungen der öffentlichen Verwaltung“ und legt kumulative Voraussetzungen fest, die erfüllt werden müssen, damit solche Einrichtungen unter das RKE-Regime fallen. Wesentlich ist, dass die Verpflichtung, Einrichtungen der öffentlichen Verwaltung in den Anwendungsbereich einzubeziehen, im Gegensatz zur NIS-2-RL, die – nach einer risikobasierten Bewertung – allenfalls auch Einrichtungen der öffentlichen Verwaltung auf „regionaler Ebene“ (verpflichtend) umfasst, auf Einrichtungen der öffentlichen Verwaltung der „Zentralregierung“ beschränkt ist (vgl. Sektor 9. „Öffentliche Verwaltung“ gemäß dem Anhang zur RKE-RL).
Durch die Regelung in Abs. 1 soll diese unionsrechtliche Bestimmung innerstaatlich abgebildet und sollen – abweichend von den im vorgeschlagenen § 11 Abs. 1 Z 1 bis 4 vorgesehenen Kriterien – im Sektor der öffentlichen Verwaltung Einrichtungen (nur) dann als kritisch ermittelt werden, wenn die in Z 1 bis 4 gelisteten kumulativen Voraussetzungen vorliegen. Die übrigen in § 11 vorgesehenen Bestimmungen sollen hingegen anwendbar sein (etwa die Verpflichtung zur Mitwirkung gemäß § 11 Abs. 1 vorletzter Satz). Wesentlich ist, dass der unionsrechtliche Terminus „Zentralregierung“ mit Blick auf den im B-VG abgebildeten österreichischen (föderalen) Staatsaufbau als die Ebene des „Bundes“ zu verstehen ist, weshalb eine diesbezügliche innerstaatliche Einschränkung erfolgen soll. Die „regionale“ (Länder) und „lokale Ebene“ (Gemeinden) soll hingegen – in Übereinstimmung mit der RKE-RL – nicht vom Sektor öffentliche Verwaltung umfasst sein.
Vorgesehen ist, dass eine Einrichtung (vgl. dazu die Begriffsbestimmung in § 3 Z 11, wonach als „Einrichtung“ nicht nur natürliche und juristische Personen sowie eingetragene Personengesellschaften, sondern auch Stellen der öffentlichen Verwaltung, zB Bundesminister, gelten sollen) im Sektor der öffentlichen Verwaltung nur dann als kritisch zu ermitteln ist, wenn sie zum Zweck eingerichtet (zB im Sinne von gesetzlich eingerichtet oder gegründet) wurde, im öffentlichen Interesse liegende Aufgaben nicht gewerblicher Art zu erfüllen (Z 1). Wesentlich ist, dass es sich bei dem Begriff „öffentliches Interesse“ um einen unbestimmten Rechtsbegriff handelt, dessen Auslegung nach höchstgerichtlicher Judikatur jedoch nicht dazu führen kann, dass unter diesen Begriff auch der Schutz von Einzelinteressen zu subsumieren wäre. Denn das öffentliche Interesse umfasst nur den Schutz bzw. das Schutzbedürfnis der Allgemeinheit (vgl dazu etwa auch VwSlg. 3316 F/1965).
Unter „im öffentlichen Interesse liegende Aufgaben“ ist ein gewisser Kernbereich von Agenden (etwa im Bereich der Daseinsvorsorge) zu verstehen, die im Interesse des Gemeinwohls vom Staat als Träger des Interesses der Gesamtheit besorgt wird. Im Vordergrund dabei steht nicht ausschließlich die Förderung von Einzelinteressen, sondern die Förderung von gemeinsamen Interessen der Gesamtbevölkerung oder von einzelnen Bevölkerungsgruppen. Eine diesbezügliche Orientierung bieten etwa Art. 14 und 106 Abs. 2 AEUV samt einschlägiger Judikatur des EuGH. Dass bei der Erfüllung derartiger öffentlicher Aufgaben wirtschaftliche Grundsätze zu beachten sind (vgl. etwa Art. 126b Abs. 5 B-VG), steht einer Ausrichtung auf das Allgemeininteresse nicht entgegen.
Eine weitere kumulative Voraussetzung nach Z 1 für die Qualifikation als Einrichtung der öffentlichen Verwaltung ist die Besorgung von „Aufgaben nicht gewerblicher Art“. Das Kriterium der „nicht gewerblichen Art“ soll den Begriff der im öffentlichen Interesse liegenden Aufgaben im Sinne dieser Bestimmung präzisieren und führt somit zu einer weiteren Begriffseinschränkung. Das Vorliegen von im öffentlichen Interesse liegenden Aufgaben nicht gewerblicher Art ist objektiv zu beurteilen und schließt der Begriff demnach nicht Aufgaben aus, die von Privatunternehmen erfüllt werden können. Das Vorliegen eines entwickelten Wettbewerbs und insbesondere der Umstand, dass die jeweilige Einrichtung auf dem betreffenden Markt im Wettbewerb steht, stellt (nur) ein Indiz dafür dar, dass es sich um eine Aufgabe gewerblicher Art handelt.
Hinsichtlich der Beurteilungskriterien der Erfüllung von „Aufgaben nicht gewerblicher oder gewerblicher Art“ wird auf eine Gesamtbetrachtung abzustellen sein, bei der insbesondere folgende Aspekte zu berücksichtigen sind: Die Tatsache, dass keine Gewinnerzielungsabsicht verfolgt wird, ist ein Indiz für das Vorliegen einer „Aufgabe nicht gewerblicher Art“, da eine „gewerbliche Tätigkeit“ grundsätzlich auf die Erwirtschaftung eines unternehmerischen Gewinns ausgerichtet ist. Der EuGH verneint jedoch das Vorliegen einer Gewinnerzielungsabsicht selbst dann, wenn die Tätigkeit zwar zu Gewinnen führen würde, das Erzielen des Gewinnes jedoch nicht den Hauptzweck der Einrichtung darstellt (EuGH 22.5.2003, C-18/07 [Korhonen] Rz 54). Unter einer Einrichtung, die Aufgaben „gewerblicher Art“ besorgt, ist hingegen eine Einrichtung zu verstehen, die in Konkurrenz mit privaten Wirtschaftstreibenden unter den gleichen Bedingungen (dh. unter Beachtung der gleichen wirtschaftlichen Regeln) wie diese am allgemeinen Wirtschaftsleben (Marktwettbewerb) teilnimmt und das wirtschaftliche Risiko (Insolvenzrisiko) ihres Handelns trägt. Das Fehlen wirtschaftlicher Risikotragung (Verlustausgleich durch die öffentliche Hand) oder das Tätigwerden nach anderen als Leistungs-, Effizienz- und Wirtschaftskriterien sind Indizien einer Aufgabenerfüllung nicht gewerblicher Art. Eine Teilnahme am regulären Wirtschaftsleben ist wohl dann nicht anzunehmen, wenn eine staatliche Kontrolle oder die Möglichkeit einer Einflussnahme auf die Unternehmensgebarung nach staatsspezifischen Kriterien erfolgen kann, gleichgültig auf welche Art diese verwirklicht wird.
Daraus ergibt sich für die Frage, ob die Kriterien nach Z 1 erfüllt werden, dass auf die Nähe der jeweiligen Einrichtung zum originär staatlichen Tätigkeitsbereich abzustellen ist. Weisen die Tätigkeiten der Einrichtungen demnach kommerziellen Charakter mit Gewinnerzielungsabsicht auf oder verfolgt die jeweilige Einrichtung private Einzelinteressen, soll sie von dieser Bestimmung nicht umfasst sein und demnach nicht unter den Sektor der öffentlichen Verwaltung fallen. Es wird daher im Ergebnis insbesondere zu beurteilen sein, ob die Einrichtung an den gleichen wirtschaftlichen Zielsetzungen ausgerichtet ist wie die Tätigkeit anderer Wirtschaftsteilnehmer.
Als weiteres (kumulatives) Kriterium soll die Einrichtung gemäß Z 2 – in Anlehnung an die österreichische Terminologie sowie die innerstaatliche verfassungsrechtliche Ausgestaltung – zur Erfüllung von Angelegenheiten der Bundesverwaltung berufen sein und zusätzlich alternativ entweder Rechtspersönlichkeit besitzen (zB Gesellschaften mit beschränkter Haftung, Anstalten öffentlichen Rechts) oder als Bundesbehörde eingerichtet worden sein (zB Bundesminister). Aufgrund der Anknüpfung an „Angelegenheiten der Bundesverwaltung“ soll klargestellt werden, dass – im Einklang mit der RKE-RL, die auf die „Zentralregierung“ abstellt (siehe dazu oben) – etwa die Ebene der Landesverwaltung nicht umfasst ist. Durch das (alternative) Abstellen auf die „Einrichtung als Bundesbehörden“ soll zudem bewusst eine Anlehnung an Art. 10 Abs. 1 Z 16 B-VG erfolgen und durch die Umschreibung der Organisationskompetenz (vgl auch Muzak, Bundes-Verfassungsrecht6 [2020] Art. 10 Rz 86) ein organisatorischer Behördenbegriff zum Ausdruck gebracht werden, zumal nach dem RKE-Regime die „Organisation“ an sich eine resiliente Umgebung bzw. (organisationsrechtliche) Rahmenbedingungen zu schaffen hat und diese Verpflichtung nicht an die Aufgabenwahrnehmung per se anknüpft. Daraus ergibt sich, dass ausschließlich organisatorisch als Bundesbehörde eingerichtete Behörden umfasst sein sollen; Landesbehörden, die Angelegenheiten der mittelbaren Bundesverwaltung vollziehen und demnach bloß funktional als Bundesbehörden fungieren, sollen hingegen ausgeschlossen sein.
Vor dem Hintergrund der Tatsache, dass die „regionale“ sowie „lokale“ Ebene im Sektor öffentliche Verwaltung nicht vom RKE-Regime umfasst sein soll (siehe oben), soll in Z 2 ausdrücklich klargestellt werden, dass die Gebietskörperschaften Länder und Gemeinden nicht unter die Begriffsdefinition fallen. Zudem soll eine ausdrückliche Ausnahme für Gemeindeverbände geschaffen werden.
Eine weitere Einschränkung ergibt sich durch Z 3. Demnach sollen nur jene Einrichtungen zu ermitteln sein, die – alternativ – der Aufsicht des Bundes unterstehen (erster Fall; darunter können allenfalls Selbstverwaltungskörper fallen, vgl. etwa Art. 120b Abs. 1 B-VG) oder die an die Weisungen eines obersten Organs des Bundes gebunden sind (zweiter Fall) oder die ein Leitungs- oder Aufsichtsorgan (wer darunter zu subsumieren ist vgl. die entsprechenden Materiengesetze, dazu zählen etwa Geschäftsführer oder Aufsichtsräte; vgl. zB § 70 des Aktiengesetzes – AktG, BGBl. Nr. 98/1965; § 15 des GmbH-Gesetzes – GmbHG, RGBl. Nr. 58/1906) haben, das mehrheitlich aus Mitgliedern besteht, die von Bundesbehörden oder von anderen auf Bundesebene eingerichteten Körperschaften des öffentlichen Rechts eingesetzt worden sind (dritter Fall) oder die überwiegend im Eigentum des Bundes stehen (vierter Fall), wobei bei letzter Variante hinsichtlich der Terminologie mit Blick auf eine kongruente Ausgestaltung eine Anknüpfung an die verfassungsrechtlich vorgesehenen parlamentarischen Kontrollrechte (vgl. Art. 52 Abs. 2 B-VG) bzw. an die Rechnungshofkontrolle (vgl. Art. 126b Abs. 2 B-VG) erfolgte. Vor dem Hintergrund der Regelung in Art. 19 B-VG, wonach oberste Organe der Vollziehung sowohl keinem anderen Organ gegenüber weisungsgebunden sind (vgl. VfSlg. 9536/1982; vgl. auch VfSlg. 6885/1972) als auch keine sachlich in Betracht kommende Oberbehörde in Frage kommt (vgl. VfSlg. 3506/1959, 4259/1962), soll – aufgrund innerstaatlicher Besonderheiten und im Sinne einer unionsrechtskonformen Umsetzung – zudem vorgesehen werden, dass auch dann eine bescheidmäßige Ermittlung erfolgen kann, sofern die Einrichtung ein – zu den obersten Organen des Bundes zählendes – Mitglied der Bundesregierung (Art. 69 B-VG) ist (letzter Fall). Vor dem Hintergrund, dass der Bundespräsident ex constitutione kein Mitglied der Bundesregierung darstellt, soll dieser auch nicht vom Anwendungsbereich umfasst sein.
Abschließend soll in Z 4 normiert werden, dass lediglich jene Einrichtungen ermittelt werden sollen, die ermächtigt sind, im Rahmen ihrer gesetzlich übertragenen Aufgaben in Vollziehung von Unionsrecht im eigenen Namen Bescheide mit Auswirkungen auf den Binnenmarkt bzw. die Grundfreiheiten zu erlassen. Generelle Rechtsakte (Verordnungen) hingegen sollen – in Anlehnung an Art. 2 Z 10 lit. d RKE-RL, der auf „Entscheidungen“ Bezug nimmt – von dieser Regelung nicht umfasst sein. Im Hinblick darauf, dass etwa Dienststellen oder Abteilungen einer Bundesbehörde mangels Behördenfunktion nicht befugt sind, Bescheide im eigenen Namen zu erlassen, soll auch keine Möglichkeit bestehen, diese gesondert als kritische Einrichtungen im Sektor öffentliche Verwaltung zu ermitteln.
Die RKE-RL berührt nicht die Zuständigkeit der Mitgliedstaaten und ihrer Behörden hinsichtlich der Verwaltungsautonomie sowie ihre Verantwortung für den Schutz der nationalen Sicherheit und Verteidigung oder ihre Befugnis zum Schutz anderer wesentlicher staatlicher Funktionen, insbesondere in Bezug auf die öffentliche Sicherheit, die territoriale Unversehrtheit und die Aufrechterhaltung der öffentlichen Ordnung (vgl. ErwGr 11 zur RKE-RL). Der Ausschluss von Einrichtungen der öffentlichen Verwaltung vom Anwendungsbereich dieser Richtlinie gilt daher gemäß Art. 1 Abs. 6 RKE-RL für Einrichtungen, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausgeübt werden. Einrichtungen der öffentlichen Verwaltung, deren Tätigkeiten nur geringfügig mit diesen Bereichen zusammenhängen, sollen hingegen in den Anwendungsbereich fallen (vgl. ErwGr 11 zur RKE-RL).
