Rechtsnormen
Bundesgesetze

§ 38 NISG 2026

Zukünftige FassungIn Kraft seit 01.10.2026

VersionenVersionen vergleichen

4. Abschnitt

Aufsicht und Durchsetzung Aufsichtsmaßnahmen in Bezug auf wesentliche und wichtige Einrichtungen

§ 38.

(1) Die Cybersicherheitsbehörde ist in Wahrnehmung ihrer Aufsichtsaufgaben zur Einhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen in Bezug auf wesentliche Einrichtungen neben § 33 befugt, folgende Maßnahmen zu ergreifen:

  1. 1. die Durchführung von Kontrollen der Umsetzung der Risikomanagementmaßnahmen gemäß § 32 durch Einschau, insbesondere in die diesbezüglichen Netz- und Informationssysteme und Unterlagen vor Ort und aus der Ferne unter Mitwirkung der Einrichtung oder durch Begleitung der Prüfungen durch unabhängige Stellen, jeweils nach vorangegangener Verständigung der betreffenden Einrichtung;
  2. 2. die Durchführung von Sicherheitsscans auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter Risikobewertungskriterien, erforderlichenfalls in Zusammenarbeit mit der betreffenden Einrichtung;
  3. 3. die Anforderung von Informationen, die für die Bewertung der von der betreffenden Einrichtung umgesetzten Risikomanagementmaßnahmen gemäß § 32 erforderlich sind, einschließlich dokumentierter Cybersicherheitskonzepte, sowie der Einhaltung der Verpflichtungen zur Übermittlung von Informationen gemäß § 29;
  4. 4. die Anforderung des Zugangs zu Daten, Dokumenten und sonstigen Informationen, die zur Erfüllung der Aufsichtsaufgaben erforderlich sind;
  5. 5. die Ad-hoc-Prüfung einer wesentlichen Einrichtung, einschließlich solche, die aufgrund eines erheblichen Cybersicherheitsvorfalls oder Verstoßes gegen dieses Bundesgesetz durch diese Einrichtung gerechtfertigt sind oder der Überprüfung einer übermittelten Selbstdeklaration gemäß § 33 Abs. 1 dienen.

(2) Erlangt die Cybersicherheitsbehörde durch Nachweise, wie insbesondere die Selbstdeklaration gemäß § 33 Abs. 1, oder sonstige begründete Hinweise und Informationen davon Kenntnis, dass eine wichtige Einrichtung mutmaßlich ihren Verpflichtungen nach diesem Bundesgesetz, insbesondere den §§ 32 und 34, nicht nachkommt, kann sie auch gegenüber wichtigen Einrichtungen Aufsichtsmaßnahmen gemäß Abs. 1 Z 1 bis 4 setzen.

(3) Die Ausübung der Maßnahmen gemäß den Abs. 1 und 2 hat in dem unbedingt erforderlichen Ausmaß sowie unter möglichster Schonung der Rechte der betroffenen Einrichtung und Dritter sowie des Betriebs zu erfolgen.

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273899

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)