Entwurf
Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen (Resilienz kritischer Einrichtungen-Gesetz – RKEG)
Der Nationalrat hat beschlossen:
Inhaltsverzeichnis
|
Art / Paragraph |
Gegenstand / Bezeichnung |
|
1. Abschnitt |
|
|
§ 1. |
Kompetenzdeckung |
|
§ 2. |
Anwendungsbereich |
|
§ 3. |
Begriffsbestimmungen |
|
2. Abschnitt |
|
|
§ 4. |
Zuständige Behörde |
|
§ 5. |
Nichteinhaltung von Verpflichtungen |
|
§ 6. |
Beschwerdeverfahren |
|
3. Abschnitt |
|
|
§ 7. |
Datenverarbeitung |
|
§ 8. |
Veröffentlichung von Sicherheitsvorfällen |
|
4. Abschnitt |
|
|
§ 9. |
Strategie für die Resilienz kritischer Einrichtungen |
|
§ 10. |
Risikoanalyse durch den Bundesminister für Inneres |
|
§ 11. |
Ermittlung kritischer Einrichtungen |
|
§ 12. |
Kritische Einrichtungen im Sektor öffentliche Verwaltung |
|
§ 13. |
Unterstützungs- und Vorsorgemaßnahmen |
|
5. Abschnitt |
|
|
§ 14. |
Risikoanalyse durch kritische Einrichtungen |
|
§ 15. |
Resilienzmaßnahmen kritischer Einrichtungen |
|
§ 16. |
Zuverlässigkeitsüberprüfungen |
|
§ 17. |
Meldepflicht für kritische Einrichtungen |
|
§ 18. |
Ausnahmen von Verpflichtungen für kritische Einrichtungen |
|
§ 19. |
Kritische Einrichtungen von besonderer europäischer Bedeutung |
|
6. Abschnitt |
|
|
§ 20. |
Aufsichts- und Durchsetzungsmaßnahmen |
|
§ 21. |
Qualifizierte Stellen |
|
7. Abschnitt |
|
|
§ 22. |
Verwaltungsstrafverfahren |
|
§ 23. |
Nichteinhaltung von Verpflichtungen durch Stellen der öffentlichen Verwaltung |
|
§ 24. |
Verständigungspflichten |
|
8. Abschnitt |
|
|
§ 25. |
Umsetzung von Rechtsakten der EU |
|
§ 26. |
Personenbezogene Bezeichnungen |
|
§ 27. |
Vollziehung |
|
§ 28. |
Verweisungen |
|
§ 29. |
Übergangsbestimmungen |
|
§ 30. |
Inkrafttreten |
1. Abschnitt
Allgemeine Bestimmungen
Kompetenzdeckung
§ 1. (Verfassungsbestimmung) (1) Die Erlassung, Aufhebung, Änderung sowie Vollziehung von Vorschriften, wie sie in diesem Bundesgesetz enthalten sind, sind auch in jenen Angelegenheiten Bundessache, hinsichtlich deren das Bundes-Verfassungsgesetz (B-VG), BGBl. Nr. 1/1930, etwas anderes bestimmt. Die in diesem Bundesgesetz geregelten Angelegenheiten können unmittelbar von Bundesbehörden besorgt werden.
(2) Bundesgesetze, mit denen §§ 5 und 6 Abs. 2 geändert werden, dürfen nur mit Zustimmung der Länder kundgemacht werden. Gleiches gilt für Bundesgesetze, mit denen § 12 Abs. 1 Z 2, §§ 20, 22 Abs. 6 sowie § 23 geändert werden, sofern sich die Änderungen auf Behörden und sonstige Stellen der öffentlichen Verwaltung der Länder, insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, beziehen.
Anwendungsbereich
§ 2. (1) Mit diesem Bundesgesetz werden Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau kritischer Einrichtungen in den im Anhang der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates, ABl. Nr. L 333 vom 27.12.2022 S. 164, (im Folgenden: RKE-RL) gelisteten Sektoren sichergestellt werden soll.
(2) Angelegenheiten, die in den Anwendungsbereich der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABl. Nr. L 333 vom 27.12.2022 S. 80, (im Folgenden: NIS-2-RL) fallen, bleiben von diesem Bundesgesetz unberührt.
(3) Zudem gilt das Bundesgesetz nicht für den Bereich der Gerichtsbarkeit sowie der Gesetzgebung und die Österreichische Nationalbank.
Begriffsbestimmungen
§ 3. Im Sinne dieses Bundesgesetzes bedeutet
1. „kritische Einrichtung“ eine öffentliche oder private Einrichtung, die in Anwendung des § 11 vom Bundesminister für Inneres als solche eingestuft wurde;
2. „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, einen solchen abzuwehren, darauf zu reagieren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall zu bewältigen oder sich von einem solchen Vorfall zu erholen;
3. „Sicherheitsvorfall“ ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der verfassungsrechtlichen Grundprinzipien;
4. „Beinahe-Sicherheitsvorfall“ ein Ereignis mit dem Potenzial, einen Sicherheitsvorfall hervorzurufen, dessen Eintritt aber noch rechtzeitig verhindert werden konnte oder der aus sonstigen Gründen nicht eingetreten ist;
5. „kritische Infrastrukturen“ Objekte, Anlagen, Ausrüstungen, Netze, Systeme oder Teile eines Objekts, einer Anlage, einer Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind;
6. „wesentlicher Dienst“ ein Dienst, der in der Delegierten Verordnung (EU) 2023/2450 zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, ABl. Nr. L 2023/2450 vom 30.10.2023, festgelegt wurde; darüber hinaus allfällige weitere aufgrund einer Verordnung des Bundesministers für Inneres festgelegte Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder die Erhaltung der Umwelt von erheblicher Bedeutung sind und von einer Einrichtung der im Anhang der RKE-RL angeführten Kategorien in den gelisteten Sektoren und Teilsektoren erbracht werden;
7. „Risiko“ das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;
8. „Risikoanalyse“ der gesamte Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle Bedrohungen, Schwachstellen oder Gefahren für kritische Einrichtungen, die zu einem Sicherheitsvorfall führen können, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes samt Eintrittswahrscheinlichkeit bewertet werden; im Zuge dieser Risikoanalyse werden sämtliche aus natürlichen Ursachen herrührenden oder vom Menschen verursachten Risiken, die zu einem Sicherheitsvorfall führen können, berücksichtigt;
9. „Mitgliedstaat“ jeder Staat, der Vertragspartei des Vertrags über die Europäische Union in der Fassung BGBl. III Nr. 132/2009 ist;
10. „Drittstaat“ jeder Staat, der nicht Vertragspartei des Vertrags über die Europäische Union in der Fassung BGBl. III Nr. 132/2009 ist;
11. „Einrichtung“ eine natürliche oder juristische Person, eine eingetragene Personengesellschaft oder eine Stelle der öffentlichen Verwaltung;
12. „Resilienzplan“ ein Dokument, in dem die geeigneten und verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Gewährleistung der Resilienz nachvollziehbar dargelegt werden;
13. „Audit“ eine systematische und unabhängige Überprüfung der Einhaltung der Verpflichtungen gemäß den §§ 14 und 15, insbesondere durch einen Bewertungsbesuch, samt Dokumentation der Ergebnisse und Auflistung vorgeschlagener Korrekturmaßnahmen (§ 21) in einem Prüfbericht durch qualifizierte Stellen.