Die Regelung in Abs. 2 soll diese unionsrechtlich vorgesehene Ausnahme abbilden und soll demnach vorgesehen werden, dass Einrichtungen im Sektor der öffentlichen Verwaltung, deren Wirkungsbereiche überwiegend die nationale Sicherheit einschließlich der militärischen Landesverteidigung, die öffentliche Sicherheit oder die Strafverfolgung (einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten) umfassen, nicht unter die Bestimmungen dieses Bundesgesetzes fallen. Wenngleich die militärische Landesverteidigung als Teil der nationalen Sicherheit von der in Abs. 2 vorgeschlagenen Ausnahme ohnehin mitumfasst ist (vgl. dazu auch die Erläuterungen zu § 8), soll diese im Sinne der Rechtssicherheit ausdrückliche Erwähnung finden, zumal auch in Art. 1 Abs. 6 RKE-RL ausdrücklich zwischen den Bereichen der nationalen Sicherheit und der Verteidigung differenziert wird. Vor dem Hintergrund der Regelung in Art. 9a B-VG, wonach der Begriff der „umfassenden Landesverteidigung“ auch die geistige, zivile und wirtschaftliche Landesverteidigung umfasst, soll überdies mit Blick auf die Intention der Regelung und im Sinne der innerstaatlichen Terminologie eine Einschränkung der Ausnahmebestimmung auf die von der nationalen Sicherheit umfasste „militärische Landesverteidigung“ erfolgen.
Zur Ausnahme für „Justiz, Parlamente und Zentralbanken“ siehe die Erläuterungen zu § 2 Abs. 3.
Im Sinne eines vollumfänglichen gesamtstaatlichen Ansatzes soll in Abs. 3 jedoch mit Blick auf aktuelle Entwicklungen sowie die damit verbundene „Vorbildfunktion“ die Klarstellung erfolgen, dass (auch) der Bundesminister für Inneres, der Bundesminister für Justiz und der Bundesminister für Landesverteidigung – die in besonders sensiblen „staatlichen“ Bereichen tätig sind – im jeweiligen Wirkungsbereich die notwendigen internen Vorkehrungen zu treffen haben und demnach über Strukturen für die Sicherstellung eines hohen Resilienzniveaus verfügen. Da diese Einrichtungen angesichts der in Art. 1 Abs. 6 RKE-RL vorgesehenen Ausnahmeregelung (vgl. auch Abs. 2) dem RKE-Regime grundsätzlich nicht unterliegen, sollen folglich auch die Regelungen betreffend die Aufsicht und Durchsetzung sowie Sanktionierung kritischer Einrichtungen gemäß den vorgeschlagenen §§ 20 und 21 sowie den §§ 23 und 24 nicht zur Anwendung gelangen.
Zu § 13 (Unterstützungs- und Vorsorgemaßnahmen):
Unbeschadet der eigenen rechtlichen Verantwortung kritischer Einrichtungen, die in der vorliegenden Richtlinie enthaltenen Verpflichtungen einzuhalten, sind Mitgliedstaaten gemäß Art. 10 RKE-RL dazu verpflichtet, diese beim Ausbau ihrer Resilienz zu unterstützen und sollte dadurch übermäßigem Verwaltungsaufwand vorgebeugt werden (vgl. ErwGr 25 zur RKE-RL). Diese Unterstützung kann insbesondere die Entwicklung von Leitfäden und Methoden, die Unterstützung der Organisation von Übungen zur Überprüfung der Resilienz sowie die Beratung und Bereitstellung von Schulungen für das Personal kritischer Einrichtungen umfassen.
Mit gegenständlicher Bestimmung soll Art. 10 RKE-RL umgesetzt und die Verpflichtung des Bundesministers für Inneres, kritische Einrichtungen bei der Verbesserung ihrer Resilienz zu unterstützen sowie darüber hinaus Vorsorgemaßnahmen zu ergreifen, festgeschrieben werden.
In Abs. 1 soll eine abschließende Auflistung verpflichtender Unterstützungs- und Vorsorgemaßnahmen des Bundesministers für Inneres erfolgen und sollen diese die Beratung beim Ergreifen von Resilienzmaßnahmen (Z 1) umfassen, wodurch es kritischen Einrichtungen erleichtert werden soll, ihrer Verpflichtung gemäß § 15 nachzukommen. Vor dem Hintergrund, dass es oftmals wohl nicht eindeutig sein wird, ob bereits bestehende Risikoanalysen gemäß § 14 Abs. 3 oder Resilienzmaßnahmen gemäß § 15 Abs. 3 zumindest gleichwertig sind, soll der Bundesminister für Inneres – vor allem mit Blick auf die Eingrenzung allfälliger Verwaltungsstrafverfahren – verpflichtet sein, diesbezügliche Beratungen durchzuführen (Z 2). Weitere verpflichtende Maßnahmen sollen die Übermittlung von Frühwarnungen („early warnings“) sowie von sonstigen sektorspezifischen Informationen an kritische Einrichtungen, sofern ein Risiko vorliegt (Z 3), darstellen. Zudem soll vorgesehen werden, dass der Bundesminister für Inneres die in ihrem Wirkungsbereich betroffenen Bundesminister und öffentlichen Einrichtungen zum Forschungs- und Förderbedarf und zu den Forschungs- und Förderprioritäten im Bereich der physischen Sicherheit zu beraten hat. Außerdem soll die Verpflichtung zur Beratung der kritischen Einrichtungen bei Auswahl geeigneter Förderungen und Forschungsprojekte vorgesehen werden (Z 4). Zur Verpflichtung des Bundesministers für Inneres zur Information der Öffentlichkeit sowie zur Übermittlung sachdienlicher Informationen vgl. die Regelungen in § 8 sowie § 17 Abs. 5.
Eine mögliche Unterstützungsmaßnahme soll gemäß Abs. 2 etwa die Zurverfügungstellung von Vorlagen und Mustern für Risikoanalysen und Resilienzpläne (Z 1) darstellen. Damit soll es einerseits ebenfalls kritischen Einrichtungen erleichtert werden, ihren Verpflichtungen gemäß den §§ 14 und 15 nachzukommen, andererseits kann auf diese Weise auch eine Angleichung der vorzulegenden Dokumente bewirkt werden, was eine effizientere Vorgehensweise auf Vollzugsebene ermöglicht. Als Beispiele für weitere allfällige Unterstützungs- und Vorsorgemaßnahmen sind die Entwicklung und Bereitstellung von generellen Empfehlungen und von Leitfäden für kritische Einrichtungen zur Prävention von Sicherheitsvorfällen und Reduktion von Risiken (Z 2), die Beratung bei der Organisation von und Mitwirkung an Sicherheitsübungen sowie Übungen zur Überprüfung der Notfallpläne (Z 3), die Beratung und Durchführung von Schulungen für das Personal kritischer Einrichtungen (Z 4), die Bereitstellung von Informationen zum Thema physische Sicherheit sowie die Organisation und Durchführung von Kampagnen zur Bewusstseinsbildung und Sensibilisierung insbesondere für physische Bedrohungen sowie zur Stärkung und Erweiterung von Fähigkeiten und Kenntnissen im Bereich der physischen Sicherheit (Z 5) genannt. Darüber hinausgehende mögliche Unterstützungsmaßnahmen stellen die Durchführung von langfristigen strategischen Analysen betreffend Bedrohungen der physischen Sicherheit und Sicherheitsvorfälle (Z 6), die Verfolgung von Entwicklungen und gegebenenfalls Mitarbeit an der Er- und Überarbeitung von Normen mit Bezug auf die physische Sicherheit (Z 7) und die Mitwirkung und Teilnahme an nationalen, europäischen und internationalen Forschungs- und Förderprojekten und -programmen auf dem Gebiet der physischen Sicherheit (Z 8) dar. Zudem kann etwa auch bei Sicherung globaler Lieferketten (Z 9) sowie anlässlich freiwilliger Meldungen gemäß § 17 Abs. 6 eine staatliche Unterstützung erfolgen (Z 10; vgl. die damit im Zusammenhang stehende Möglichkeit zur Datenverarbeitung gemäß § 7 Abs. 4).
Durch die vorgesehenen Unterstützungsmaßnahmen soll es möglich sein, kritischen Einrichtungen ein breitgestreutes und zugleich spezialisiertes Wissen im RKE-Bereich zur Verfügung zu stellen und soll dadurch ein wesentlicher Beitrag zur Erhöhung der gesamtstaatlichen Resilienz Österreichs geleistet werden. Die RKE-Behörde soll demnach als Schnittstelle zwischen dem öffentlichen und privaten Sektor verschiedene Aufgaben etwa im Bereich der Bewusstseinsbildung, Stärkung entsprechender Kompetenzen und Prävention von Sicherheitsvorfällen wahrnehmen. Bei Festlegung konkreter Unterstützungs- und Vorsorgemaßnahmen kann es aus Vollzugssicht angezeigt sein, allenfalls andere relevante Akteure (etwa Bundesministerien oder Interessenvertretungen zB vulnerabler Gruppen) zu konsultieren.
Zu § 14 (Risikoanalyse durch kritische Einrichtungen):
Kritischen Einrichtungen sollten die potenziellen Verluste oder Störungen, denen sie ausgesetzt sind, in ihrer Gesamtheit bekannt sein, weshalb gemäß Art. 12 RKE-RL eine entsprechende Verpflichtung (auch) kritischer Einrichtungen vorgesehen ist, eine Risikoanalyse durchzuführen. Diese Analyse hat sich auf alle Ereignisse zu beziehen, die die Erbringung ihrer wesentlichen Dienste stören und demnach zu einem Sicherheitsvorfall (§ 3 Z 3) führen könnten (vgl. auch ErwGr 28 zur RKE-RL).
Mit der gegenständlichen Bestimmung soll Art. 12 RKE-RL umgesetzt werden. Damit kritische Einrichtungen auch tatsächlich Kenntnis über die sie betreffenden Risiken (vgl. die Definition in § 3 Z 7) haben, sind Gefahren zu beschreiben bzw. zu identifizieren, deren Eintrittswahrscheinlichkeit zu ermitteln und Auswirkungen anhand von Risikokriterien darzustellen. Als Gefahren kommen etwa Naturgefahren (Hochwasser, Sturm, Erdbeben etc.), intentionale Gefahren (Sabotage, Spionage, Gewalthandlungen etc.) sowie anthropogene Gefahren (Abhängigkeiten von ausländischen Technologien, fehlendes Fachpersonal, Verschuldungskrise etc.) in Betracht. Demnach soll in Abs. 1 vorgesehen werden, dass kritische Einrichtungen erstmals innerhalb von neun Monaten nach Rechtskraft (vgl. § 13 des Verwaltungsgerichtsverfahrensgesetzes – VwGVG, BGBl. I Nr. 33/2013) des Bescheids gemäß § 11 und im Anschluss bei Änderungen der maßgeblichen Risikofaktoren (etwa bei Änderungen der geopolitischen Entwicklungen bzw. Bedrohungslagen oder sonstiger Rahmenbedingungen) anlassbezogen, längstens jedoch alle vier Jahre, eine Risikoanalyse (vgl. die Definition in § 3 Z 8) durchzuführen haben. Aus § 12 Abs. 1 iVm §11 Abs. 1 ergibt sich, dass auch kritische Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene (§ 12) von dieser Verpflichtung umfasst sein sollen. Als Grundlage für die Risikoanalyse durch kritische Einrichtungen soll die durch den Bundesminister für Inneres gemäß § 10 durchzuführende Risikoanalyse dienen.
Wesentlich ist, dass mit der Verpflichtung zur Erstellung und Aktualisierung der Risikoanalyse keine automatische proaktive Übermittlungspflicht an den Bundesminister für Inneres einhergehen, sondern eine Übermittlung lediglich auf Verlangen erfolgen soll (vgl. die Regelung in § 20 Abs. 1; dasselbe gilt für die Verpflichtung zur Erstellung eines Resilienzplans, der ebenfalls nur auf Aufforderung des Bundesministers für Inneres an diesen zu übermitteln sein soll, vgl. dazu § 15 Abs. 1).
Die Risikoanalyse hat demzufolge auch mit Blick auf den der RKE-RL zugrunde liegenden All-Gefahren-Ansatz allen entsprechenden natürlichen und vom Menschen verursachten Gefahren bzw. Ereignissen, die zu einem Sicherheitsvorfall führen könnten, einschließlich grenzüberschreitenden oder sektorübergreifenden Ereignissen, Unfällen, Naturkatastrophen, gesundheitlichen Notlagen, hybriden und anderen feindlichen Bedrohungen, Rechnung zu tragen (vgl. in diesem Zusammenhang auch die in § 13 Abs. 2 Z 1 vorgesehene Möglichkeit zur Unterstützung der kritischen Einrichtungen durch Bereitstellung von Vorlagen für eine Risikoanalyse). Mit Blick auf die Regelungen in § 20 ist wesentlich, dass die Ergebnisse in strukturierter Form aufbereitet sind, damit diese auch der behördlichen Überprüfung zugrunde gelegt werden können, weshalb eine diesbezügliche Verpflichtung normiert werden soll.
In Abs. 2 soll zudem vorgesehen werden, dass die Risikoanalyse das Ausmaß der Abhängigkeit anderer im Anhang der RKE-RL gelisteter Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung (gegebenenfalls auch in benachbarten Mitgliedstaaten oder Drittstaaten) erbracht wird, und das Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, die von anderen Einrichtungen in anderen Sektoren erbracht werden, zu berücksichtigen hat, zumal solche Interdependenzen weitreichende Folgen nach sich ziehen könnten.
