Rechtsnormen
Bundesgesetze

§ 36 NISG 2026

Zukünftige FassungIn Kraft seit 01.10.2026

VersionenVersionen vergleichen

3. Abschnitt

Informationsaustausch Vereinbarungen über den Austausch von Informationen zur Cybersicherheit

§ 36.

(1) Wesentliche und wichtige Einrichtungen sowie Einrichtungen, die nicht in den Anwendungsbereich dieses Bundesgesetzes fallen, können einander auf freiwilliger Basis relevante Cybersicherheitsinformationen, einschließlich Informationen über Cyberbedrohungen, Beinahe-Vorfälle, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, gegnerische Taktiken, bedrohungsspezifische Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten zur Aufdeckung von Cyberangriffen, übermitteln, sofern

  1. 1. dieser Informationsaustausch darauf abzielt, Cybersicherheitsvorfälle zu verhindern, aufzudecken, darauf zu reagieren oder sich von ihnen zu erholen oder ihre Folgen einzudämmen, oder
  2. 2. durch diesen Informationsaustausch das Cybersicherheitsniveau erhöht wird, insbesondere indem Aufklärungsarbeit über Cyberbedrohungen geleistet wird, die Fähigkeit solcher Bedrohungen, sich zu verbreiten, eingedämmt oder verhindert wird und eine Reihe von Abwehrkapazitäten, die Beseitigung und Offenlegung von Schwachstellen, Techniken zur Erkennung, Eindämmung und Verhütung von Bedrohungen, Eindämmungsstrategien, Reaktions- und Wiederherstellungsphasen unterstützt werden oder indem die gemeinsame Forschung im Bereich der Cyberbedrohungen zwischen öffentlichen und privaten Einrichtungen gefördert wird.

(2) Der Informationsaustausch zwischen den wesentlichen und wichtigen Einrichtungen und gegebenenfalls ihren Lieferanten oder Dienstleistern hat im Wege von Vereinbarungen über den Informationsaustausch im Bereich der Cybersicherheit unter Beachtung des potentiell sensiblen Charakters der ausgetauschten Informationen zu erfolgen. In diesen Vereinbarungen können operative Elemente, einschließlich die Nutzung spezieller IKT‑Plattformen und Automatisierungsinstrumente, der Inhalt und die Bedingungen der Vereinbarungen über den Informationsaustausch bestimmt werden.

(3) Die Cybersicherheitsbehörde hat die Einrichtungen bei der Ausarbeitung von Vereinbarungen gemäß Abs. 2, insbesondere hinsichtlich der Anwendung der in § 15 Abs. 4 Z 8 genannten Konzepte, zu unterstützen.

(4) Wesentliche und wichtige Einrichtungen haben die Cybersicherheitsbehörde beim Abschluss von in Abs. 2 genannten Vereinbarungen oder über ihren Rücktritt von solchen Vereinbarungen zu unterrichten, sobald dieser wirksam wird.

Schlagworte

Reaktionsphase

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273897

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)