2. Abschnitt
Zuständigkeiten
Zuständige Behörde
§ 4. (1) Zuständige Behörde im Sinne dieses Bundesgesetzes ist der Bundesminister für Inneres.
(2) (Verfassungsbestimmung) Soweit in diesem Bundesgesetz nicht anderes bestimmt ist, übt der Bundesminister für Inneres seine Befugnisse nach diesem Bundesgesetz auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung aus.
(3) Der Bundesminister für Inneres kann die Landespolizeidirektion mit der Durchführung einzelner Aufgaben beauftragen. Der Bundesminister für Inneres kann zudem anordnen, dass ihm laufend oder zu bestimmten Zeitpunkten direkt über den Fortgang einer Angelegenheit zu berichten ist.
(4) Zur Gewährleistung der grenzüberschreitenden Zusammenarbeit hat der Bundesminister für Inneres die Funktion als zentrale Anlaufstelle gemäß Art. 9 Abs. 2 RKE-RL auszuüben, die als Verbindungsstelle zu den zentralen Anlaufstellen in den anderen Mitgliedstaaten, zur Gruppe für die Resilienz kritischer Einrichtungen gemäß Art. 19 RKE-RL sowie zur Europäischen Kommission zu fungieren und die Zusammenarbeit mit Drittstaaten zu gewährleisten hat.
Nichteinhaltung von Verpflichtungen
§ 5. Die Führung von Verwaltungsstrafverfahren gemäß § 22 sowie die Feststellung der Nichteinhaltung von Verpflichtungen gemäß § 23 obliegt den Bezirksverwaltungsbehörden.
Beschwerdeverfahren
§ 6. (1) Gegen Bescheide des Bundesministers für Inneres und wegen Verletzung seiner Entscheidungspflicht kann Beschwerde an das Verwaltungsgericht des Bundes erhoben werden.
(2) Gegen Bescheide der Bezirksverwaltungsbehörden und wegen Verletzung ihrer Entscheidungspflicht in Verwaltungssachen kann Beschwerde an die Verwaltungsgerichte der Länder erhoben werden.
3. Abschnitt
Datenverarbeitungen
Datenverarbeitung
§ 7. (1) Der Bundesminister für Inneres ist als Verantwortlicher gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 74 vom 04.03.2021 S. 35, (im Folgenden: DSGVO) ermächtigt,
1. Kontakt- und Identitätsdaten kritischer Einrichtungen einschließlich des Sektors sowie des Teilsektors, in dem diese Einrichtungen ihren wesentlichen Dienst erbringen, sowie die von den kritischen Einrichtungen erbrachten wesentlichen Dienste, Standorte und Versorgungsgebiete kritischer Infrastrukturen, Kontaktdaten der gemäß § 11 Abs. 6 namhaft gemachten zentralen Kontaktstellen sowie von Ansprechpersonen,
2. Daten zu kritische Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Cybersicherheitsvorfälle, nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle, und
3. Daten zu den gemäß den §§ 14, 15, 17 und 20 gesetzten Maßnahmen
zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben nach diesem Bundesgesetz erforderlich ist.
(2) Übermittlungen der gemäß Abs. 1 verarbeiteten Daten sind
1. an Sicherheitsbehörden für Zwecke der Sicherheitspolizei und Strafrechtspflege sowie zur Wahrnehmung der Aufgaben nach diesem Bundesgesetz,
2. an Staatsanwaltschaften und ordentliche Gerichte für Zwecke der Strafrechtspflege sowie
3. an jene Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS-2-RL als zuständige Behörden benannt oder eingerichtet wurden und Dienststellen inländischer Behörden, soweit dies jeweils eine wesentliche Voraussetzung zur Wahrnehmung der ihnen gesetzlich übertragenen Aufgaben ist,
zulässig.
(3) Der Bundesminister für Inneres ist ermächtigt, zum Zwecke der Gewährleistung der grenzüberschreitenden Zusammenarbeit die gemäß Abs. 1 verarbeiteten Daten an die Europäische Kommission, die anderen Mitgliedstaaten, die Gruppe für die Resilienz kritischer Einrichtungen gemäß Art. 19 RKE-RL sowie Drittstaaten zu übermitteln, soweit dies jeweils zur Erfüllung einer in der RKE-RL vorgesehenen Informationsverpflichtung erforderlich ist, sowie entsprechende Daten, die von der Europäischen Kommission, anderen Mitgliedstaaten sowie Drittstaaten übermittelt wurden, zu verarbeiten.
(4) Der Bundesminister für Inneres ist zudem ermächtigt, zur Erfüllung seiner Aufgaben gemäß § 13 Z 12 Daten gemäß § 17 Abs. 5 an kritische Einrichtungen zu übermitteln, wenn diese von einem Risiko, Beinahe-Sicherheitsvorfall oder Sicherheitsvorfall betroffen sind.
(5) Die gemäß den Abs. 1 bis 4 verarbeiteten Daten sind spätestens zehn Jahre nach Rechtskraft eines Bescheids gemäß § 11 Abs. 9 zu löschen.
(6) Jede Verarbeitung von Daten gemäß den Abs. 1 bis 4 ist zu protokollieren. Protokolldaten über durchgeführte Verarbeitungsvorgänge, insbesondere Änderungen und Abfragen, sind drei Jahre lang aufzubewahren und danach zu löschen.
(7) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.
Veröffentlichung von Sicherheitsvorfällen
§ 8. (1) Nach Anhörung der von einem Sicherheitsvorfall betroffenen kritischen Einrichtung kann der Bundesminister für Inneres personenbezogene Kontakt- und Identitätsdaten sowie sonstige erforderliche Informationen, die mit einer Meldung zu einem Sicherheitsvorfall in Zusammenhang stehen, nach Abwägung der Auswirkungen auf die Betroffenen veröffentlichen, um die Öffentlichkeit über Sicherheitsvorfälle zu unterrichten, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung oder zur Bewältigung von Sicherheitsvorfällen erforderlich ist oder die Offenlegung des Sicherheitsvorfalls auf sonstige Weise im öffentlichen Interesse liegt. Die Veröffentlichung darf nur insoweit erfolgen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit oder für die nationale Sicherheit darstellt.
(2) Der Bundesminister für Inneres hat die im jeweiligen Wirkungsbereich betroffenen Bundesministerien sowie die betroffenen Länder über das Vorliegen eines Sicherheitsvorfalls zu informieren.
4. Abschnitt
Maßnahmen zur Stärkung der Resilienz von kritischen Einrichtungen
Strategie für die Resilienz kritischer Einrichtungen
§ 9. (1) Der Bundesminister für Inneres ist verpflichtet, für die Bundesregierung eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (Strategie) vorzubereiten und diese anlassbezogen, längstens jedoch alle vier Jahre anzupassen, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit zur Äußerung zu geben ist. Die Strategie ist erstmalig spätestens bis zum 17. Jänner 2026 von der Bundesregierung zu beschließen.