Haben kritische Einrichtungen aufgrund von Verpflichtungen aus anderen Rechtsakten Risikoanalysen vorgenommen oder entsprechende Dokumente erstellt, die für die Risikoanalyse durch kritische Einrichtungen nach dem RKE-Regime relevant sind, sollen diese Bewertungen und Dokumente verwendet werden können, um die in der vorliegenden Richtlinie hinsichtlich der Risikoanalyse durch kritische Einrichtungen festgelegten Anforderungen zu erfüllen. Bei der Wahrnehmung ihrer Aufsichtsfunktion soll gemäß Art. 12 Abs. 2 Unterabsatz 2 RKE-RL die Möglichkeit der zuständigen Behörde bestehen, eine bestehende Risikoanalyse, die den Anforderungen des Art. 12 RKE-RL entspricht, als vollständig oder teilweise den Verpflichtungen nach diesem Artikel entsprechend zu erklären (vgl. auch ErwGr 28 zur RKE-RL).
Demnach soll in Abs. 3 angeordnet werden, dass den Anforderungen gemäß dieser Bestimmung insoweit – ganz oder teilweise – entsprochen wird, als von der kritischen Einrichtung aufgrund anderer rechtlicher Verpflichtungen (diese können entweder innerstaatlich oder unionsrechtlich vorgesehen sein; vgl. ErwGr 27 zur RKE-RL) Risikoanalysen durchgeführt wurden, die hinsichtlich der Anforderungen zumindest gleichwertig sind. Diesbezüglich ist kein eigenes Bescheidverfahren vorgesehen, sondern soll die Überprüfung der Gleichwertigkeit im Rahmen der Aufsichtsmaßnahmen erfolgen. Ergibt sich im Rahmen der Überprüfung, dass die in dieser Bestimmung normierten Anforderungen nicht oder nicht vollständig erfüllt werden und auch aufgrund anderer rechtlicher Verpflichtungen keine Risikoanalyse durchgeführt wurde, die einer Gleichwertigkeitsprüfung standhält, soll nach § 20 Abs. 5 vorgegangen werden, wonach der Bundesminister für Inneres der kritischen Einrichtung bescheidmäßig aufzutragen hat, innerhalb einer angemessenen Frist und nachweislich erforderliche und verhältnismäßige Maßnahmen zu ergreifen, die zur Herstellung des rechtmäßigen Zustands erforderlich sind. In diesem Zusammenhang wird auf die in § 13 Abs. 1 Z 2 vorgesehene Verpflichtung zur Unterstützung bei der Beurteilung, ob die Anforderungen bereits bestehender Risikoanalysen gleichwertig sind, verwiesen (vgl. auch die Erläuterungen zu § 13).
Auch ohne ausdrückliche Anordnung soll selbstverständlich auch die Möglichkeit bestehen, bereits bestehende bzw. aufgrund anderer rechtlicher Verpflichtungen erstellte Dokumente im Rahmen der Risikoanalyse heranzuziehen.
Zu beachten ist in diesem Zusammenhang, dass selbstverständlich auch die zeitlichen Anforderungen gemäß Abs. 1 erfüllt sein müssen.
Zu § 15 (Resilienzmaßnahmen kritischer Einrichtungen):
In Art. 13 RKE-RL ist vorgesehen, dass kritische Einrichtungen technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu ergreifen haben, die mit Blick auf die sie betreffenden Risiken angemessen und geeignet sind. Ziel dieser Maßnahmen ist es, Sicherheitsvorfälle zu verhindern, sich davor zu schützen, sie abzuwehren, darauf zu reagieren, die Folgen solcher Vorfälle zu begrenzen, Sicherheitsvorfälle zu bewältigen sowie sich von diesen zu erholen (ErwGr 29 zur RKE-RL).
In Umsetzung von Art. 13 RKE-RL soll in Abs. 1 vorgesehen werden, dass sämtliche kritische Einrichtungen (vgl. dazu die Erläuterungen zu § 14) basierend auf den seitens des Bundesministers für Inneres bereitgestellten Elementen der gemäß § 10 durchgeführten Risikoanalyse sowie den Ergebnissen der gemäß § 14 durchgeführten Risikoanalyse geeignete und verhältnismäßige Maßnahmen technischer, sicherheitsbezogener (darunter fallen etwa Zuverlässigkeitsüberprüfungen) und organisatorischer Art (lediglich; im Gegensatz zur NIS-2-RL, vgl. Art. 21 NIS-2-RL) in Bezug auf den von ihnen erbrachten wesentlichen Dienst gemäß § 11 Abs. 1 Z 4 zu treffen haben. Diese Maßnahmen sollen dazu dienen, die physische Sicherheit bzw. Resilienz sicherzustellen und haben kritische Einrichtungen demnach die Fähigkeit zu besitzen, Sicherheitsvorfällen (vgl. § 3 Z 3) vorzubeugen, diese zu erkennen, abzuwehren sowie zu beseitigen. Vorgesehen ist zudem, dass kritische Einrichtungen einen Resilienzplan mit einer nachvollziehbar aufbereiteten Auflistung dieser Maßnahmen (vgl. § 3 Z 12) zu erstellen haben.
Resilienzmaßnahmen nach Abs. 1 haben – wie bereits näher erläutert – geeignet und verhältnismäßig zu sein und soll dadurch insbesondere ein „risikobasierter Ansatz“ verfolgt werden. Einzelheiten und Umfang dieser Maßnahmen sollen demnach die „besondere Situation“ (vgl. auch ErwGr 29 zur RKE-RL) der betreffenden Einrichtung auf angemessene und verhältnismäßige Weise widerspiegeln. Damit ein einheitlicher Ansatz der Union gefördert wird, ist beabsichtigt, dass die Kommission nach Konsultation der Gruppe für die Resilienz kritischer Einrichtungen nicht verbindliche Leitlinien erlässt, in denen solche technischen, sicherheitsbezogenen und organisatorischen Maßnahmen näher ausgeführt werden (vgl. Art. 13 Abs. 5 RKE-RL). Arbeiten zu diesem Thema auf europäischer Ebene sollen jedenfalls Berücksichtigung finden. Darüber hinaus sollen auch allfällige bereits bestehende und etablierte internationale Standards beachtet werden.
Basierend auf der Regelung in Art. 6 Abs. 3 Unterabsatz 2 RKE-RL soll vorgesehen werden, dass die Verpflichtung zum Treffen von Resilienzmaßnahmen nach Ablauf von zehn Monaten nach Rechtskraft des Bescheides besteht. Wesentlich ist, dass die Resilienzmaßnahmen sowie der Resilienzplan in angemessenen Zeitabständen auf ihre Aktualität sowie auf Schwachstellen geprüft und bei Bedarf aktualisiert werden, wobei insbesondere auch Erfahrungen aus vergangenen Sicherheitsvorfällen bzw. aus allfälligen entsprechenden Übungen zu berücksichtigen sein werden. Wesentlich ist, dass auch bei einem Sicherheitsvorfall so lange wie möglich die für die Bevölkerung notwendigen Leistungen erbracht werden können.
In Abs. 2 soll eine abstrakte Festlegung möglicher Resilienzmaßnahmen erfolgen. Normiert werden soll, dass es sich dabei insbesondere um jene Maßnahmen handeln soll, die erforderlich sind, um
- das Auftreten von Sicherheitsvorfällen zu verhindern, unter Berücksichtigung von Maßnahmen zur Katastrophenvorsorge und zum Umgang mit dem Klimawandel (Z 1),
- einen angemessen physischen Schutz der kritischen Infrastruktur und der Räumlichkeiten der kritischen Einrichtungen (mit Bezug zum wesentlichen Dienst, vgl. Abs. 1) zu gewährleisten, wie das Aufstellen von Zäunen und Absperrungen sowie die Einführung von Instrumenten und Verfahren für die Überwachung der Umgebung, die Verwendung von Detektionsgeräten sowie die Durchführung von Zugangskontrollen (Z 2),
- Sicherheitsvorfälle abzuwehren, diese zu bewältigen und die Auswirkungen solcher Vorfälle gering zu halten, unter Berücksichtigung von Risiko- und Krisenmanagementmaßnahmen sowie Notfallplänen bzw. vorgegebener Abläufe im „Alarmfall“ (Z 3),
- nach Sicherheitsvorfällen die Fortsetzung oder rasche Wiederaufnahme des wesentlichen Dienstes zu gewährleisten, unter Berücksichtigung von Maßnahmen zur Aufrechterhaltung des Betriebs (zB Sicherstellung einer Notstromversorgung) bzw. alternativer Lieferketten (Z 4),
- angemessene personelle Sicherheitsvorkehrungen zu gewährleisten, insbesondere die Festlegung von Anforderungen an die Ausbildung sowie die Qualifikation des Personals und die Identifizierung von kritischen Funktionen samt Festlegung von Zugangsberechtigungen, etwa zu Räumlichkeiten, kritischer Infrastruktur sowie sensiblen Informationen, sowie Verpflichtungen zur Vornahme von Zuverlässigkeitsüberprüfungen für bestimmte „Kategorien“ von Personal, das die Anforderungen gemäß dem vorgeschlagenen § 16 Abs. 1 Z 1 oder 2 erfüllt (dh. vor allem jenes Personal, das ein entsprechendes „Sicherheitsrisiko“ darstellt), unter Berücksichtigung des Personals externer Dienstleister, (Z 5) und
- Personal in kritischen Funktionen insbesondere im Rahmen der Bereitstellung von Schulungsmaßnahmen bzw. durch Qualifikationen oder Übungen im Hinblick auf die Steigerung der Resilienz zu sensibilisieren (Z 6).
Wesentlich ist, dass eine Sicherheitsüberprüfung gemäß den §§ 55 bis 55b SPG, eine Verlässlichkeitsprüfung gemäß den §§ 23 und 24 des Militärbefugnisgesetzes (MBG), BGBl. I Nr. 86/2000, oder eine Zuverlässigkeitsüberprüfung gemäß § 134a des Luftfahrtgesetzes (LFG), BGBl Nr. 253/1957, als einer Zuverlässigkeitsüberprüfung gemäß dem vorgeschlagenen § 16 (im Folgenden: ZÜP) grundsätzlich gleichwertig zu betrachten ist und wird daher regelmäßig kein Bedarf für die Durchführung einer ZÜP bestehen, sofern die jeweilige Überprüfung nicht länger als drei Jahre zurückliegt und keine Anhaltspunkte vorliegen, wonach die betroffene Person nicht mehr zuverlässig sein könnte. Damit soll es kritischen Einrichtungen ermöglicht werden, ihren Personalentscheidungen bestimmte gleichwertige Überprüfungen zugrunde zu legen (vgl. dazu außerdem auch die Erläuterungen zu § 16 Abs. 1 und 6).
Vergleichbar mit der in § 14 Abs. 3 vorgeschlagenen Regelung soll in Abs. 3 normiert werden, dass der in gegenständlicher Bestimmung vorgesehenen Verpflichtung zum Treffen von Resilienzmaßnahmen insoweit entsprochen wird, als von der kritischen Einrichtung aufgrund anderer rechtlicher Verpflichtungen Resilienzmaßnahmen ergriffen wurden, die hinsichtlich der in Abs. 1 genannten technischen, sicherheitsbezogenen und organisatorischen Anforderungen zumindest gleichwertig sind. Sind demnach kritische Einrichtungen aufgrund von Bestimmungen des Unionsrechts oder des nationalen Rechts verpflichtet, Maßnahmen zur Gewährleistung ihrer eigenen Resilienz zu ergreifen, sollen diese Anforderungen bei der Beurteilung, ob die kritische Einrichtung die in Abs. 1 normierten Verpflichtungen eingehalten hat, angemessen und in entsprechendem Ausmaß berücksichtigt werden (vgl. dazu auch ErwGr 27 zur RKE-RL). Hat demnach die kritische Einrichtung bereits technische, sicherheitsbezogene und organisatorische Maßnahmen zur Verbesserung ihrer Resilienz ergriffen, so sollen diese, um Doppelbelastungen zu vermeiden, entsprechende Berücksichtigung finden (siehe auch ErwGr 30 zur RKE-RL), wobei die Überprüfung der Gleichwertigkeit im Rahmen der Aufsichtsmaßnahmen aufgrund einer Einzelfallbeurteilung erfolgen soll (vgl. dazu auch die Erläuterungen zu § 14 Abs. 3 sowie die in § 13 Abs. 1 Z 2 vorgesehene Verpflichtung des Bundesministers für Inneres zur Unterstützung bei der Beurteilung, ob die Anforderungen bereits bestehender Resilienzmaßnahmen gleichwertig sind).
Haben kritische Einrichtungen Dokumente (zB Resilienzpläne) erstellt, die für die in Abs. 1 genannten Maßnahmen relevant sind, soll selbstverständlich auch die Möglichkeit bestehen, diese zur Erfüllung der in dieser Regelung vorgesehenen Verpflichtung heranzuziehen (vgl. Art. 13 Abs. 2 RKE-RL).
Wie zu § 14 Abs. 3 erläutert soll die Anerkennung gleichwertiger Maßnahmen jedoch keine dauerhafte Entbindung von den Verpflichtungen zur Folge haben, sondern soll nach wie vor die in Abs. 1 vorgesehene Aktualisierungspflicht Beachtung finden.
Zu § 16 (Zuverlässigkeitsüberprüfungen):
Die gegenständliche Bestimmung dient der Umsetzung von Art. 14 RKE-RL. Gemäß ErwGr 32 zur RKE-RL obliegt es den Mitgliedstaaten, als Teil der sicherheitsbezogenen Maßnahmen zur Gewährleistung der Resilienz kritischer Einrichtungen die Bedingungen, unter denen eine kritische Einrichtung Anträge auf Durchführung von ZÜP bestimmter Personen stellen darf, festzulegen. Zu diesem Zweck sollen seitens der kritischen Einrichtung Kategorien von Personal – einschließlich des Personals externer Dienstleister – zu benennen sein, die eine ZÜP durchlaufen müssen (vgl. § 15 Abs. 2 Z 5), weil sie entweder über einen Zugang zu ihren Räumlichkeiten, Informationen oder Kontrollsystemen verfügen, eine Funktion mit einem solchen Zugang anstreben oder sonstige sensible Funktionen für kritische Einrichtungen wahrnehmen oder anstreben (vgl. Abs. 1).
