Rechtsnormen
Bundesgesetze

§ 24 NISG 2026

Zukünftige FassungIn Kraft seit 01.10.2026

VersionenVersionen vergleichen

3. Hauptstück

Wesentliche und wichtige Einrichtungen und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen

1. Abschnitt

Wesentliche und wichtige Einrichtungen Wesentliche und wichtige Einrichtungen

§ 24.

(1) Als wesentliche Einrichtungen gelten

  1. 1. unabhängig von der Unternehmensgröße
  1. a) qualifizierte Vertrauensdiensteanbieter,
  2. b) Namenregister der Domäne oberster Stufe (TLD Namenregister),
  3. c) DNSDiensteanbieter,
  4. d) Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene gemäß Abs. 4,
  5. e) Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft wurden (§ 26 Abs. 1 und 2) sowie
  6. f) Einrichtungen, die als kritische Einrichtungen gemäß der Richtlinie (EU) 2022/2557 ermittelt wurden;
  1. 2. Einrichtungen, die ein mittleres Unternehmen gemäß § 25 Abs. 3 betreiben und Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste sind;
  2. 3. Einrichtungen der in Anlage 1 dieses Gesetzes genannten Art, die ein großes Unternehmen gemäß § 25 Abs. 2 betreiben.

(2) Als wichtige Einrichtung gelten

  1. 1. Einrichtungen der in den Anlagen 1 und 2 dieses Gesetzes genannten Art, die ein großes oder mittleres Unternehmen betreiben sowie
  2. 2. Einrichtungen im Sektor der öffentlichen Verwaltung auf Landesebene gemäß Abs. 5 und
  3. 3. unabhängig von ihrer Größe
  1. a. Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen Kommunikationsdiensten,
  2. b. Vertrauensdiensteanbieter und
  3. c. Einrichtungen, die von der Cybersicherheitsbehörde als wichtige Einrichtung eingestuft wurden (§ 26 Abs. 1),
  1. und diese Einrichtung nicht bereits eine wesentliche Einrichtung gemäß Abs. 1 ist.

(3) Einrichtungen im Sektor der öffentlichen Verwaltung sind Einrichtungen, die

  1. 1. zum Zweck eingerichtet wurden, im öffentlichen Interesse liegende Aufgaben nicht gewerblicher Art zu erfüllen,
  2. 2. der Aufsicht des Bundes oder eines Landes unterstehen oder an die Weisungen eines obersten Organs gebunden sind oder ein Leitungs- oder Aufsichtsorgan haben, das mehrheitlich aus Mitgliedern besteht, die von Bundes- oder Landesbehörden oder von anderen auf Bundes- oder Landesebene eingerichteten Körperschaften des öffentlichen Rechts eingesetzt worden sind, oder an denen der Bund oder ein Land mit mindestens 50 vH des Stamm-, Grund- oder Eigenkapitals beteiligt ist oder die Mitglieder der Bundesregierung sind und
  3. 3. ermächtigt sind, im Rahmen ihrer gesetzlich übertragenen Aufgaben Bescheide zu erlassen, die Rechte Einzelner im grenzüberschreitenden Personen-, Waren, Dienstleistungs- oder Kapitalverkehr berühren,
  1. mit Ausnahme der Gemeinden sowie Gemeindeverbände.

(4) Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene sind Einrichtungen gemäß Abs. 3, die zudem zur Besorgung von Angelegenheiten der Bundesverwaltung berufen sind und entweder als Bundesbehörden eingerichtet wurden oder Rechtspersönlichkeit besitzen. Die übrigen Mitglieder der Bundesregierung haben der Cybersicherheitsbehörde erstmalig innerhalb von drei Monaten ab Inkrafttreten dieses Bundesgesetzes und im Anschluss anlassbezogen, längstens jedoch alle drei Jahre, eine Liste der in ihren Wirkungsbereich fallenden Einrichtungen zu übermitteln.

(5) Einrichtungen im Sektor der öffentlichen Verwaltung auf Landesebene sind die Ämter der Landesregierungen und die Bezirkshauptmannschaften sowie Einrichtungen gemäß Abs. 3, die zudem zur Besorgung von Angelegenheiten der Landesverwaltung berufen sind und Rechtspersönlichkeit besitzen.

(6) Einrichtungen im Sektor der öffentlichen Verwaltung, deren Wirkungsbereiche überwiegend die nationale Sicherheit einschließlich der militärischen Landesverteidigung, die öffentliche Sicherheit oder die Strafverfolgung umfassen, sowie Einrichtungen des Universitäts-, Hochschul- und Schulwesens, Einrichtungen der Gerichtsbarkeit einschließlich der kollegialen und monokratischen Justizverwaltung, Einrichtungen der Gesetzgebung einschließlich der Parlamentsdirektion, sowie die Österreichische Nationalbank gelten nicht als wesentliche oder wichtige Einrichtungen. Für Vertrauensdiensteanbieter kommt dieser Absatz nicht zur Anwendung.

(7) Gegenüber Einrichtungen, die in den Anwendungsbereich der Verordnung (EU) 2022/2554 fallen, gehen die einschlägigen Bestimmungen dieser Verordnung und nationaler Durchführungsbestimmungen vor. Dies gilt auch für jene Einrichtungen, die gemäß Art. 2 Abs. 4 Verordnung (EU) 2022/2554 im Rahmen der innerstaatlichen Durchführung von deren Anwendungsbereich ausgenommen wurden.

(8) IKT‑Drittdienstleister gemäß Art. 3 Z 23 der Verordnung (EU) 2022/2554 unterliegen auch den Bestimmungen dieses Bundesgesetzes.

(9) Unbeschadet des Abs. 6 erster Satz haben der Bundesminister für Inneres, die Bundesministerin für Justiz und der Bundesminister für Landesverteidigung im jeweiligen Wirkungsbereich sowie der Präsident des Nationalrats im Bereich der diesem zustehenden Verwaltungsangelegenheiten die notwendigen strukturellen Voraussetzungen zur Sicherstellung eines hohen Cybersicherheitsniveaus zu schaffen.

Schlagworte

Leitungsorgan, Bundesbehörde, Bundesebene, Stammkapital, Grundkapital, Personenverkehr, Dienstleistungsverkehr, Universitätswesen, Hochschulwesen

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273885

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)