(2) Die Strategie hat jedenfalls folgende Inhalte zu enthalten:
1. strategische Ziele zur Verbesserung der Resilienz, insbesondere unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten;
2. einen Steuerungsrahmen zur Verwirklichung der Ziele gemäß Z 1, insbesondere eine Beschreibung der Aufgaben der an der Umsetzung der Strategie beteiligten Akteure;
3. Maßnahmen zur Verbesserung der Resilienz kritischer Einrichtungen samt Beschreibung der Risikoanalyse gemäß § 10;
4. das Verfahren zur Ermittlung kritischer Einrichtungen gemäß § 11;
5. Unterstützungs- und Vorsorgemaßnahmen gemäß § 13 samt Maßnahmen zur Verbesserung der öffentlich-privaten Zusammenarbeit;
6. eine Auflistung der zuständigen Behörden und insbesondere der an der Umsetzung der Strategie beteiligten Bundesministerien, Länder sowie Interessenvertretungen;
7. einen Ablauf für die Koordinierung zwischen der zuständigen Behörde und jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS-2-RL als zuständige Behörden benannt oder eingerichtet wurden, zum Zweck des Informationsaustausches über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle sowie über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle und für die Wahrnehmung der Aufsichtsaufgaben;
8. bereits bestehende Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß den §§ 14 bis 17 durch kleine und mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, die gemäß § 11 als kritische Einrichtungen eingestuft wurden.
(3) Die gemäß Abs. 1 beschlossene Strategie ist vom Bundesminister für Inneres innerhalb von drei Monaten ab Beschlussfassung an den Nationalrat zu übermitteln.
Risikoanalyse durch den Bundesminister für Inneres
§ 10. (1) Der Bundesminister für Inneres ist verpflichtet, auf Grundlage der gemäß § 3 Z 6 festgelegten wesentlichen Dienste erstmalig spätestens bis zum 17. Jänner 2026 und im Anschluss anlassbezogen, längstens jedoch alle vier Jahre eine Risikoanalyse (§ 3 Z 8) aufgeschlüsselt nach den im Anhang der RKE-RL gelisteten Sektoren und Teilsektoren durchzuführen.
(2) Bei der Durchführung der Risikoanalyse hat der Bundesminister für Inneres insbesondere
1. die nach Art. 6 Abs. 1 des Beschlusses Nr. 1313/2013/EU über ein Katastrophenschutzverfahren der Union, ABl. Nr. L 347 vom 20.12.2013 S. 924, vorgenommene allgemeine Risikoanalyse,
2. Risikoanalysen, die im Einklang mit den Anforderungen einschlägiger sektorspezifischer Rechtsakte der Union durchgeführt werden, insbesondere die Verordnung (EU) 2019/941 über die Risikovorsorge im Elektrizitätssektor und zur Aufhebung der Richtlinie 2005/89/EG, ABl. Nr. L 158 vom 14.06.2019 S. 1, die Verordnung (EU) 2017/1938 über Maßnahmen zur Gewährleistung der sicheren Gasversorgung und zur Aufhebung der Verordnung (EU) Nr. 994/2010, ABl. Nr. L 280 vom 28.10.2017 S. 1, die Richtlinie 2012/18/EU zur Beherrschung der Gefahren schwerer Unfälle mit gefährlichen Stoffen, zur Änderung und anschließenden Aufhebung der Richtlinie 96/82/EG, ABl. Nr. L 197 vom 24.07.2012 S. 1, sowie die Richtlinie 2007/60/EG über die Bewertung und das Management von Hochwasserrisiken, ABl. Nr. L 288 vom 06.11.2007 S. 27,
3. die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit der gemäß dem Anhang der RKE-RL gelisteten Sektoren untereinander sowie dieser Sektoren gegenüber in anderen Mitgliedstaaten oder Drittstaaten ansässigen Einrichtungen ergeben, sowie die Auswirkungen, die ein in einem Sektor auftretender Sicherheitsvorfall gemäß § 11 Abs. 1 Z 4 auf andere Sektoren haben kann, sowie
4. sämtliche gemäß § 17 gemeldeten Informationen über Sicherheitsvorfälle
zu berücksichtigen.
(3) Der Bundesminister für Inneres ist verpflichtet, die relevanten Elemente der Risikoanalyse den gemäß § 11 ermittelten kritischen Einrichtungen zur Verfügung zu stellen. Die zur Verfügung gestellten Informationen sind zu anonymisieren.
Ermittlung kritischer Einrichtungen
§ 11. (1) Der Bundesminister für Inneres hat auf Grundlage der gemäß § 9 erstellten Strategie sowie der gemäß § 10 durchgeführten Risikoanalyse in den im Anhang der RKE-RL angeführten Kategorien von Einrichtungen der gelisteten Sektoren und Teilsektoren Einrichtungen bescheidmäßig als kritisch einzustufen, wenn
1. sie im Inland tätig sind,
2. sich deren kritische Infrastruktur im Inland befindet,
3. sie zumindest einen wesentlichen Dienst (§ 3 Z 6) erbringen und
4. ein Sicherheitsvorfall (§ 3 Z 3) eintreten könnte.
Einrichtungen haben an der Feststellung des für die Einstufung maßgeblichen Sachverhalts mitzuwirken.
(2) Der Bundesminister für Inneres ist verpflichtet, durch Verordnung nähere Regelungen zur Beurteilung festzulegen, wann ein Sicherheitsvorfall gemäß Abs. 1 Z 4 die erhebliche Störung bei der Erbringung der wesentlichen Dienste bewirken würde. Dabei sind folgende Parameter zu berücksichtigen:
1. die Zahl der Nutzer, die einen von der jeweiligen Einrichtung erbrachten wesentlichen Dienst gemäß Abs. 1 Z 3 in Anspruch nehmen;
2. das Ausmaß der Abhängigkeit anderer im Anhang der RKE-RL gelisteter Sektoren sowie Teilsektoren von einem von der Einrichtung erbrachten wesentlichen Dienst;
3. die möglichen Auswirkungen von Sicherheitsvorfällen auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung oder Sicherheit, die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises;
4. der Marktanteil der jeweiligen Einrichtung auf dem Markt für wesentliche Dienste oder für die betreffenden wesentlichen Dienste;
5. das geografische Gebiet, das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich allfälliger grenzüberschreitender Auswirkungen;
6. die Bedeutung der Einrichtung für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des jeweiligen wesentlichen Dienstes.
(3) Die Verpflichtungen gemäß den §§ 15 und 17 gelten für kritische Einrichtungen nach Ablauf von zehn Monaten nach bescheidmäßiger Einstufung gemäß Abs. 1.
(4) In dem gemäß Abs. 1 erlassenen Bescheid sind kritische Einrichtungen über ihre Verpflichtungen gemäß den Abs. 6 bis 8 und 10 zweiter Satz sowie den §§ 14, 15, 17 und 19 Abs. 1 zu informieren.
(5) In dem gemäß Abs. 1 erlassenen Bescheid sind kritische Einrichtungen in den im Anhang der RKE-RL gelisteten Sektoren digitale Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen darüber zu informieren, dass die Verpflichtungen gemäß Abs. 6 sowie den §§ 14, 15, 17 und 19 auf sie keine Anwendung finden.
(6) Kritische Einrichtungen haben dem Bundesminister für Inneres innerhalb von zwei Wochen nach Rechtskraft des Bescheids gemäß Abs. 1 eine zentrale Kontaktstelle sowie eine Ansprechperson zu benennen und sind diesbezügliche Änderungen unverzüglich, längstens jedoch binnen zwei Wochen bekanntzugeben, wobei die Erreichbarkeit jedenfalls für jenen Zeitraum sicherzustellen ist, in dem kritische Einrichtungen ihre wesentlichen Dienste erbringen.
(7) Kritische Einrichtungen, die über keine Abgabestelle im Inland verfügen, haben dem Bundesminister für Inneres einen Zustellungsbevollmächtigten gemäß § 9 des Zustellgesetzes (ZustG), BGBl. Nr. 200/1982, namhaft zu machen.