Um unter Berücksichtigung von Art. 14 Abs. 2 RKE-RL zu gewährleisten, dass ZÜP stets „verhältnismäßig und strikt auf das Notwendige“ beschränkt bleiben, soll sich die Erforderlichkeit der Durchführung zusätzlich aus der Risikoanalyse gemäß § 10 zu erschließen haben. Bei Vorliegen einer der in § 15 Abs. 2 Z 5 abschließend genannten gleichwertigen Überprüfungen wird – vorbehaltlich einer abweichenden Einschätzung durch die kritische Einrichtung – in der Regel kein Anlass für die Durchführung einer ZÜP bestehen, sofern die Überprüfung nicht länger als drei Jahre zurückliegt und keine Anhaltspunkte bestehen, wonach die betroffene Person nicht mehr zuverlässig sein sollte (vgl. dazu außerdem auch die Erläuterungen zu § 15 Abs. 2 Z 5). Der maßgebliche Zeitraum von drei Jahren ab dem Überprüfungszeitpunkt entspricht der Geltungsdauer der ZÜP und ist daher auch hinsichtlich der prinzipiell jährlich zu wiederholenden ZÜP nach § 134a LFG heranzuziehen, zumal diese in ihrem Umfang der ZÜP nach diesem Gesetzesentwurf weitestgehend entspricht.
Zwecks Durchführung der ZÜP soll die kritische Einrichtung dem Bundesminister für Inneres zusätzlich zu den für die Überprüfung erforderlichen personenbezogenen Daten ein begründetes Ersuchen zu übermitteln haben. In diesem Ersuchen soll insbesondere dargelegt werden, inwiefern die zu überprüfende Person eine sensible Funktion für die kritische Einrichtung wahrnimmt oder wahrnehmen soll und allenfalls warum trotz Vorliegens einer aufrechten ZÜP oder einer gleichwertigen Überprüfung gemäß § 15 Abs. 2 Z 5 eine erneute Antragstellung vor Ablauf der Dreijahresfrist erforderlich ist.
Die einzelfallbezogene Abwägung, ob eine Person basierend auf einer Risikoanalyse einer ZÜP zu unterziehen ist, soll der kritischen Einrichtung selbst obliegen. Es bleibt allerdings der Behörde vorbehalten, eine nachprüfende Kontrolle des Antrages vorzunehmen und die Durchführung der ZÜP insbesondere dann abzulehnen, wenn sich im Rahmen der Prüfung herausstellen sollte, dass bereits eine in § 15 Abs. 2 Z 5 genannte gleichwertige Überprüfung vorliegt und das Ersuchen keine Ausführungen hinsichtlich der Erforderlichkeit einer erneuten Überprüfung enthält. Zuvor sollte allerdings der kritischen Einrichtung, wie auch bei Vorliegen sonstiger formeller Mängel, im Rahmen eines Verbesserungsauftrags die Behebung des Mangels ermöglicht werden. Im Falle der Ablehnung eines Ersuchens oder eines nicht erfüllten Verbesserungsauftrages soll die Behörde verpflichtet sein, die zuvor überwiesene Gebühr für die Durchführung der ZÜP (vgl. Abs. 7) jedenfalls rückzuerstatten.
Vorgesehen ist, dass das Ersuchen sowie die in Abs. 2 angeführten taxativ aufgelisteten personenbezogenen Daten der zu überprüfenden Person dem Bundesminister für Inneres im elektronischen Weg über einen sicheren Kommunikationskanal strukturiert zu übermitteln sein sollen. Die gewählte Formulierung orientiert sich an § 16 Abs. 6 des Finanzmarkt-Geldwäschegesetzes (FM-GwG), BGBl. I Nr. 118/2016, und soll insbesondere ein möglichst hohes Datensicherheitsniveau sowie eine rasche Bearbeitung der Anträge gewährleisten. Der zu verwendende Kommunikationskanal (zB ein bereitgestelltes Online-Formular) soll den kritischen Einrichtungen rechtzeitig, beispielsweise durch Veröffentlichung auf der öffentlich zugänglichen Homepage des Bundesministeriums für Inneres, zur Kenntnis zu bringen sein und soll der Bundesminister für Inneres vor dem Hintergrund der unmittelbaren Anwendbarkeit des Art. 32 DSGVO insbesondere dazu verpflichtet sein, bei Bereitstellung der technischen Voraussetzungen den diesbezüglichen Anforderungen Rechnung zu tragen, etwa durch technische oder organisatorische Vorkehrungen gegen unbefugte Zugriffe sowie Dokumentationspflichten. Dem Ersuchen soll zudem die ausdrückliche (datenschutzrechtliche) Zustimmung der betroffenen Person als Voraussetzung für die Überprüfung ihrer Daten sowie für die Rückmeldung des Ergebnisses dieser Überprüfung an die kritische Einrichtung anzuschließen sein. Wesentlich ist, dass die Zustimmung den Vorgaben der DSGVO entspricht (vgl. Art. 7 Abs. 2 erster Satz DSGVO). Die seitens der Einrichtung zu übermittelnden Datenkategorien entsprechen weitestgehend jenen, die gemäß § 134a LFG zum Zweck der Durchführung einer Zuverlässigkeitsüberprüfung vorzulegen sind, wobei auf vereinzelte Parameter – wie beispielsweise Aus- und Weiterbildungen – mangels Relevanz für die behördliche Überprüfung verzichtet wurde.
Im Zuge der Überprüfung der Zuverlässigkeit soll sich die Behörde mit Blick auf die unionsrechtlichen Vorgaben in Art. 14 Abs. 3 RKE-RL jedenfalls durch Abgleich der übermittelten personenbezogenen Daten mit dem beigefügten Identitätsnachweis der Identität der zu überprüfenden Person vergewissern. Zudem soll sie die Landespolizeidirektion Wien um eine Abfrage des Europäischen Strafregisterinformationssystems (ECRIS) nach Maßgabe des Rahmenbeschlusses 2009/315/JI über die Durchführung und den Inhalt des Austauschs von Informationen aus dem Strafregister zwischen den Mitgliedstaaten, ABl. Nr. L 93 vom 07.04.2009 S. 23, geändert durch die Richtlinie (EU) 2019/884 zur Änderung des Rahmenbeschlusses 2009/315/JI des Rates im Hinblick auf den Austausch von Informationen über Drittstaatsangehörige und auf das Europäische Strafregisterinformationssystem (ECRIS), sowie zur Ersetzung des Beschlusses 2009/316/JI des Rates, ABl. Nr. L 151 vom 07.06.2019 S. 143, zu ersuchen und allfällige vorgelegte ausländische Strafregisterbescheinigungen zu sichten haben. Demnach soll etwa in Abs. 4 explizit angeordnet werden, dass nicht nur Strafregisterauskünfte gemäß § 9 des Strafregistergesetzes 1968, BGBl. Nr. 277/1968, einzuholen sind (vgl. Abs. 5), sondern auch Informationen aus dem Strafregister eines anderen Mitgliedstaates oder des Vereinigten Königreichs, soweit dies zur Überprüfung der Zuverlässigkeit erforderlich ist (vgl. dazu auch § 9c des Strafregistergesetzes 1968 zur diesbezüglichen konkreten Vorgehensweise). Über die expliziten Anforderungen der RKE-RL hinaus sollen zusätzlich die in Abs. 5 angeführten Umstände, die zumindest abstrakt geeignet sind, die Zuverlässigkeit der zu überprüfenden Person in Zweifel zu ziehen, durch Abfrage der polizeilichen Evidenzen und Datenbanken sowie Anfrage an die Strafjustiz abzuklären sein, wobei die von dieser Ermächtigung umfassten Datenarten durch die strenge Zweckbindung der Verarbeitung (Überprüfung der Zuverlässigkeit) hinreichend bestimmt beschrieben werden (vgl. Abs. 3). Zur Möglichkeit der Sicherheitsbehörden und damit auch des Bundesministers für Inneres, sich bei der Dokumentation aller Amtshandlungen und Verwaltung von Dienststücken im Rahmen der Wahrnehmung gesetzlich übertragener Aufgaben der automationsunterstützten Datenverarbeitung zu bedienen vgl. § 13a Abs. 1 SPG.
Mit dem gemäß Abs. 6 seitens des Bundesministers für Inneres an die kritische Einrichtung übermittelten Ergebnis der Überprüfung soll per se keine Bewertung der Zuverlässigkeit der überprüften Person erfolgen. Vielmehr soll die kritische Einrichtung durch Mitteilung allfälliger im Rahmen der Überprüfung zu Tage getretener (sicherheitspolizeilicher) Bedenken in die Lage versetzt werden, eine fundierte, einzelfallbezogene Beurteilung dahingehend durchzuführen, ob die mitgeteilten Bedenken im Hinblick auf die von der überprüften Person wahrgenommene oder angestrebte sensible Funktion ein Sicherheitsrisiko innerhalb der Organisation der kritischen Einrichtung begründen.
Angelehnt an die Regelung in § 55b Abs. 5 SPG soll in Abs. 7 vorgesehen werden, dass Zuverlässigkeitsüberprüfungen einer Gebührenpflicht unterliegen und soll der dem Bund für die Überprüfung der Zuverlässigkeit gebührende Pauschalbetrag nach Maßgabe der durchschnittlichen Aufwendungen mit Verordnung des Bundesministers für Inneres festzulegen sein. Vor dem Hintergrund, dass es im Falle einer an den Bund oder die von ihm betriebenen Unternehmungen adressierten Gebührenpflicht wohl großteils zu einer Umverteilung finanzieller Mittel innerhalb des Budgets kommen würde und dies einen unwirtschaftlichen Verwaltungsaufwand zur Folge hätte (vgl. VfGH 10.3.1969, B 226/68), sollen diese – angelehnt an § 2 des Gebührengesetzes 1957, BGBl. Nr. 267/1957 – von der Verpflichtung zur Entrichtung der Gebühr befreit sein. Dies soll auch für die übrigen Gebietskörperschaften – dh. Länder und Gemeinden – im Rahmen ihres öffentlich-rechtlichen Wirkungskreises gelten. Der „öffentlich-rechtliche Wirkungskreis“ soll jenen Wirkungskreis bezeichnen, der der Gebietskörperschaft unmittelbar durch Gesetz übertragen wurde und soll dieser demnach neben der Hoheitsverwaltung auch jenen Bereich der Privatwirtschaftsverwaltung umfassen, zu dessen Besorgung die jeweilige Gebietskörperschaft durch Gesetz verpflichtet ist (vgl. VwGH 13.12.2012, 2010/16/0092).
Zu § 17 (Meldepflicht kritischer Einrichtungen):
Mit gegenständlicher Bestimmung soll ein Prozess für die Meldung von Sicherheitsvorfällen im Sinne des Art. 15 RKE-RL etabliert werden, um dem Bundesminister für Inneres als zuständige „RKE-Behörde“ eine rasche und angemessene Reaktion sowie einen umfassenden Überblick über die Auswirkungen, Art und Ursache sowie möglichen Folgen dieser Sicherheitsvorfälle zu ermöglichen. Demnach sollen kritische Einrichtungen gemäß Abs. 1 nach Ablauf von zehn Monaten nach rechtskräftiger Einstufung (vgl. Art. 6 Abs. 2 Unterabsatz 2 RKE-RL) dazu verpflichtet sein, – soweit dies aus operativer Sicht möglich ist – Sicherheitsvorfälle unverzüglich, längstens jedoch binnen 24 Stunden nach Kenntnis, dass ein Ereignis einen Sicherheitsvorfall (vgl. § 3 Z 3; vgl. in diesem Zusammenhang auch die Regelung in Abs. 2) darstellt und somit die Meldepflicht auslöst, dem Bundesminister für Inneres zu melden. Ergänzende Folgeinformationen sowie Informationen über erst zu einem späteren Zeitpunkt bekannt gewordene Umstände zu einem Sicherheitsvorfall sollen längstens binnen eines Monats nach der Erstmeldung zu erfolgen haben (vgl. Art. 15 Abs. 1 RKE-RL). Wesentlich ist, dass die Erstmeldung Informationen beinhalten sollte, die unbedingt erforderlich sind, um den Bundesminister für Inneres über den Sicherheitsvorfall und – soweit möglich – über die mutmaßliche Ursache in Kenntnis zu setzen und bei Bedarf Hilfe in Anspruch nehmen zu können, während die „Folgemeldung“ die Erstmeldung ergänzen und einen vollständigeren Überblick über den Sicherheitsvorfall bieten soll (vgl. ErwGr 33 zur RKE-RL). Durch das Abstellen auf die Möglichkeit „aus operativer Sicht“ soll sichergestellt werden, dass die Ressourcen der kritischen Einrichtung für Tätigkeiten im Zusammenhang mit der Bewältigung von Sicherheitsvorfällen Vorrang haben und diese durch die Pflicht zur Übermittlung der Erstmeldung nicht beeinträchtigt werden sollen.
Der Systematik des Art. 15 RKE-RL zufolge haben kritische Einrichtungen – im Unterschied zu Art. 6 Abs. 2 lit. c iVm Art. 7 RKE-RL, der für die Einstufung relevant ist – die Erheblichkeit einer Störung anhand der in Art. 15 Abs. 1 lit. a bis c RKE-RL festgelegten Parameter, die zur Auslösung der Meldepflicht führen, selbständig zu beurteilen. Um kritischen Einrichtungen diese Beurteilung zu ermöglichen, soll der Bundesminister für Inneres gemäß Abs. 2 verpflichtet sein, durch Verordnung festzulegen, wann ein Sicherheitsvorfall vorliegt und somit die Meldepflicht auslöst. Dabei soll dieser bestimmte Kriterien zu berücksichtigen haben, wie etwa die Zahl bzw. den prozentuellen Anteil der vom Sicherheitsvorfall betroffenen Nutzer des erbrachten wesentlichen Diensts (Z 1), die Dauer der Störung (Z 2) sowie das vom Sicherheitsvorfall betroffene geografische Gebiet (Z 3), wobei regionalen Gegebenheiten, wie insbesondere dem Umstand einer allenfalls isolierten Lage bzw. Region (etwa im Bereich der Alpen) besonders Rechnung zu tragen sein soll (vgl. auch Art. 15 Abs. 1 lit. a bis c RKE-RL).