(8) Zudem haben kritische Einrichtungen ohne Niederlassung im Inland für die Einhaltung der Verwaltungsvorschriften nach diesem Bundesgesetz dem Bundesminister für Inneres einen verantwortlichen Beauftragten gemäß § 9 des Verwaltungsstrafgesetzes 1991 (VStG), BGBl. Nr. 52/1991, namhaft zu machen.
(9) Fallen die Voraussetzungen für den Bescheid gemäß Abs. 1 nachträglich weg, ist der Bescheid unverzüglich nach Kenntnis des Wegfalls aufzuheben.
(10) Der Bundesminister für Inneres hat eine Liste mit den ermittelten kritischen Einrichtungen zu erstellen, diese in regelmäßigen Abständen, längstens jedoch alle vier Jahre zu überprüfen und gegebenenfalls anzupassen. Kritische Einrichtungen haben dem Bundesminister für Inneres Änderungen des für die Einstufung maßgeblichen Sachverhalts unverzüglich bekanntzugeben.
Kritische Einrichtungen im Sektor öffentliche Verwaltung
§ 12. (1) Im Sektor der öffentlichen Verwaltung auf Bundesebene sind vom Bundesminister für Inneres gemäß § 11 Abs. 1 nur Einrichtungen zu ermitteln, die abweichend von den in § 11 Abs. 1 Z 1 bis 4 festgelegten Voraussetzungen
1. zum Zweck eingerichtet wurden, im öffentlichen Interesse liegende Aufgaben nicht gewerblicher Art zu erfüllen,
2. zur Besorgung von Angelegenheiten der Bundesverwaltung berufen sind und entweder als Bundesbehörden eingerichtet wurden oder Rechtspersönlichkeit besitzen, mit Ausnahme der Länder, Gemeinden sowie Gemeindeverbände,
3. der Aufsicht des Bundes unterstehen oder an die Weisungen eines obersten Organs des Bundes gebunden sind oder ein Leitungs- oder Aufsichtsorgan haben, das mehrheitlich aus Mitgliedern besteht, die von Bundesbehörden oder von anderen auf Bundesebene eingerichteten Körperschaften des öffentlichen Rechts eingesetzt worden sind, oder an denen der Bund mit mindestens 50 vH des Stamm-, Grund- oder Eigenkapitals beteiligt ist oder Mitglieder der Bundesregierung sind und
4. ermächtigt sind, im Rahmen ihrer gesetzlich übertragenen Aufgaben Bescheide im eigenen Namen zu erlassen, die Rechte Einzelner im grenzüberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr berühren.
(2) Einrichtungen im Sektor der öffentlichen Verwaltung, deren Wirkungsbereiche überwiegend die nationale Sicherheit einschließlich der militärischen Landesverteidigung, die öffentliche Sicherheit oder die Strafverfolgung umfassen, unterliegen nicht den Bestimmungen dieses Bundesgesetzes.
Unterstützungs- und Vorsorgemaßnahmen
§ 13. Der Bundesminister für Inneres ist verpflichtet, auf Grundlage der gemäß § 10 durchgeführten Risikoanalyse kritische Einrichtungen bei der Verbesserung ihrer Resilienz zu unterstützen sowie mit diesen Informationen auszutauschen. Diese Unterstützung kann insbesondere folgende Tätigkeiten umfassen:
1. Entwicklung und Bereitstellung von generellen Empfehlungen und von Leitfäden für kritische Einrichtungen zur Prävention von Sicherheitsvorfällen und Reduktion von Risiken sowie Bereitstellung von Mustern und Vorlagen für Risikoanalysen und Resilienzpläne;
2. Beratung bei der Festlegung von Resilienzmaßnahmen und der Organisation von und Mitwirkung an Sicherheitsübungen sowie Übungen zur Überprüfung der Notfallpläne;
3. Beratung und Durchführung von Schulungen für das Personal kritischer Einrichtungen;
4. Bereitstellung von Informationen zum Thema physische Sicherheit sowie Organisation und Durchführung von Kampagnen zur Bewusstseinsbildung und Sensibilisierung insbesondere für physische Bedrohungen sowie zur Stärkung und Erweiterung von Fähigkeiten und Kenntnissen im Bereich der physischen Sicherheit;
5. Übermittlung von Frühwarnungen an kritische Einrichtungen, sofern ein Risiko vorliegt, sowie von sonstigen sektorspezifischen Informationen;
6. Beratung beim Ergreifen von Resilienzmaßnahmen;
7. Beratung bei der Beurteilung, ob bereits durchgeführte Risikoanalysen gemäß § 14 Abs. 3 oder ergriffene Resilienzmaßnahmen gemäß § 15 Abs. 5 zumindest gleichwertig sind;
8. Durchführung von langfristigen strategischen Analysen betreffend Bedrohungen der physischen Sicherheit und Sicherheitsvorfälle, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen bei Bedarf Gelegenheit zur Äußerung zu geben ist;
9. Beratung der in ihrem Wirkungsbereich betroffenen Bundesminister und öffentlichen Einrichtungen zum Forschungs- und Förderbedarf und zu den Forschungs- und Förderprioritäten im Bereich der physischen Sicherheit;
10. Verfolgung von Entwicklungen und gegebenenfalls Mitarbeit an der Er- und Überarbeitung von Normen mit Bezug auf die physische Sicherheit;
11. Mitwirkung und Teilnahme an nationalen, europäischen und internationalen Forschungs- und Förderprojekten und -programmen auf dem Gebiet der physischen Sicherheit;
12. Übermittlung sachdienlicher Folgeinformationen gemäß § 17 Abs. 5 sowie Information der Öffentlichkeit gemäß § 8.
5. Abschnitt
Verpflichtungen für kritische Einrichtungen
Risikoanalyse durch kritische Einrichtungen
§ 14. (1) Kritische Einrichtungen haben erstmalig innerhalb von neun Monaten nach bescheidmäßiger Einstufung gemäß § 11 Abs. 1 und im Anschluss anlassbezogen, längstens jedoch alle vier Jahre insbesondere auf Grundlage der vom Bundesminister für Inneres durchgeführten Risikoanalyse gemäß § 10 eine Risikoanalyse durchzuführen und die aufbereiteten Ergebnisse in geeigneter Form unverzüglich, längstens jedoch binnen eines Monats, an den Bundesminister für Inneres zu übermitteln.
(2) Die Risikoanalyse gemäß Abs. 1 hat die wechselseitige Abhängigkeit zwischen dem von der jeweiligen kritischen Einrichtung erbrachten wesentlichen Dienst und wesentlichen Diensten, die von anderen Einrichtungen der im Anhang der RKE-RL gelisteten Sektoren erbracht werden, zu berücksichtigen.
(3) Den Anforderungen gemäß den Abs. 1 und 2 wird insoweit entsprochen, als von der kritischen Einrichtung aufgrund anderer rechtlicher Verpflichtungen Risikoanalysen durchgeführt werden, die hinsichtlich der Anforderungen gemäß den Abs. 1 und 2 zumindest gleichwertig sind.