In Abs. 3 soll die Präzisierung erfolgen, welche Informationen zum Sicherheitsvorfall an den Bundesminister für Inneres übermittelt werden sollen (vgl. Art. 15 Abs. 2 RKE-RL). Wesentlich ist, dass die Anforderungen an die Meldepflichten kritischer Einrichtungen insbesondere in der Erstphase eines Sicherheitsvorfalles nicht überspannt werden sollten, zumal der Ergreifung von Sofortmaßnahmen zur raschen Bewältigung des Sicherheitsvorfalls Priorität eingeräumt werden sollte (vgl. ErwGr 33 zur RKE-RL sowie die in Abs. 1 vorgesehene allfällige Einschränkung der Meldepflicht). Die Meldung soll in einem – vom Bundesminister für Inneres vorgegebenen – standardisierten elektronischen Format erfolgen.
Gemäß Abs. 4 soll zusätzlich ein anlassbezogenes Informationsrecht des Bundesministers für Inneres vorgesehen werden. Zudem sollen kritische Einrichtungen den Bundesminister für Inneres unverzüglich (vgl. die Erläuterungen zu § 11) über die Beendigung eines Sicherheitsvorfalls zu informieren haben.
In Abs. 5 soll – in Umsetzung der Regelung in Art. 15 Abs. 4 RKE-RL – die Verpflichtung des Bundesministers für Inneres vorgesehen werden, die vom Sicherheitsvorfall betroffenen kritischen Einrichtungen zu unterstützen, indem er diesen basierend auf den in den Meldungen enthaltenen Angaben unverzüglich (zur Auslegung des Begriffs „unverzüglich“ vgl. die Erläuterungen zu § 11 Abs. 9) sachdienliche Informationen – insbesondere zur Abwehr und Bewältigung des betreffenden Sicherheitsvorfalls – bereitstellt.
Über Sicherheitsvorfälle hinaus sollen kritische Einrichtungen gemäß Abs. 6 die Möglichkeit haben, dem Bundesminister für Inneres auch Bedrohungen und Beinahe-Sicherheitsvorfälle (§ 3 Z 4) zu melden, zumal auch diese Meldungen im öffentlichen Interesse liegen und für ein gesamtstaatliches sowie vollständiges Lagebild essenziell sein können (vgl. in diesem Zusammenhang die vorgeschlagene Datenverarbeitungsermächtigung gemäß § 7 Abs. 1 Z 2).
Vor dem Hintergrund der Zusammenhänge zwischen Cybersicherheit und physischer Sicherheit (vgl. auch die Erläuterungen zu § 4 Abs. 5) sowie im Hinblick auf die Erforderlichkeit einer koordinierten Umsetzung der RKE-RL und der NIS-2-RL (vgl. die Erläuterungen im Allgemeinen Teil) soll in Abs. 7 als Unterstützungsleistung vorgesehen werden, dass für den Fall, dass bei der RKE-Behörde Meldungen über erhebliche Sicherheitsvorfälle gemäß Art. 23 NIS-2-RL einlangen, die jeweilige Einrichtung unverzüglich (zur Auslegung des Begriffs „unverzüglich“ vgl. die Erläuterungen zu § 11 Abs. 9) an jene Stelle, die in Umsetzung des Art. 23 NIS-2-RL über erhebliche Sicherheitsvorfälle zu unterrichten ist, zu verweisen sein soll (je nach innerstaatlicher Ausgestaltung zuständiges CSIRT oder NIS-2-Behörde). Angesichts der unterschiedlichen unionsrechtlichen Vorgaben soll durch diese Regelung im Sinne der Eingrenzung der Verwaltungsübertretungen auf eine Einhaltung der Verpflichtungen hingewirkt und somit Klarheit sowie Rechtssicherheit geschaffen werden.
Zu § 18 (Ausnahmen von Verpflichtungen kritischer Einrichtungen):
Gemäß Art. 1 Abs. 3 RKE-RL finden die Bestimmungen dieser Richtlinie, einschließlich der in Kapitel IV festgelegten Anordnungen über Aufsicht und Durchsetzung, insoweit keine Anwendung, als kritische Einrichtungen bereits auf Grund sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienz zu ergreifen haben. Voraussetzung ist, dass die jeweiligen sektorspezifischen Anforderungen von den Mitgliedstaaten als den entsprechenden Verpflichtungen nach der RKE-RL zumindest gleichwertig anerkannt sind. In diesem Fall sollen demnach lediglich die in den jeweiligen Unionsrechtsakten festgelegten Bestimmungen zur Anwendung kommen, um Doppelarbeit und unnötigen Aufwand in Fällen zu vermeiden, in denen kritische Einrichtungen bereits durch andere bestehende sektorale Rechtsvorschriften der Union zur Ergreifung resilienzfördernder Maßnahmen verpflichtet sind (vgl. ErwGr 10 zur RKE-RL).
Damit dem Gleichwertigkeitserfordernis entsprochen wird, ist es wesentlich, dass die Anforderungen in dem jeweiligen sektorspezifischen Rechtsakt der Union mindestens den Anforderungen der in der RKE-RL vorgesehenen Bestimmungen entsprechen oder sogar darüber hinausgehen, was bedeutet, dass die sektorspezifischen Bestimmungen im Vergleich dazu etwa inhaltlich detaillierter sein können. Zudem ist es essenziell, dass die Verpflichtungen jedenfalls den von der RKE-RL erfassten gefahrenübergreifenden Ansatz abdecken und sollten die zu treffenden Maßnahmen geeignet sein, die Unterbrechung der Erbringung wesentlicher Dienste durch die kritische Einrichtung zu verhindern, sich davor zu schützen, die Unterbrechung abzuwehren, darauf zu reagieren, die Folgen zu begrenzen, die Unterbrechung zu bewältigen oder sich davon zu erholen.
Dementsprechend soll in Abs. 1 festgelegt werden, dass die Anforderungen gemäß § 15 (Resilienzmaßnahmen) insoweit nicht anwendbar sein sollen, als kritische Einrichtungen bereits aufgrund sektorspezifischer Unionsrechtsakte zur Ergreifung gleichwertiger Maßnahmen für die Erbringung eines wesentlichen Dienstes verpflichtet sind (Z 1). Wesentlich soll außerdem sein, dass diese Verpflichtungen ein zumindest gleichwertiges Resilienzniveau gewährleisten oder sogar darüber hinausgehen (Z 2). Um kritischen Einrichtungen die Beurteilung zu erleichtern, ob und inwieweit sie von Verpflichtungen nach diesem Bundesgesetz ausgenommen sind, soll der Bundesminister für Inneres verpflichtet sein, über die jeweiligen sektorspezifischen Bestimmungen sowie das Ausmaß der Gleichwertigkeit auf der Homepage des Bundesministeriums für Inneres zu informieren. Sind die Anforderungen gemäß § 15 nicht anwendbar und die jeweiligen kritischen Einrichtungen demnach von den Verpflichtungen ausgenommen, sollen selbstverständlich auch die in § 20 normierten behördlichen Aufsichts- und Durchsetzungsmaßnahmen in demselben Ausmaß keine Anwendung finden.
In Abs. 2 sollen die Kriterien näher präzisiert werden, die bei der Beurteilung der Gleichwertigkeit zu berücksichtigen sind. Demnach soll darauf Bedacht zu nehmen sein, dass die jeweiligen sektorspezifischen Bestimmungen insgesamt ein zumindest gleich hohes Schutzniveau mit Blick auf die Resilienz kritischer Einrichtungen bieten.
Da in den Sektoren digitale Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen auf Grund einschlägiger Unionsrechtsakte bereits ein ausreichend hohes Resilienzniveau kritischer Einrichtungen gewährleistet ist, soll – ebenfalls zur Vermeidung von Doppelarbeit und unnötigem Aufwand – in Abs. 3 vorgesehen werden, dass § 11 Abs. 5 bis 7 sowie die §§ 14, 15, 17 und 19 für die in diesen Sektoren ermittelten kritischen Einrichtungen nicht gelten sollen (vgl. auch Art. 8 RKE-RL sowie ErwGr 21 zur RKE-RL) und soll demnach etwa auch die Bestimmung gemäß § 16 (Zuverlässigkeitsüberprüfungen) nicht anwendbar sein, zumal es sich hierbei um eine Resilienzmaßnahme gemäß § 15 Abs. 2 Z 5 handeln soll. Über diesen Umstand sollen die betreffenden Einrichtungen in dem gemäß § 11 Abs. 1 zu erlassenden Bescheid belehrt werden (§ 11 Abs. 4; vgl. Art. 6 Abs. 3 Unterabsatz 1 RKE-RL). Da Einrichtungen in diesen Sektoren demnach nicht den in diesem Bundesgesetz vorgesehenen Verpflichtungen unterliegen sollen, soll folglich auch das Aufsichts- und Durchsetzungs- bzw. Sanktionsregime gemäß den vorgeschlagenen §§ 20 und 21 sowie den §§ 23 und 24 nicht zur Anwendung gelangen.
Zu § 19 (Kritische Einrichtungen von besonderer europäischer Bedeutung):
Da kritische Einrichtungen als Teil eines immer stärker verflochtenen Dienstleistungs- und Infrastrukturnetzes wesentliche Dienste regelmäßig auch im Hoheitsgebiet anderer Mitgliedstaaten erbringen und diesen demnach eine unverzichtbare Rolle bei der Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten im Binnenmarkt zukommt, unterstreicht die RKE-RL die besondere Bedeutung jener kritischen Einrichtungen, die wesentliche Dienste für oder in sechs oder mehr Mitgliedstaaten zur Verfügung stellen, weshalb diese spezifische Unterstützung auf Unionsebene erhalten sollen (vgl. ErwGr 35 zur RKE-RL).
In Umsetzung des Art. 17 Abs. 2 RKE-RL soll in Abs. 1 daher vorgesehen werden, dass kritische Einrichtungen den Bundesminister für Inneres unverzüglich darüber zu informieren haben, dass sie wesentliche Dienste für oder in mindestens sechs Mitgliedstaaten erbringen. Diese Mitteilungspflicht soll mit Eintritt der formellen Rechtskraft eines gemäß § 11 Abs. 1 erlassenen Bescheids entstehen bzw. falls die Voraussetzungen erst zu einem späteren Zeitpunkt vorliegen, ab diesem. In dieser Mitteilung soll auch anzugeben sein, um welche wesentlichen Dienste es sich jeweils handelt und in welchen Mitgliedstaaten diese erbracht werden. Fallen die Voraussetzungen nachträglich weg, sollen kritische Einrichtungen den Bundesminister für Inneres auch darüber zu informieren haben. Zwar sieht die RKE-RL eine Informationspflicht bei Wegfall der Voraussetzungen nicht ausdrücklich vor, jedoch scheint eine solche erforderlich, zumal mit der Einstufung als kritische Einrichtung von besonderer europäischer Bedeutung besondere Rechtsfolgen bzw. spezifische Verpflichtungen einhergehen (vgl. Abs. 3 und 4).
Wesentlich ist, dass es nach der Systematik der RKE-RL der Europäischen Kommission obliegt, nach Erhalt der Informationen gemäß Abs. 1 und entsprechender Konsultation der involvierten Mitgliedstaaten festzustellen, ob es sich um eine kritische Einrichtung von besonderer europäischer Bedeutung handelt. Ist dies der Fall, hat sie diesen Umstand den zuständigen Behörden mitzuteilen (vgl. Art. 17 Abs. 3 RKE-RL). Gemäß Abs. 2 soll der Bundesminister für Inneres sodann dazu verpflichtet sein, eine solche Mitteilung der Europäischen Kommission über die Einstufung als kritische Einrichtung von besonderer europäischer Bedeutung unverzüglich an die jeweilige kritische Einrichtung weiterzuleiten und diese über ihre Verpflichtungen gemäß den Abs. 3 und 4, einschließlich des Zeitpunkts, ab dem diese gelten, zu unterrichten. Die Übermittlung der Mitteilung und der „Rechtsbelehrung“ sollten tunlichst zeitgleich erfolgen, zumal kritische Einrichtungen bereits ab dem Zeitpunkt der Zustellung der Mitteilung über ihre Einstufung an die Verpflichtungen gemäß den Abs. 3 und 4 gebunden sein sollen (vgl. Art. 17 Abs. 4 RKE-RL). Die Wirksamkeit der Zustellung soll sich nach den allgemeinen Regeln des ZustG richten.
Wenngleich die RKE-RL keine entsprechende Informationspflicht festlegt, scheint im Hinblick darauf, dass mit der Einstufung als kritische Einrichtung von besonderer Bedeutung für Europa spezifische Rechtsfolgen verbunden sind (vgl. dazu sogleich unten), eine Information der Europäischen Kommission durch den Bundesminister für Inneres auch über den Wegfall der Voraussetzungen angezeigt. Widerruft die Europäische Kommission in weiterer Folge die Einstufung als kritische Einrichtung von besonderer Bedeutung für Europa, soll der Bundesminister für Inneres diese Mitteilung sowie die Information, dass die Verpflichtungen gemäß den Abs. 3 und 4 ab wirksamer Zustellung der Mitteilung nicht mehr erfüllt werden müssen, ebenfalls unverzüglich an die jeweilige Einrichtung weiterzuleiten haben.
Gemäß Art. 18 RKE-RL hat die Europäische Kommission Beratungsmissionen zur Bewertung der Maßnahmen, die eine kritische Einrichtung von besonderer Bedeutung für Europa in Erfüllung ihrer Verpflichtungen gemäß den Vorgaben der RKE-RL ergriffen hat, zu organisieren und unterliegen die auf diesem Wege überprüften kritischen Einrichtungen besonderen Verpflichtungen, die in den Abs. 3 und 4 abgebildet werden sollen. So sollen kritische Einrichtungen von besonderer Bedeutung für Europa gemäß Abs. 3 dazu verpflichtet sein, Beratungsmissionen Zugang zu ihrer kritischen Infrastruktur (darunter fallen etwa Systeme und Anlagen, die der Bereitstellung ihrer wesentlichen Dienste dienen) im erforderlichen Ausmaß zu ermöglichen sowie Einsicht in relevante Unterlagen und Informationen zu gewähren (vgl. Art. 18 Abs. 7 RKE-RL). Die RKE-RL weist in diesem Zusammenhang ausdrücklich darauf hin, dass Beratungsmissionen den jeweiligen nationalen Rechtsvorschriften – etwa über die Bedingungen für den Zugang zu den entsprechenden Räumlichkeiten oder Dokumenten – unterliegen sollen (vgl. ErwGr 36 zur RKE-RL).
Gemäß Abs. 4 sollen kritische Einrichtungen von besonderer Bedeutung für Europa zudem verpflichtet sein, den Bundesminister für Inneres über Maßnahmen zu unterrichten, die aufgrund einer Empfehlung der Europäischen Kommission gemäß Art. 18 Abs. 4 Unterabsatz 3 RKE-RL ergriffen wurden. Daraus ergibt sich, dass die überprüften kritischen Einrichtungen eine entsprechende Stellungnahme der Europäischen Kommission prüfen, bewerten und gegebenenfalls den darin zum Ausdruck gebrachten Empfehlungen gebührend Rechnung tragen sollen (vgl. Art. 18 Abs. 4 Unterabsatz 4 RKE-RL).
Zu § 20 (Aufsichts- und Durchsetzungsmaßnahmen):
Gemäß Art. 21 RKE-RL sind die Mitgliedstaaten dazu verpflichtet, die zuständige Behörde unter Wahrung des Grundsatzes der Verhältnismäßigkeit mit spezifischen Befugnissen auszustatten, um die ordnungsgemäße Anwendung und Durchsetzung der gemäß dieser Richtlinie erlassenen nationalen Vorschriften in Bezug auf kritische Einrichtungen sicherzustellen (vgl. dazu auch die Erläuterungen zu § 4 Abs. 2). Demnach sollen die Mitgliedstaaten solche Maßnahmen vorsehen, die erforderlich sind, um die Erfüllung der jeweiligen Verpflichtung durch die betreffende kritische Einrichtung sicherzustellen, wobei insbesondere deren wirtschaftliche Leistungsfähigkeit sowie die Schwere des Verstoßes berücksichtigt werden sollen. Die der zuständigen Behörde übertragenen Befugnisse sollen zudem mit angemessenen und wirksamen Garantien einhergehen, die national im Einklang mit der Charta der Grundrechte der Europäischen Union festgelegt werden sollen (vgl. auch ErwGr 40 zur RKE-RL).
Wie bereits in den Erläuterungen zu § 4 Abs. 2 näher ausgeführt ist es zur unionsrechtskonformen Umsetzung zwingend erforderlich, dass der Bundesminister für Inneres seine Befugnisse nach diesem Bundesgesetz – und damit insbesondere auch jene im Rahmen des Aufsichts- und Durchsetzungsregimes – gegenüber sämtlichen gemäß den §§ 11 und 12 mit Bescheid als kritisch eingestuften Einrichtungen und somit gegebenenfalls auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung ausüben kann. Dabei gilt es zu beachten, dass das Aufsichts- und Durchsetzungsregime auf Einrichtungen im Sektor öffentliche Verwaltung (und damit auch oberste Organe der Vollziehung), deren Wirkungsbereiche überwiegend die nationale Sicherheit einschließlich der militärischen Landesverteidigung, die öffentliche Sicherheit oder die Strafverfolgung umfassen, keine Anwendung finden soll, zumal diese gemäß dem vorgeschlagenen § 12 Abs. 2 nicht den Bestimmungen dieses Bundesgesetzes unterliegen.
In den Abs. 1 bis 4 sollen die einzelnen dem Bundesminister für Inneres im Rahmen der Aufsicht und Durchsetzung übertragenen Befugnisse festgelegt werden. Demnach soll der Bundesminister für Inneres gemäß Abs. 1 befugt sein, von kritischen Einrichtungen zu verlangen, die Risikoanalyse, den Resilienzplan sowie sonstige Nachweise für die Erfüllung der Verpflichtungen gemäß den §§ 14 und 15 innerhalb einer – je nach Art und Umfang des Informationsverlangens – angemessenen Frist zu übermitteln, soweit dies zur Wahrnehmung seiner Aufgaben nach diesem Bundesgesetz erforderlich ist (vgl. auch die unionsrechtlichen Vorgaben in Art. 21 Abs. 2 lit. a und b RKE-RL). Dabei sollen der Zweck der Überprüfung sowie Art und Umfang der erforderlichen Informationen bereits aus dem „Auskunftsverlangen“ klar hervorgehen (vgl. Art. 21 Abs. 2 Unterabsatz 2 RKE-RL). Im Zuge einer solchen Überprüfung soll der Bundesminister für Inneres allenfalls auch die Gleichwertigkeit von Risikoanalysen und Resilienzmaßnahmen, die etwa aufgrund anderer rechtlicher Verpflichtungen durchgeführt wurden, zu beurteilen haben (vgl. § 14 Abs. 3 sowie § 15 Abs. 3). Zudem soll – im Sinne eines „abgestuften“ Vorgehens – der Bundesminister für Inneres von kritischen Einrichtungen die Durchführung von Audits (§ 3 Z 13) durch Resilienzauditoren gemäß § 21 verlangen können (vgl. Art. 21 Abs. 1 lit. b RKE-RL), sofern die von der jeweiligen kritischen Einrichtung übermittelten Nachweise nicht ausreichen, um beurteilen zu können, ob die Anforderungen gemäß den §§ 14 und 15 erfüllt wurden. Wesentlich ist, dass der Bundesminister für Inneres an das Ergebnis eines Audits nicht gebunden sein soll, sondern soll dieses als Teil seiner Entscheidungsgrundlage der freien Beweiswürdigung unterliegen. Die abschließende Beurteilung der Umsetzung der Verpflichtungen gemäß den §§ 14 und 15 soll demnach allein dem Bundesminister für Inneres als zuständige Behörde obliegen.
In Abs. 2 soll die korrespondierende – ergänzende – Nachweispflicht kritischer Einrichtungen näher präzisiert werden und sollen demnach dem Bundesminister für Inneres auf Verlangen sämtliche zur Überprüfung der Anforderungen gemäß den §§ 14 und 15 erforderlichen Informationen sowie der Prüfbericht über durchgeführte Audits zu übermitteln sein.
In Umsetzung des Art. 21 Abs. 1 lit. a RKE-RL soll der Bundesminister für Inneres zur Überprüfung der ergriffenen Resilienzmaßnahmen (§ 15) gemäß Abs. 3 dazu ermächtigt sein, Vor-Ort-Kontrollen der kritischen Infrastruktur sowie jener Räumlichkeiten von kritischen Einrichtungen vorzunehmen, die der Erbringung eines wesentlichen Dienstes dienen. Die Zulässigkeit dieser Kontrollen soll demnach im Sinne der Verhältnismäßigkeit und Erforderlichkeit ausschließlich auf solche Bereiche beschränkt sein, die einen unmittelbaren Konnex zur Erbringung eines wesentlichen Dienstes aufweisen. Der Bundesminister für Inneres soll überdies die beabsichtigte Durchführung einer Vor-Ort-Kontrolle vorab ankündigen und werden bei Festlegung des Termins wohl berechtigte Interessen der jeweiligen kritischen Einrichtung zu berücksichtigen sein. Die Vorankündigung von Vor-Ort-Kontrollen ist insbesondere auch deshalb angezeigt, um der jeweiligen kritischen Einrichtung in Anbetracht ihrer umfangreichen Mitwirkungspflichten Gelegenheit zu geben, Vorsorge für entsprechende personelle Ressourcen zu treffen. So sollen kritische Einrichtungen zunächst verpflichtet sein, dem Bundesminister für Inneres auf sein Verlangen das gefahrlose Betreten und Besichtigen ihrer kritischen Infrastruktur und Räumlichkeiten – soweit erforderlich – zu ermöglichen sowie die relevanten Informationen zu erteilen und Einschau in einschlägige Unterlagen und Aufzeichnungen zu gewähren. Wesentlich ist, dass kritische Einrichtungen aktiv an einer solchen Überprüfung, insbesondere durch die Bereitstellung fachkundigen Personals, mitwirken sollen. Im Sinne des Grundsatzes der Verhältnismäßigkeit soll der Bundesminister für Inneres die Überprüfung nur auf das unbedingt erforderliche Ausmaß beschränken, wobei er unter möglichster Schonung der Rechte der jeweiligen kritischen Einrichtung sowie Dritter, etwa im Hinblick auf die Wahrung von Betriebsgeheimnissen, vorgehen soll.
Art. 6 Abs. 2 RKE-RL legt bestimmte Kriterien fest, die bei der Ermittlung kritischer Einrichtungen zu berücksichtigen sind. Demnach muss die Einrichtung ua. im Bundesgebiet tätig sein und über eine kritische Infrastruktur im Inland verfügen. Eine inländische Niederlassung stellt hingegen keine Voraussetzung für die Einstufung als kritische Einrichtung dar. Daher soll der Bundesminister für Inneres im Hinblick auf kritische Einrichtungen, die ihre Niederlassung in einem anderen Mitgliedstaat haben, ermächtigt sein, die zuständige Behörde dieses Mitgliedstaates zu ersuchen, eine Überprüfung nach Abs. 3 vorzunehmen und das Ergebnis als Entscheidungsgrundlage heranzuziehen (Abs. 4). Voraussetzung für ein solches Ersuchen soll sein, dass die Vornahme von Vor-Ort-Kontrollen durch die zuständige Behörde des jeweiligen Mitgliedstaates erforderlich ist, um die Einhaltung der Verpflichtungen gemäß § 15 umfassend überprüfen zu können. Aus der Zusammenschau mit den Maßnahmen gemäß Abs. 3 ergibt sich, dass sich das Ersuchen (ebenfalls) nur auf solche Räumlichkeiten bzw. Bereiche beziehen soll, die der Erbringung des wesentlichen Dienstes dienen.
Gelangt der Bundesminister für Inneres im Zuge der Überprüfungen gemäß den Abs. 1 bis 4 zu dem Ergebnis, dass die in den §§ 14 und 15 festgelegten Anforderungen an die Risikoanalyse bzw. an die Resilienzmaßnahmen nicht bzw. nicht ordnungsgemäß erfüllt werden (zB Nichtberücksichtigung des All-Gefahren-Ansatzes), soll gemäß Abs. 5 die jeweilige kritische Einrichtung mit Bescheid dazu verpflichtet werden, binnen einer angemessenen Frist notwendige und verhältnismäßige Maßnahmen nachweislich zu ergreifen (vgl. Art. 21 Abs. 3 RKE-RL). Wesentlich ist, dass bei Festlegung der angemessenen Frist seitens des Bundesministers für Inneres darauf Bedacht zu nehmen sein wird, dass die jeweilige Verpflichtung durch die kritische Einrichtung auch erfüllt werden kann und sollen zeitliche Verzögerungen, die nicht im Einflussbereich der kritischen Einrichtung liegen, bei der Fristgewährung mitbedacht werden. Damit soll der jeweiligen kritischen Einrichtung ausreichend Gelegenheit zur Herstellung des rechtmäßigen Zustandes gegeben werden und soll erst die Nichtbefolgung eines rechtskräftigen Bescheids gemäß Abs. 5 als Verwaltungsübertretung strafbar sein (vgl. dazu die Erläuterungen zu § 23).
Wesentlich ist, dass der Bundesminister für Inneres die in den Abs. 1 bis 3 vorgesehenen Aufsichts- und Durchsetzungsmaßnahmen nicht mit Zwangsgewalt durchsetzen kann. Zuwiderhandlungen gegen die in diesen Bestimmungen normierten Informations- bzw. Mitwirkungspflichten begründen jedoch eine Verwaltungsübertretung (vgl. § 23) bzw. haben diese bei Stellen der öffentlichen Verwaltung eine bescheidmäßige Feststellung der Pflichtverletzung zur Folge (vgl. § 24) und steht kritischen Einrichtungen gegen diesbezügliche Bescheide jeweils der Rechtsweg zum zuständigen Landesverwaltungsgericht offen, womit dem in Art. 21 Abs. 4 RKE-RL postulierten Anspruch auf effektiven Rechtsschutz hinreichend Rechnung getragen wird (vgl. § 6 Abs. 2).
Die Regelung in Abs. 6 dient der Umsetzung der in Art. 21 Abs. 5 RKE-RL vorgesehenen Verpflichtung zur Zusammenarbeit sowie zum Informationsaustausch zwischen der zuständigen Behörde sowie jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS-2-RL als zuständige Behörden benannt oder eingerichtet wurden, im Zusammenhang mit der Ergreifung von Aufsichts- und Durchsetzungsmaßnahmen.
Zu § 21 (Resilienzauditoren):
In Abs. 1 soll festgelegt werden, welche Voraussetzungen erforderlich sind, um gemäß § 20 Abs. 1 als Resilienzauditor zur Durchführung von Audits (§ 3 Z 13) fungieren zu können. Demnach soll es sich bei einem Resilienzauditor um eine natürliche oder juristische Person oder eingetragene Personengesellschaft handeln, der seine Niederlassung entweder in Österreich oder in einem anderen Mitgliedstaat der Europäischen Union hat und aufgrund eines begründeten schriftlichen Antrags mit Bescheid des Bundesministers für Inneres zur Durchführung von Audits berechtigt wurde. Bereits im Antrag soll das Vorliegen sämtlicher Voraussetzungen, insbesondere jener gemäß Abs. 2, ausführlich dargelegt werden.
Da die Durchführung von Audits zur Überprüfung der Einhaltung der Verpflichtungen gemäß den §§ 14 und 15 eine besonders verantwortungsvolle Aufgabe darstellt, die in der Regel mit einem Zugang zu besonders sensiblen Informationen einhergeht, sollen Resilienzauditoren gemäß Abs. 2 selbst sicherheitsüberprüft sein bzw. – bei juristischen Personen – im Rahmen der Personalauswahl dazu verpflichtet sein, lediglich sicherheitsüberprüfte Prüfer einzusetzen. Zudem soll sichergestellt werden, dass Sicherheitsvorkehrungen (etwa in Bezug auf die physische Sicherheit sowie betreffend ihre Netz- und Informationssysteme) erfüllt werden, für die Durchführung von Audits geeignete technische und organisatorische Hilfsmittel (zB IT-Anwendungen) Verwendung finden und der Resilienzauditor über ein System zur Qualitätssicherung verfügt. Der Bundesminister für Inneres soll ermächtigt werden, diese Anforderungen mit Verordnung näher festzulegen und soll die diesbezügliche Verordnungsermächtigung zudem die Festlegung näherer verfahrensrechtlicher Bestimmungen sowie – mit Blick auf eine verwaltungsökonomische standardisierte und strukturierte Vorgehensweise – Regelungen hinsichtlich Form und Inhalt des Prüfberichts umfassen.