Resilienzmaßnahmen kritischer Einrichtungen
§ 15. (1) Kritische Einrichtungen haben auf Grundlage der seitens des Bundesministers für Inneres bereitgestellten Elemente der gemäß § 10 durchgeführten Risikoanalyse sowie der Ergebnisse der gemäß § 14 durchgeführten Risikoanalyse erstmalig innerhalb von zehn Monaten nach bescheidmäßiger Einstufung gemäß § 11 Abs. 1 und im Anschluss anlassbezogen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen in Bezug auf die von ihnen bereitgestellten wesentlichen Dienste zu treffen. Diese sind in einem Resilienzplan (§ 3 Z 12) darzulegen.
(2) Bei den Resilienzmaßnahmen handelt es sich insbesondere um solche, die erforderlich sind, um
1. das Auftreten von Sicherheitsvorfällen zu verhindern, unter Berücksichtigung von Maßnahmen zur Katastrophenvorsorge und zum Umgang mit dem Klimawandel,
2. einen angemessen physischen Schutz der kritischen Infrastrukturen und der Räumlichkeiten der kritischen Einrichtungen zu gewährleisten,
3. Sicherheitsvorfälle abzuwehren, diese zu bewältigen und die Auswirkungen solcher Vorfälle gering zu halten, unter Berücksichtigung von Risiko- und Krisenmanagementmaßnahmen sowie Notfallplänen,
4. nach Sicherheitsvorfällen die Fortsetzung oder rasche Wiederaufnahme des wesentlichen Dienstes zu gewährleisten, unter Berücksichtigung alternativer Lieferketten,
5. angemessene personelle Sicherheitsvorkehrungen unter Berücksichtigung des Personals externer Dienstleister zu gewährleisten, insbesondere die Festlegung von Anforderungen an die Ausbildung sowie die Qualifikation des Personals und die Identifizierung von kritischen Funktionen samt Festlegung von Zugangsberechtigungen sowie Verpflichtungen zur Vornahme von Zuverlässigkeitsüberprüfungen von Personen, die die Anforderungen gemäß § 16 Abs. 1 Z 1 oder 2 erfüllen, sofern für diese Personen nicht bereits eine Sicherheitsüberprüfung gemäß den §§ 55 bis 55b des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, Verlässlichkeitsprüfung gemäß den §§ 23 und 24 des Militärbefugnisgesetzes (MBG), BGBl. I Nr. 86/2000, oder Zuverlässigkeitsüberprüfung gemäß § 134a des Luftfahrtgesetzes (LFG), BGBl Nr. 253/1957, vorliegt, deren Durchführung jeweils nicht länger als drei Jahre zurückliegt, und keine Anhaltspunkte bestehen, wonach die Person nicht mehr zuverlässig sein sollte, und
6. das betroffene Personal insbesondere durch Schulungsmaßnahmen im Hinblick auf die Steigerung der Resilienz zu sensibilisieren.
(3) Kritische Einrichtungen haben den Resilienzplan in geeigneter Form unverzüglich, längstens jedoch binnen eines Monats, nach erstmaliger Erstellung sowie im Anschluss anlassbezogen an den Bundesminister für Inneres zu übermitteln.
(4) Zudem haben kritische Einrichtungen ein System zur Qualitätssicherung hinsichtlich der gesetzten Resilienzmaßnahmen einzurichten.
(5) Der Anforderung gemäß Abs. 1 erster Satz wird insoweit entsprochen, als von der kritischen Einrichtung aufgrund anderer rechtlicher Verpflichtungen Resilienzmaßnahmen ergriffen wurden, die hinsichtlich der in Abs. 1 genannten technischen, sicherheitsbezogenen und organisatorischen Anforderungen zumindest gleichwertig sind.
Zuverlässigkeitsüberprüfungen
§ 16. (1) Auf begründetes Ersuchen der kritischen Einrichtung sind zum Zweck der Bewertung eines potenziellen Sicherheitsrisikos für die kritische Einrichtung Personen, die
1. über einen Zugang auf ihre Räumlichkeiten, Informationen oder Kontrollsysteme verfügen oder eine Funktion mit einem solchen Zugriff anstreben, oder
2. sonstige sensible Funktionen für kritische Einrichtungen wahrnehmen oder anstreben,
einer Zuverlässigkeitsüberprüfung zu unterziehen, sofern eine solche unter Berücksichtigung der Risikoanalyse gemäß § 10 erforderlich ist. Solange die Voraussetzungen nach diesem Absatz erfüllt sind, kann die Überprüfung der Zuverlässigkeit nach drei Jahren wiederholt werden. Bei Vorliegen von Anhaltspunkten, wonach eine Person nicht mehr zuverlässig sein könnte, kann die Überprüfung der Zuverlässigkeit vor Ablauf dieser Frist wiederholt werden.
(2) Zum Zweck der Durchführung der Zuverlässigkeitsüberprüfung gemäß Abs. 1 hat die kritische Einrichtung die personenbezogenen Daten der betroffenen Personen dem Bundesminister für Inneres im elektronischen Weg über einen sicheren Kommunikationskanal strukturiert zu übermitteln. Diese Daten haben den Vor- und Familiennamen, gegebenenfalls den Geburtsnamen, das Geschlecht, das Geburtsdatum, den Geburtsort einschließlich des Geburtslandes, die Staatsangehörigkeiten, die Vornamen der Eltern, den Hauptwohnsitz, ausländische Strafregisterbescheinigungen oder vergleichbare Nachweise der Wohnsitzstaaten der letzten fünf Jahre in beglaubigter Übersetzung in deutscher oder englischer Sprache, die bei erstmaliger Vorlage nicht älter als sechs Monate sein dürfen, die Angabe der Art der beabsichtigten Tätigkeit und die Einwilligung zur Überprüfung der Zuverlässigkeit sowie zur Übermittlung des Ergebnisses der Überprüfung an die ersuchende kritische Einrichtung zu enthalten. Zudem ist, wenn vorhanden, eine Kopie eines Reisepasses, Personalausweises oder Identitätsausweises (§ 35a SPG) des Herkunftsstaates, ansonsten eine Kopie eines Fremdenpasses oder Konventionsreisepasses vorzulegen.
(3) Zum Zweck der Überprüfung der Zuverlässigkeit ist der Bundesminister für Inneres zudem ermächtigt, jene personenbezogenen Daten zu verarbeiten, die die Sicherheitsbehörden in Vollziehung von Bundes- oder Landesgesetzen verarbeitet haben. Darüber hinaus sind Staatsanwaltschaften und Gerichte ermächtigt, den Sicherheitsbehörden nach Maßgabe des § 76 Abs. 4 der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, ermittelte personenbezogene Daten zu übermitteln, soweit eine Weiterverarbeitung dieser Daten durch die Sicherheitsbehörden zur Überprüfung der Zuverlässigkeit erforderlich ist.
(4) Der Bundesminister für Inneres hat die Landespolizeidirektion Wien um Einholung von Informationen aus dem Strafregister eines anderen Mitgliedstaates zu ersuchen, soweit dies zur Überprüfung der Zuverlässigkeit erforderlich ist. Die Landespolizeidirektion Wien hat ein solches Ersuchen an die Zentralbehörde des jeweiligen Mitgliedstaates zu übermitteln und die einlangenden Auskünfte an den Bundesminister für Inneres weiterzuleiten.