Um sicherzustellen, dass die gemäß Abs. 2 festgelegten Voraussetzungen von Resilienzauditoren auch tatsächlich erfüllt werden, soll dem Bundesminister für Inneres gemäß Abs. 3 die Befugnis übertragen werden, diesbezügliche Auskünfte zu verlangen und Einschau in für die Überprüfung relevante Unterlagen zu nehmen. Zudem soll der Bundesminister für Inneres dazu ermächtigt sein, auf die Räumlichkeiten der Resilienzauditoren beschränkte Vor-Ort-Kontrollen durchzuführen, wobei diese dem jeweiligen Resilienzauditor zuvor anzukündigen sein sollen. Bei der Festlegung des Termins sollte tunlichst auf das Einvernehmen mit dem jeweiligen Resilienzauditor hingewirkt werden, zumal aufgrund des Verweises auf § 20 Abs. 3 zweiter bis vierter Satz umfangreiche Mitwirkungspflichten bestehen sollen und dementsprechend seitens der zu überprüfenden Stelle für die Bereitstellung ausreichender (personeller) Ressourcen gesorgt werden muss (vgl. die Erläuterungen zu § 20 Abs. 3). Für den Fall, dass Resilienzauditoren ihre Niederlassung in einem anderen Mitgliedstaat der Europäischen Union haben, soll § 20 Abs. 4 sinngemäß gelten.
In Abs. 4 soll vorgesehen werden, dass Resilienzauditoren jede Änderung der Voraussetzungen gemäß Abs. 2 sowie deren Wegfall dem Bundesminister für Inneres unverzüglich bekannt zu geben haben (zur Beurteilung der „Unverzüglichkeit“ vgl. die Erläuterungen zu § 11).
Erfüllt ein Resilienzauditor eine oder mehrere der gemäß Abs. 2 bzw. in einer allfälligen Verordnung festgelegten Voraussetzungen nicht mehr, soll dieser vom Bundesminister für Inneres dazu aufgefordert werden, binnen einer angemessenen Frist diesen Zustand nachweislich zu beheben (zur Beurteilung der „angemessenen Frist“ vgl. die Erläuterungen zu § 20 Abs. 5). Lässt der Resilienzauditor diese Frist ungenützt verstreichen bzw. wird den Anforderungen nicht zur Gänze nachweislich entsprochen, soll der Bundesminister für Inneres dazu verpflichtet sein, die Erteilung der Berechtigung mit Bescheid gemäß Abs. 1 zu widerrufen (Abs. 5). Der rechtskräftige Widerruf soll zur Folge haben, dass der jeweilige Resilienzauditor seinen „Status“ verliert und folglich nicht mehr zur Durchführung von Audits herangezogen werden kann.
Wesentlich ist, dass kritische Einrichtungen in der Auswahl eines (bescheidmäßig berechtigten) Resilienzauditors frei sein sollen und die Kosten der Durchführung von Audits selbst zu tragen haben. Vor dem Hintergrund, dass sie demnach eine Übersicht über die berechtigten Resilienzauditoren benötigen, soll der Bundesminister für Inneres gemäß Abs. 6 dazu verpflichtet sein, eine aktuelle Liste mit den berechtigten Resilienzauditoren zu führen und den kritischen Einrichtungen in geeigneter Weise zur Verfügung zu stellen. Diese Liste kann beispielsweise auf der öffentlich zugänglichen Homepage des Bundesministeriums für Inneres bereitgestellt werden.
Resilienzauditoren werden im Zuge der Durchführung von Audits gemäß Abs. 1 mitunter vertrauliche Informationen über die jeweiligen kritischen Einrichtungen erlangen. Daher soll in Abs. 7 vorgesehen werden, dass Resilienzauditoren über die im Rahmen der Durchführung von Audits bekanntgewordenen Tatsachen und Erkenntnisse zur Verschwiegenheit verpflichtet sind, sofern deren Geheimhaltung im Interesse der jeweiligen kritischen Einrichtungen geboten ist. Dies soll sinngemäß auch für das seitens der Resilienzauditoren eingesetzte Personal gelten.
Zu § 22 (Verständigungspflichten):
Gemäß § 25 Abs. 3 VStG sind die Gerichte und Verwaltungsbehörden nicht verpflichtet, der Strafbehörde die Begehung einer Verwaltungsübertretung anzuzeigen, wenn die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat gering sind. Den Materialien lässt sich entnehmen, dass es sich dabei lediglich um eine partielle Einschränkung von allfälligen in anderen Gesetzen vorgesehenen Anzeigepflichten handeln soll und demnach mit dieser Bestimmung selbst keine Anzeigepflicht normiert wird (vgl. ErläutRV 2009 BlgNr. 24. GP 19). Um vor dem Hintergrund einer unionsrechtskonformen Umsetzung eine wirksame Sanktionierung sicherzustellen (vgl. Art. 22 RKE-RL) und eine ordnungsgemäße Führung von Strafverfahren nach diesem Bundesgesetz zu gewährleisten, soll daher vorgesehen werden, dass der Bundesminister für Inneres Sachverhalte, die den Verdacht einer Verwaltungsübertretung gemäß § 23 Abs. 1 oder 2 begründen, der zuständigen Bezirksverwaltungsbehörde zur Anzeige zu bringen hat.
Wesentlich ist, dass die Anwendbarkeit der Bestimmung des § 25 Abs. 3 VStG, die vom Bundesgesetzgeber auf Grundlage der Bedarfskompetenz nach Art. 11 Abs. 2 B-VG erlassen wurde, von der im vorgeschlagenen Abs. 1 statuierten Anzeigepflicht des Bundesministers für Inneres im Hinblick auf Verwaltungsübertretungen gemäß § 23 Abs. 1 und 2 zwar grundsätzlich unberührt bleibt. Angesichts der Bedeutung der physischen Sicherheit von Einrichtungen, die für wichtige gesellschaftliche Funktionen oder wirtschaftliche Tätigkeiten im Binnenmarkt unerlässliche Dienste erbringen, wird jedoch für die Anwendbarkeit des § 25 Abs. 3 VStG häufig kein Raum sein und bedarf es zudem vor dem Hintergrund des Art. 22 RKE-RL einer unionsrechtskonformen und damit wohl restriktiven Anwendung dieser Bestimmung im Vollzug.
Die vorliegende Verständigungspflicht des Bundesministers für Inneres gegenüber den Bezirksverwaltungsbehörden soll auch im Hinblick auf die Nichteinhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen durch Behörden und sonstige Stellen der öffentlichen Verwaltung einschließlich der Gebietskörperschaften sowie in Formen des Privatrechts eingerichtete Stellen der öffentlichen Verwaltung zur Anwendung gelangen (vgl. die in § 24 vorgesehene Regelung), zumal die Bezirksverwaltungsbehörden in der Regel wohl erst aufgrund einer solchen Verständigung Kenntnis von der Nichteinhaltung der Verpflichtungen erlangen werden.
In Abs. 2 soll zudem angeordnet werden, dass die Bezirksverwaltungsbehörde dem Bundesminister für Inneres einen jährlichen Bericht über eingeleitete Verwaltungsstrafverfahren sowie Verfahren gemäß § 24 sowie die Gründe für eine allenfalls unterbliebene Einleitung oder Einstellung nach standardisierten Vorgaben innerhalb einer bestimmten Frist zu erstatten hat. Diese Berichtspflicht soll einerseits die einheitliche Auslegung und Anwendung dieses Bundesgesetzes erleichtern und andererseits den Anforderungen des Art. 22 RKE-RL Rechnung tragen.
Zu § 23 (Verwaltungsstrafverfahren):
Mit dieser Bestimmung soll Art. 22 RKE-RL umgesetzt werden, der die Mitgliedstaaten dazu verpflichtet, „wirksame, verhältnismäßige und abschreckende“ Sanktionen bei Verstößen gegen die sich aus der RKE-RL ergebenden Verpflichtungen zu erlassen.
Die Strafen sollen hinsichtlich ihrer Höhe je nach Schweregrad bzw. Unrechtsgehalt der Verwaltungsübertretungen differenziert ausgestaltet werden.
In Abs. 1 sollen zunächst jene Verwaltungsübertretungen festgelegt werden, die weniger schwerwiegende Auswirkungen auf die Resilienz kritischer Einrichtungen befürchten lassen. Dabei soll es sich insbesondere um die Verletzung allgemeiner Melde- sowie Mitwirkungspflichten kritischer Einrichtungen bzw. durch Resilienzauditoren handeln und soll ein solcher Verstoß – angelehnt an die Strafdrohung des Netz- und Informationssystemsicherheitsgesetzes (NISG), BGBl. I Nr. 111/2018 – von der zuständigen Bezirksverwaltungsbehörde mit einer Geldstrafe bis zu 50 000 Euro, im Wiederholungsfall bis zu 100 000 Euro zu bestrafen sein. Demnach soll eine Verwaltungsübertretung begehen, wer entgegen § 11 Abs. 5 keine Kontaktstelle oder keine Ansprechperson benennt bzw. diesbezügliche Änderungen nicht rechtzeitig bekannt gibt. Da die Bekanntgabe eines Zustellungsbevollmächtigten gemäß § 9 ZustG seitens kritischer Einrichtungen ohne Abgabestelle in Österreich notwendig ist, um eine rasche und rechtlich wirksame Zustellung wichtiger behördlicher Erledigungen nach diesem Bundesgesetz zu ermöglichen (vgl. § 11 Abs. 6), soll eine Verletzung dieser Mitteilungspflicht ebenfalls unter (Verwaltungs-)Strafe gestellt werden. Wie bereits zu § 11 Abs. 7 näher erläutert müssen auch jene Einrichtungen, die keine Niederlassung im Inland haben, zur vollständigen Umsetzung der unionsrechtlichen Vorgaben verpflichtet und bei Nichteinhaltung dieser Verpflichtungen sanktioniert werden können. Vor diesem Hintergrund soll auch die Nichtbekanntgabe eines verantwortlichen Beauftragten gemäß § 9 VStG entgegen der in § 11 Abs. 7 normierten Mitteilungspflicht als Verwaltungsübertretung strafbar sein (Z 2). Die Z 3 und 4 sollen die nicht unverzügliche Bekanntgabe von Änderungen des für die Einstufung maßgeblichen Sachverhalts (vgl. § 11 Abs. 9) sowie die Nichterstellung bzw. die nicht fristgerechte Erstellung der Risikoanalyse (vgl. § 14 Abs. 1) unter Strafe stellen. Die Z 5 und 6 sollen die Verletzung von Mitteilungs- bzw. Mitwirkungspflichten kritischer Einrichtungen von besonderer Bedeutung für Europa sanktionieren. Da der Bundesminister für Inneres bei der Ausübung seiner Aufsichts- und Durchsetzungsmaßnahmen gemäß § 20 regelmäßig auf die Kooperation bzw. aktive Mitwirkung der zu überprüfenden kritischen Einrichtung angewiesen sein wird, sollen nach Z 7 und 8 Zuwiderhandlungen gegen die Verpflichtungen gemäß § 20 Abs. 2 und 3 ebenfalls unter Strafe gestellt werden. Z 9 und 10, richten sich hingegen an Resilienzauditoren als deren Adressaten und erklären Zuwiderhandlungen gegen die Verpflichtungen gemäß § 21 Abs. 3 sowie die Nichtvornahme einer Mitteilung gemäß § 21 Abs. 4 zur Verwaltungsübertretung. Zudem soll ein Verstoß gegen die Verpflichtung zur vertraulichen Behandlung gemäß § 21 Abs. 7 unter Verwaltungsstrafe gestellt werden (Z 11).
Bei den in Abs. 2 normierten Verwaltungsübertretungen handelt es sich angesichts ihrer potenziellen Auswirkungen auf die Resilienz kritischer Einrichtungen und die damit verbundene gesamtstaatliche Bedeutung um besonders schwerwiegende Verstöße und soll die Begehung aus spezial- und generalpräventiven Erwägungen mit einer entsprechend hohen Geldstrafe bedroht sein, wobei in diesem Zusammenhang eine Orientierung am in Deutschland für das RKE-Regime angedachten Strafrahmen erfolgen soll. Demnach soll für die Begehung einer Verwaltungsübertretung gemäß Abs. 2 von der zuständigen Bezirksverwaltungsbehörde eine Geldstrafe von bis zu 500 000 Euro (vgl. § 19 Abs. 2 VStG) festzulegen sein. Im Zusammenhang mit der Festsetzung hoher Verwaltungsstrafen hat der VfGH zur Frage der Verfassungskonformität des § 99d des Bankwesengesetzes (BWG), idF BGBl I Nr. 184/2013, in Abkehr von seiner bisherigen Rechtsprechung bereits ausgesprochen, dass sich die Höhe der angedrohten Sanktion im Ergebnis als kein taugliches Mittel für die Abgrenzung des gerichtlichen Strafrechts und des Verwaltungsstrafrechts erweist (vgl. VfSlg. 20.231/2017). Demnach soll gemäß Abs. 2 eine Verwaltungsübertretung begehen, wer den in einem rechtskräftigen Bescheid gemäß § 20 Abs. 5 angeordneten Maßnahmen nicht ordnungsgemäß nachkommt (Z 1). Wesentlich ist, dass Entscheidungsgrundlage der zuständigen Bezirksverwaltungsbehörde allein die Frage sein soll, ob die in einem solchen (Leistungs-)Bescheid des Bundesministers für Inneres angeordneten Maßnahmen von der jeweiligen kritischen Einrichtung vollständig und fristgerecht umgesetzt wurden, wobei der Eintritt der (formellen) Rechtskraft dieses Bescheids Voraussetzung für die Verhängung einer Verwaltungsstrafe sein soll. Demnach soll ein Verstoß gegen die Anforderungen an die Risikoanalyse bzw. die Resilienzmaßnahmen gemäß den §§ 14 oder 15 für sich genommen (noch) keine Verwaltungsübertretung begründen, sondern erst die Nichtbefolgung eines rechtskräftigen Bescheids des Bundesministers für Inneres gemäß § 20 Abs. 5. In Z 2 sollen die Nichtmeldung sowie die nicht fristgerechte Meldung von Sicherheitsvorfällen gemäß § 17 Abs. 1 und 4 für strafbar erklärt werden.