(5) Bei der Überprüfung der Zuverlässigkeit ist zu berücksichtigen, ob
1. die Person wegen einer von Amts wegen zu verfolgenden mit Vorsatz begangenen gerichtlich strafbaren Handlung rechtskräftig gerichtlich verurteilt wurde, solange die Verurteilung nicht getilgt ist, oder
2. gegen die Person ein Strafverfahren wegen einer von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung, die nur vorsätzlich begangen werden kann, anhängig ist, oder
3. gegen die Person ein Waffenverbot nach dem Waffengesetz 1996 (WaffG), BGBl. I Nr. 12/1997, vorliegt, oder
4. die Person ein Naheverhältnis zu einer extremistischen oder terroristischen Gruppierung hat und im Hinblick auf deren bestehende Strukturen oder auf zu gewärtigende Entwicklungen in deren Umfeld extremistische oder terroristische Aktivitäten derselben nicht ausgeschlossen werden können, oder
5. die Person ein Naheverhältnis zu einer kriminellen Gruppierung hat und im Hinblick auf deren bestehende Strukturen oder auf zu gewärtigende Entwicklungen in deren Umfeld Verbrechen, andere erhebliche Gewalttaten gegen Leib und Leben oder Vergehen nach dem Fremdenpolizeigesetz 2005 (FPG), BGBl. I Nr. 100/2005, insbesondere Schlepperei, begangen werden oder nicht ausgeschlossen werden können.
Einer Verurteilung durch ein inländisches Gericht ist eine Verurteilung durch ein ausländisches Gericht gleichzuhalten, die den Voraussetzungen des § 73 des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974, entspricht.
(6) Der Bundesminister für Inneres hat das Ergebnis der Überprüfung der Zuverlässigkeit unverzüglich der ersuchenden kritischen Einrichtung zu übermitteln.
(7) Für die Überprüfung der Zuverlässigkeit gebührt dem Bund von der ersuchenden kritischen Einrichtung als Ersatz ein Pauschalbetrag, der nach Maßgabe der durchschnittlichen Aufwendungen mit Verordnung des Bundesministers für Inneres festgesetzt wird. Die Zuverlässigkeitsüberprüfung ist nach der Entrichtung der Gebühr durchzuführen. Behörden und sonstige Stellen der öffentlichen Verwaltung, insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, sind von der Entrichtung der Gebühr befreit.
Meldepflicht für kritische Einrichtungen
§ 17. (1) Kritische Einrichtungen haben bei Erfüllung der Voraussetzungen gemäß Abs. 2 Sicherheitsvorfälle unverzüglich, längstens jedoch binnen 24 Stunden nach Kenntnis dem Bundesminister für Inneres zu melden, soweit dies aus operativer Sicht möglich ist. Eine ausführliche Folgemeldung hat längstens binnen eines Monats nach der Erstmeldung zu erfolgen.
(2) Der Bundesminister für Inneres ist verpflichtet, durch Verordnung nähere Regelungen zur Beurteilung festzulegen, wann ein Sicherheitsvorfall eine Meldepflicht gemäß Abs. 1 auslöst. Dabei sind insbesondere folgende Parameter zu berücksichtigen:
1. der Umfang der vom Sicherheitsvorfall betroffenen Nutzer, die einen von der jeweiligen Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen;
2. die Dauer der Störung;
3. das vom Sicherheitsvorfall betroffene geografische Gebiet.
(3) In den Meldungen gemäß Abs. 1 müssen sämtliche relevanten Informationen zum Sicherheitsvorfall, die zum Zeitpunkt der Erst- und Folgemeldung bekannt sind, insbesondere die Art, die vermutete oder tatsächliche Ursache und die Folgen des Sicherheitsvorfalls, bereits zur Abwehr des Sicherheitsvorfalls ergriffene Maßnahmen sowie Angaben zur betroffenen kritischen Infrastruktur, enthalten sein. Informationen, die erforderlich sind, um grenzüberschreitende Auswirkungen des Sicherheitsvorfalls zu bestimmen, sind ebenfalls zu übermitteln.
(4) Informationen über später bekannt gewordene Umstände zum Sicherheitsvorfall sowie dessen Beendigung sind unverzüglich in Nachmeldungen mitzuteilen. Nach Beendigung eines Sicherheitsvorfalls hat unverzüglich, längstens jedoch binnen zwei Monaten ein Abschlussbericht zu erfolgen.
(5) Der Bundesminister für Inneres ist verpflichtet, auf Grundlage einer Meldung gemäß Abs. 1 den vom Sicherheitsvorfall betroffenen kritischen Einrichtungen sachdienliche Informationen, insbesondere über die wirksame Abwehr und Bewältigung des betreffenden Sicherheitsvorfalls, zur Verfügung zu stellen.
Ausnahmen von Verpflichtungen für kritische Einrichtungen
§ 18. (1) Die Anforderungen gemäß § 15 sind insoweit nicht anwendbar,
1. als kritische Einrichtungen aufgrund sektorspezifischer unionsrechtlicher Bestimmungen verpflichtet sind, für die Erbringung eines wesentlichen Dienstes gleichwertige Maßnahmen zu ergreifen und
2. die jeweiligen Verpflichtungen in diesen sektorspezifischen Rechtsakten ein zumindest gleichwertiges Resilienzniveau für kritische Einrichtungen gewährleisten.
Der Bundesminister für Inneres hat über gleichwertige Bestimmungen gemäß Z 1 und das Ausmaß der Gleichwertigkeit gemäß Z 2 auf der Homepage des Bundesministeriums für Inneres zu informieren.
(2) Bei Beurteilung der Gleichwertigkeit ist auf den Inhalt sowie den Zweck der sektorspezifischen unionsrechtlichen Verpflichtungen sowie auf die potenziellen Auswirkungen der aufgrund dieser Verpflichtungen zu ergreifenden Maßnahmen auf das Resilienzniveau Bedacht zu nehmen. Dabei sind insbesondere der Inhalt, der Umfang sowie die konkrete Ausgestaltung der gleichwertigen Verpflichtungen zu berücksichtigen.
(3) § 11 Abs. 6 bis 8 sowie §§ 14, 15, 17 und 19 gelten nicht für kritische Einrichtungen in den im Anhang der RKE-RL gelisteten Sektoren digitale Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen.
Kritische Einrichtungen von besonderer europäischer Bedeutung
§ 19. (1) Kritische Einrichtungen haben dem Bundesminister für Inneres unverzüglich mitzuteilen, dass sie wesentliche Dienste für oder in mindestens sechs Mitgliedstaaten erbringen. Diese Mitteilung hat insbesondere auch Informationen darüber zu enthalten, welche wesentlichen Dienste sie für oder in diesen Mitgliedstaaten erbringen und um welche Mitgliedstaaten es sich dabei handelt. Kritische Einrichtungen haben zudem den Bundesminister für Inneres über den Wegfall der Voraussetzungen zu unterrichten.
(2) Der Bundesminister für Inneres ist verpflichtet, Mitteilungen der Europäischen Kommission über Einstufungen als kritische Einrichtungen von besonderer Bedeutung für Europa gemäß Art. 17 Abs. 3 RKE-RL unverzüglich an die jeweiligen kritischen Einrichtungen weiterzuleiten und diese insbesondere über ihre Verpflichtungen gemäß den Abs. 3 und 4 zu unterrichten. Die Verpflichtungen gelten ab dem Zeitpunkt der Zustellung der Mitteilung an die kritische Einrichtung.
(3) Kritische Einrichtungen von besonderer Bedeutung für Europa sind, soweit dies erforderlich ist, verpflichtet, seitens der Europäischen Kommission gemäß Art. 18 RKE-RL organisierten Beratungsmissionen Zugang zu ihren kritischen Infrastrukturen zu ermöglichen und Einsicht in diesbezügliche Unterlagen und Informationen zu gewähren.
(4) Kritische Einrichtungen von besonderer Bedeutung für Europa sind verpflichtet, den Bundesminister für Inneres über die aufgrund einer Empfehlung der Europäischen Kommission gemäß Art. 18 Abs. 4 Unterabsatz 3 RKE-RL ergriffenen Maßnahmen zu unterrichten.
6. Abschnitt
Aufsicht und Durchsetzung
Aufsichts- und Durchsetzungsmaßnahmen
§ 20. (1) Der Bundesminister für Inneres ist ermächtigt, von kritischen Einrichtungen innerhalb einer angemessenen Frist unter Angabe des Zwecks sowie der Art und des Umfangs der erforderlichen Informationen Nachweise für die Erfüllung der Anforderungen gemäß den §§ 14 und 15 zu verlangen. Zudem kann der Bundesminister für Inneres von kritischen Einrichtungen die Durchführung von Audits (§ 3 Z 13) verlangen.
(2) Auf Verlangen des Bundesministers für Inneres gemäß Abs. 1 haben kritische Einrichtungen zur Überprüfung der Anforderungen gemäß den §§ 14 und 15 erforderliche Informationen sowie den Prüfbericht über durchgeführte Audits an den Bundesminister für Inneres zu übermitteln.
(3) Zur Überprüfung der Einhaltung der Anforderungen gemäß § 15 ist der Bundesminister für Inneres zudem nach vorheriger Ankündigung berechtigt, Vor-Ort-Kontrollen der kritischen Infrastrukturen sowie der Räumlichkeiten, die der Erbringung der wesentlichen Dienste dienen, durchzuführen. Zu diesem Zweck haben kritische Einrichtungen dem Bundesminister für Inneres auf Verlangen im erforderlichen Ausmaß das gefahrlose Betreten und Besichtigen ihrer kritischen Infrastrukturen und Räumlichkeiten zu ermöglichen, die erforderlichen Informationen zu erteilen sowie Einschau in relevante sachdienliche Unterlagen und Aufzeichnungen zu gewähren. Die kritischen Einrichtungen haben aktiv an der Überprüfung, insbesondere durch beigestelltes, fachkundiges Personal, mitzuwirken. Die Durchführung der Überprüfung hat im unbedingt erforderlichen Ausmaß zu erfolgen und ist unter möglichster Schonung der Rechte der betroffenen Einrichtung und Dritter auszuüben.
(4) Hat eine kritische Einrichtung ihre Niederlassung in einem anderen Mitgliedstaat der Europäischen Union, ist der Bundesminister für Inneres ermächtigt, die zuständige Behörde dieses Mitgliedstaates zu ersuchen, Maßnahmen gemäß Abs. 3 zu ergreifen und die Ergebnisse einer solchen Überprüfung der eigenen Beurteilung zugrunde zu legen.
(5) Ergibt sich im Rahmen der Überprüfungen gemäß den Abs. 1 bis 4, dass die Anforderungen an die Risikoanalyse gemäß § 14 und die Anforderungen an die Resilienzmaßnahmen gemäß § 15 nicht oder nicht vollständig erfüllt werden, hat der Bundesminister für Inneres der kritischen Einrichtung mit Bescheid aufzutragen, innerhalb einer angemessenen Frist erforderliche und verhältnismäßige Maßnahmen nachweislich zu ergreifen, die zur Herstellung des rechtmäßigen Zustandes notwendig sind.
Qualifizierte Stellen
§ 21. (1) Eine qualifizierte Stelle ist eine natürliche oder juristische Person oder eingetragene Personengesellschaft mit Niederlassung in Österreich oder in einem anderen EU-Mitgliedstaat, die aufgrund eines begründeten schriftlichen Antrags bei Erfüllung der in der Verordnung gemäß Abs. 2 normierten Voraussetzungen aufgrund eines rechtskräftigen Bescheids des Bundesministers für Inneres zur Durchführung von Audits (§ 3 Z 13) berechtigt ist.
(2) Eine qualifizierte Stelle ist verpflichtet, Sicherheitsvorkehrungen zu erfüllen, geeignete technische und organisatorische Hilfsmittel zu verwenden sowie über ein System zur Qualitätssicherung zu verfügen, um in ihrem Aufgabenbereich Audits durchführen zu können. Zudem darf das Audit lediglich durch sicherheitsüberprüfte Personen vorgenommen werden. Der Bundesminister für Inneres ist ermächtigt, mit Verordnung die Erfordernisse, die qualifizierte Stellen erfüllen müssen, sowie nähere verfahrensrechtliche Bestimmungen festzulegen. In dieser Verordnung können auch nähere Regelungen zu Form und Inhalt des Prüfberichts vorgesehen werden.
(3) Der Bundesminister für Inneres ist befugt, zur Kontrolle der Einhaltung der gemäß Abs. 2 normierten Voraussetzungen von qualifizierten Stellen Auskünfte zu verlangen, Einschau in erforderliche Unterlagen zu nehmen sowie nach vorangegangener Verständigung Vor-Ort-Kontrollen durchzuführen. § 20 Abs. 3 zweiter bis vierter Satz gilt.
(4) Die qualifizierte Stelle ist verpflichtet, dem Bundesminister für Inneres unverzüglich Änderungen betreffend die Erfordernisse gemäß Abs. 2 sowie deren Wegfall mitzuteilen.
(5) Bei Wegfall oder Nichteinhaltung der gemäß Abs. 2 normierten Erfordernisse ist die qualifizierte Stelle vom Bundesminister für Inneres darauf hinzuweisen, dass sie diese binnen einer angemessenen Frist nachweislich zu erfüllen hat. Wird dieser Nachweis nicht innerhalb der festgelegten Frist erbracht, hat der Bundesminister für Inneres den Bescheid gemäß Abs. 1 zu widerrufen.
(6) Der Bundesminister für Inneres ist verpflichtet, eine Liste mit den berechtigten qualifizierten Stellen zu führen und den kritischen Einrichtungen eine aktuelle Liste zur Verfügung zu stellen.
(7) Qualifizierte Stellen sowie das von diesen eingesetzte Personal sind zur vertraulichen Behandlung der im Rahmen der Durchführung von Audits (§ 3 Z 13) bekanntgewordenen Informationen verpflichtet.