Gemäß den Abs. 3 und 4 soll – neben dem subsidiären („sofern die Verwaltungsvorschriften nicht anderes bestimmen“) Regime der strafrechtlichen Verantwortlichkeit juristischer Personen gemäß § 9 VStG – unter bestimmten Voraussetzungen auch eine unmittelbare Verantwortlichkeit und Sanktionierung von juristischen Personen sowie eingetragenen Personengesellschaften ermöglicht werden, wobei sich die Formulierung an § 30 DSG orientiert. Demnach soll die Bezirksverwaltungsbehörde unter den Voraussetzungen der Abs. 3 und 4 Geldstrafen gegen eine juristische Person oder eingetragene Personengesellschaft verhängen können. Da das VStG lediglich das Verfahren für die Strafbarkeit natürlicher Personen normiert, ist vor dem Hintergrund der unionsrechtlichen Vorgabe, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen und Geldstrafen dementsprechend hoch festzusetzen sein werden, die Abweichung vom Regime des § 9 VStG zur vollständigen Umsetzung des Art. 22 RKE-RL erforderlich.
In Anlehnung an § 30 Abs. 3 DSG und damit es in keinem Fall zu einer Doppelbestrafung kommen kann, soll die zuständige Bezirksverwaltungsbehörde gemäß Abs. 5 von der Bestrafung eines Verantwortlichen gemäß § 9 VStG abzusehen haben, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person oder eingetragene Personengesellschaft verhängt wurde.
Zu § 24 (Nichteinhaltung von Verpflichtungen durch Stellen der öffentlichen Verwaltung):
Vor dem Hintergrund, dass unter bestimmten Voraussetzungen auch Behörden und sonstige – sowohl in Formen des öffentlichen Rechts als auch des Privatrechts eingerichtete – Stellen der öffentlichen Verwaltung einschließlich der Gebietskörperschaften vom Anwendungsbereich der RKE-RL umfasst sind und demnach eine Einstufung als kritische Einrichtungen in Betracht kommt, bedarf es zur unionsrechtskonformen Umsetzung des Art. 22 RKE-RL eines wirksamen Sanktionsmechanismus im Sinne dieser Bestimmung. In der österreichischen Rechtsordnung ist die Möglichkeit der Verhängung von Geldstrafen gegenüber Behörden grundsätzlich nicht vorgesehen, zumal diese selbst keine Rechtsträger sind und demnach keine Rechtspersönlichkeit besitzen. Vielmehr haften die hinter diesen Behörden stehenden Rechtsträger und deren Organe (Bund, Länder, Gemeinden, sonstige Körperschaften und Anstalten des öffentlichen Rechts) im Rahmen der Amts- und Organhaftung für Schäden, die im Zuge hoheitlicher Vollziehung verursacht wurden. Zudem scheint die Sinnhaftigkeit einer Umverteilung finanzieller Mittel innerhalb des Budgets, zu der es bei der Verhängung von Geldstrafen gegenüber Behörden kommen würde, höchst fraglich und wäre damit allenfalls eine Gefährdung der gesetzlichen Aufgabenerfüllung zu befürchten (vgl. auch Bresich/Riedl in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, Datenschutzgesetz [2018] § 30 Rz 15). Auch bei den Bundesministern als oberste Organe des Bundes handelt es sich um keine juristischen Personen und sind diese demnach auch nicht gemäß § 9 VStG zur Einhaltung der Verwaltungsvorschriften im Bereich des hoheitlichen Gesetzesvollzugs berufen. Der VfGH hat hierzu vielmehr in allgemeiner Weise ausgesprochen, dass eine „verwaltungsstrafrechtliche Strafbarkeit“ eines obersten Verwaltungsorgans für Handlungen im Rahmen des hoheitlichen Gesetzesvollzugs von vornherein nicht in Betracht kommt (vgl. VfGH 25.6.2013, E 473/2015). Die unionsrechtskonforme Umsetzung der RKE-RL erfordert jedoch einen Sanktionsmechanismus auch gegenüber Behörden und sonstige Stellen der öffentlichen Verwaltung, einschließlich obersten Organen der Vollziehung.
Auf Unionsebene finden sich Vorschriften, die die Veröffentlichung von Rechtsverstößen vorsehen (vgl. etwa Art. 60 der Richtlinie [EU] 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung [EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission, ABl. Nr. L 141 vom 05.06.2015 S. 73, Art. 34 der Verordnung [EU] 596/2014 über Marktmissbrauch [Marktmissbrauchsverordnung] und zur Aufhebung der Richtlinie 2003/6/EG des Europäischen Parlaments und des Rates und der Richtlinien 2003/124/EG, 2003/125/EG und 2004/72/EG der Kommission, ABl. Nr. L 173 vom 12.06.2014 S. 1, oder Art. 9 der Verordnung [EU] 2023/1092 zur Änderung der Verordnung [EG] Nr. 2157/1999 über das Recht der Europäischen Zentralbank, Sanktionen zu verhängen [EZB/1999/4] [EZB/2023/13], ABl. Nr. L 146 vom 06.06.2013 S. 15). Den Erwägungsgründen dieser Rechtsvorschriften kann entnommen werden, dass die Veröffentlichung abschreckend wirken soll (vgl. etwa ErwGr 73 zur Marktmissbrauchsverordnung).
Vor dem Hintergrund, dass Geldstrafen gegenüber Behörden den Anforderungen des Art. 22 RKE-RL mangels Wirksamkeit und Abschreckung wohl nicht entsprechen würden (bloße Umverteilung finanzieller Mittel), bedarf es folglich einer alternativen Sanktionsmöglichkeit, die mit der gegenständlichen Verfassungsbestimmung normiert werden soll. Demnach sollen abweichend von § 23 keine Geldbußen gegen Behörden – unabhängig davon, ob diese im Sektor öffentliche Verwaltung oder in einem anderen Sektor als kritische Einrichtung ermittelt wurden – verhängt werden dürfen. Die zuständige Bezirksverwaltungsbehörde soll stattdessen nach den Bestimmungen des AVG bescheidmäßig die Nichteinhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen – sohin in mittelbarer Bundesverwaltung (vgl. dazu auch die Erläuterungen zu § 5) – festzustellen und eine angemessene Frist für die Herstellung des rechtmäßigen Zustandes anzuordnen haben (zur Beurteilung der „angemessenen Frist“ vgl. die Erläuterungen zu § 20 Abs. 5). Wesentlich ist, dass den Bezirksverwaltungsbehörden keine Aufgaben im Rahmen der Aufsicht und Durchsetzung (vgl. etwa § 20) übertragen werden sollen, sondern einzig der Bundesminister für Inneres als „Aufsichtsbehörde“ im Sinne des gegenständlichen Gesetzes fungieren soll. Wird dem Bescheid nicht ordnungsgemäß innerhalb der angeordneten Frist entsprochen, soll die Bezirksverwaltungsbehörde nach Eintritt der formellen Rechtskraft des Bescheids – angelehnt an die oben angeführten unionsrechtlichen Vorschriften – dazu verpflichtet sein, die Nichteinhaltung der Verpflichtungen in einer Weise zu veröffentlichen, die geeignet scheint, einen möglichst weiten Personenkreis zu erreichen. In Frage käme etwa eine Verbreitung der Informationen über Hörfunk oder Fernsehen sowie auf der Homepage der zuständigen Bezirksverwaltungsbehörde. Dabei soll die Bezirksverwaltungsbehörde darauf Bedacht zu nehmen haben, dass die Veröffentlichung keine Gefahr für die öffentliche Ordnung oder Sicherheit oder für die nationale Sicherheit (vgl. dazu auch die Erläuterungen zu § 8 Abs. 1) darstellt sowie keine schutzwürdigen Interessen kritischer Einrichtungen beeinträchtigt und sollen dementsprechend allenfalls lediglich allgemeine Informationen über das Vorliegen einer Pflichtverletzung öffentlich bekannt gemacht werden, die keine konkreten Rückschlüsse auf die davon betroffenen physischen Gegebenheiten und damit einhergehende Sicherheitsmängel zulassen (zur Möglichkeit der Bezirksverwaltungsbehörden, sich zu „Kompetenzzentren“ zusammenzuschließen vgl. die Erläuterungen zu § 5). Von der (Verfassungs-)Bestimmung sollen neben Behörden auch sonstige Stellen der öffentlichen Verwaltung einschließlich der Gebietskörperschaften sowie in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen der öffentlichen Verwaltung (insbesondere ausgegliederte Rechtsträger privaten oder öffentlichen Rechts) umfasst sein und soll demnach § 23 nicht zur Anwendung gelangen, da die Verhängung von Geldstrafen auch in diesen Fällen allenfalls eine bloße Umverteilung finanzieller Mittel zur Folge hätte und zu einer Gefährdung der gesetzlichen Aufgabenerfüllung führen könnte. Wesentlich ist, dass neben der Hoheitsverwaltung auch die gesamte Privatwirtschaftsverwaltung, für die es keiner besonderen gesetzlichen Ermächtigung bedarf, von dieser Regelung umfasst sein soll. Der Terminus „sonstige Stellen der öffentlichen Verwaltung“ ist bewusst weit gefasst und sollen allenfalls auch staatsnahe private und somit ausgegliederte Rechtsträger (vgl. VfGH 5.10.2023, G 265/2022, sowie VfGH 14.12.2023, G 328-335/2022) unter das alternative Sanktionsregime fallen. Organwalter sollen nicht unmittelbare Adressaten der sich aus dem gegenständlichen Gesetz ergebenden Verpflichtungen sein (vgl. die §§ 11 und 12). Vor dem Hintergrund, dass Behörden selbst von Verwaltungsstrafen ausgenommen sein sollen, kann auch keine verwaltungsstrafrechtliche Verantwortlichkeit der nach außen vertretungsbefugten Personen – also der Organwalter (im Rahmen der Privatwirtschaftsverwaltung, vgl. VwGH vom 21.10.1992, 92/10/0111 in Bezug auf den Bürgermeister einer Gemeinde; siehe auch VfGH 25.6.2015, E 473/2015) – in Frage kommen.
Der Sanktionscharakter dieser Regelung soll in dem durch die Veröffentlichung entstehenden öffentlichen und politischen Druck auf die jeweilige Behörde bzw. sonstige Stelle der öffentlichen Verwaltung zum Ausdruck kommen und wird damit dem Effizienz- und Verhältnismäßigkeitsgebot des Art. 22 RKE-RL hinreichend Genüge getan. Im Hinblick darauf, dass eine Einschränkung auf „als kritisch“ eingestufte Behörden erfolgt, soll etwa die Nichteinhaltung der dem Bundesminister für Inneres obliegenden Aufgaben (etwa § 10 Abs. 1) nicht unter diese Regelung fallen.
Zu § 25 (Umsetzung von Rechtsakten der EU):
Klargestellt wird, dass mit diesem Bundesgesetz die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG, ABl. Nr. L 333 vom 27.12.2022 S. 164, CELEX-Nr.: 32022L2557, umgesetzt wird.
Zu § 29 (Übergangsbestimmungen):
Da die RKE-RL den Mitgliedstaaten zahlreiche Verpflichtungen auferlegt, für deren Erfüllung umfassende organisatorische und personelle Maßnahmen erforderlich sind, soll der Zeitraum zwischen Kundmachung und Aufgabenwahrnehmung durch den Bundesminister für Inneres genutzt und dementsprechend in Abs. 1 normiert werden, dass bereits ab dem der Kundmachung dieses Bundesgesetzes folgenden Tag alle für die Ermöglichung einer zeitgerechten Aufgabenwahrnehmung durch den Bundesminister für Inneres erforderlichen vorbereitenden Maßnahmen organisatorischer und personeller Natur zu setzen sind.
Vor dem Hintergrund, dass der vorliegende Entwurf die nähere Ausgestaltung einzelner Vorgaben der RKE-RL einer Verordnung des Bundesministers für Inneres vorbehält, soll in Abs. 2 vorgesehen werden, dass Verordnungen auf Grund dieses Bundesgesetzes und seiner Novellen bereits ab dem Tag der Kundmachung dieses Bundesgesetzes bzw. der betreffenden künftigen Novelle erlassen werden können, wobei sie frühestens mit dem Inkrafttreten der jeweiligen Bestimmungen in Kraft treten sollen.
Zu Artikel 2 (Änderung des Tilgungsgesetzes 1972)
Zu § 6 Abs. 1 Z 3:
Die in § 16 Abs. 5 Z 1 RKEG vorgeschlagene Regelung sieht vor, dass bei der Überprüfung der Zuverlässigkeit ua. rechtskräftige gerichtliche Verurteilungen wegen von Amts wegen zu verfolgender und vorsätzlich begangener gerichtlich strafbarer Handlungen zu berücksichtigen sind, solange die jeweilige Verurteilung nicht getilgt ist. Über gewisse Verurteilungen darf jedoch nach geltender Rechtslage schon vor der Tilgung nur bestimmten Behörden zu gewissen taxativ aufgelisteten Zwecken Auskunft aus dem Strafregister erteilt werden (vgl. § 6 Abs. 1 iVm Abs. 2 und 3 des Tilgungsgesetzes 1972) und bedarf demnach die Einholung von unbeschränkten Auskünften aus dem Strafregister einer entsprechenden gesetzlichen Grundlage. Dementsprechend sollen die Ausnahmetatbestände in Abs. 1 dahingehend erweitert werden, dass den Sicherheitsbehörden gemäß Z 3 unbeschränkte Auskünfte aus dem Strafregister auch zum Zwecke der Überprüfung der in den Vorschriften über die Resilienz kritischer Einrichtungen geforderten Zuverlässigkeit erteilt werden dürfen und soll demnach die umfassende Aufgabenwahrnehmung nach dem vorgeschlagenen § 16 RKEG sichergestellt werden.