7. Abschnitt
Verfahren vor der Bezirksverwaltungsbehörde
Verwaltungsstrafverfahren
§ 22. (1) Eine Verwaltungsübertretung begeht, wer
1. entgegen § 11 Abs. 6 dem Bundesminister für Inneres eine Kontaktstelle oder eine Ansprechperson nicht benennt oder diesbezügliche Änderungen dem Bundesminister für Inneres nicht rechtzeitig bekannt gibt,
2. entgegen § 11 Abs. 7 dem Bundesminister für Inneres einen Zustellungsbevollmächtigten gemäß § 9 ZustG oder entgegen § 11 Abs. 8 einen verantwortlichen Beauftragten gemäß § 9 VStG nicht namhaft macht,
3. entgegen § 11 Abs. 10 dem Bundesminister für Inneres Änderungen des für die Einstufung maßgeblichen Sachverhalts nicht unverzüglich bekannt gibt,
4. entgegen § 14 Abs. 1 die Risikoanalyse nicht oder nicht fristgerecht in geeigneter Form an den Bundesminister für Inneres übermittelt,
5. entgegen § 15 Abs. 3 den Resilienzplan nicht oder nicht fristgerecht in geeigneter Form an den Bundesminister für Inneres übermittelt,
6. entgegen § 15 Abs. 4 kein System zur Qualitätssicherung hinsichtlich der gesetzten Resilienzmaßnahmen einrichtet,
7. entgegen § 19 Abs. 1 und 4 seinen Mitteilungspflichten nicht nachkommt,
8. entgegen § 19 Abs. 3 seinen Verpflichtungen im Hinblick auf seitens der Europäischen Kommission gemäß Art. 18 RKE-RL organisierten Beratungsmissionen nicht nachkommt,
9. entgegen § 20 Abs. 2 dem Bundesminister für Inneres zur Überprüfung der Anforderungen gemäß den §§ 14 und 15 erforderliche Informationen oder den Prüfbericht über durchgeführte Audits nicht oder nicht vollständig übermittelt,
10. entgegen § 20 Abs. 3 dem Bundesminister für Inneres das gefahrlose Betreten und Besichtigen der kritischen Infrastrukturen und Räumlichkeiten nicht ermöglicht, die erforderlichen Informationen nicht erteilt, Einschau in relevante sachdienliche Unterlagen und Aufzeichnungen nicht gewährt oder seiner Pflicht zur aktiven Mitwirkung an der Überprüfung nicht nachkommt,
11. entgegen § 21 Abs. 3 dem Bundesminister für Inneres das gefahrlose Betreten und Besichtigen der Räumlichkeiten nicht ermöglicht, Auskünfte nicht erteilt, Einschau in erforderliche Unterlagen nicht gewährt oder seiner Pflicht zur aktiven Mitwirkung an der Überprüfung nicht nachkommt,
12. entgegen § 21 Abs. 4 seiner Mitteilungspflicht nicht nachkommt oder
13. entgegen § 21 Abs. 7 der Verpflichtung zur vertraulichen Behandlung von Informationen zuwiderhandelt.
Die Begehung ist von der Bezirksverwaltungsbehörde mit einer Geldstrafe bis zu 50 000 Euro, im Wiederholungsfall bis zu 100 000 Euro zu bestrafen.
(2) Eine Verwaltungsübertretung begeht außerdem, wer
1. den in einem rechtskräftigen Bescheid gemäß § 20 Abs. 5 angeordneten Maßnahmen nicht bescheidgemäß und fristgerecht nachkommt oder
2. entgegen § 17 Abs. 1, 3 und 4 seinen Meldepflichten nicht nachkommt.
Die Begehung ist von der Bezirksverwaltungsbehörde mit einer Geldstrafe bis zu 7 Mio. Euro zu bestrafen.
(3) Die Bezirksverwaltungsbehörde kann Geldstrafen gegen eine juristische Person oder eingetragene Personengesellschaft verhängen, wenn Verwaltungsübertretungen gemäß den Abs. 1 und 2 durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person oder der eingetragenen Personengesellschaft gehandelt haben und eine Führungsposition aufgrund
1. der Befugnis zur Vertretung der juristischen Person oder der eingetragenen Personengesellschaft,
2. der Befugnis, Entscheidungen im Namen der juristischen Person oder der eingetragenen Personengesellschaft zu treffen, oder
3. einer Kontrollbefugnis innerhalb der juristischen Person oder der eingetragenen Personengesellschaft
innehaben.
(4) Juristische Personen oder eingetragene Personengesellschaften können wegen Verwaltungsübertretungen gemäß den Abs. 1 und 2 auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 3 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person oder eingetragene Personengesellschaft tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung erfüllt.
(5) Von der Bestrafung eines Verantwortlichen gemäß § 9 VStG ist abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person oder eingetragene Personengesellschaft verhängt wird.
(6) Diese Bestimmung findet keine Anwendung auf Behörden und sonstige Stellen der öffentlichen Verwaltung, insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen.
Nichteinhaltung von Verpflichtungen durch Stellen der öffentlichen Verwaltung
§ 23. (Verfassungsbestimmung) Die Bezirksverwaltungsbehörde hat die Nichteinhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen durch Behörden und sonstige Stellen der öffentlichen Verwaltung, insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, mit Bescheid festzustellen sowie eine angemessene Frist zur Herstellung des rechtmäßigen Zustandes anzuordnen. Wird der rechtmäßige Zustand nicht fristgerecht hergestellt, hat die Bezirksverwaltungsbehörde nach Rechtskraft des Bescheids die Nichteinhaltung dieser Verpflichtungen in einer allgemeinen Weise zu veröffentlichen, die geeignet scheint, einen möglichst weiten Personenkreis zu erreichen. Diese Veröffentlichung darf nur insoweit erfolgen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit oder für die nationale Sicherheit darstellt.
Verständigungspflichten
§ 24. (1) Der Bundesminister für Inneres hat der zuständigen Bezirksverwaltungsbehörde den Verdacht einer Verwaltungsübertretung gemäß § 22 Abs. 1 oder Abs. 2 sowie die Nichteinhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen durch Behörden und sonstige Stellen der öffentlichen Verwaltung, insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, anzuzeigen.
(2) Die Bezirksverwaltungsbehörde hat dem Bundesminister für Inneres einen jährlichen Bericht über die Einleitung sowie die Gründe der Nichteinleitung oder Einstellung von Verwaltungsstrafverfahren und Verfahren gemäß § 23 nach standardisierten Vorgaben bis zum 31. März des Folgejahres zu übermitteln.
8. Abschnitt
Schluss- und Übergangsbestimmungen
Umsetzung von Rechtsakten der EU
§ 25. Dieses Bundesgesetz dient der Umsetzung der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG, ABl. Nr. L 333 vom 27.12.2022 S. 164.
Personenbezogene Bezeichnungen
§ 26. Alle in diesem Bundesgesetz verwendeten personenbezogenen Bezeichnungen gelten gleichermaßen für alle Geschlechter.
Vollziehung
§ 27. Mit der Vollziehung dieses Bundesgesetzes sind betraut
1. hinsichtlich des § 9 Abs. 1 die Bundesregierung,
2. hinsichtlich der übrigen Bestimmungen der Bundesminister für Inneres.
Verweisungen
§ 28. Verweisungen in diesem Bundesgesetz auf andere Bundesgesetze sind als Verweisungen auf die jeweils geltende Fassung zu verstehen.
Übergangsbestimmungen
§ 29. (1) Von dem der Kundmachung dieses Bundesgesetzes folgenden Tag an sind, soweit nicht bereits erfolgt, alle vorbereitenden organisatorischen und personellen Maßnahmen zu setzen, die für die Ermöglichung einer zeitgerechten Aufgabenwahrnehmung durch den Bundesminister für Inneres erforderlich sind.
(2) Verordnungen auf Grund dieses Bundesgesetzes und seiner Novellen können ab dem Tag der Kundmachung dieses Bundesgesetzes oder der betreffenden Novelle erlassen werden. Die Verordnungen treten frühestens mit dem Inkrafttreten der jeweiligen Bestimmungen dieses Bundesgesetzes oder der betreffenden Novelle in Kraft.
Inkrafttreten
§ 30. (1) (Verfassungsbestimmung) §§ 1, 4 Abs. 2 und § 23 dieses Bundesgesetzes treten mit xx in Kraft.
(2) §§ 2 und 3, § 4 Abs. 1, 3 und 4, §§ 5 bis 22 sowie §§ 24 bis 28 dieses Bundesgesetzes treten mit xx in Kraft.