Verwaltungsstrafbestimmungen

§ 45.

(1) Wer

1. 1. seiner Verpflichtung, Cybersicherheitsschulungen für Leitungsorgane gemäß § 31 Abs. 2 vorzusehen, nicht nachkommt,
2. 2. seiner Verpflichtung, Cybersicherheitsschulungen für Mitarbeiter (Arbeitnehmer) gemäß § 31 Abs. 2 zweiter Satz vorzusehen, nicht nachkommt,
3. 3. Risikomanagementmaßnahmen gemäß § 32 nicht umsetzt, soweit dieser Umstand der Cybersicherheitsbehörde nicht nur aufgrund einer Selbstdeklaration gemäß § 33 Abs. 1 bekanntgeworden ist,
4. 4. seiner Verpflichtung zur Meldung eines erheblichen Cybersicherheitsvorfalls gemäß § 34 Abs. 1 und 2 sowie den damit zusammenhängenden Berichtspflichten nicht entspricht,
5. 5. seiner Verpflichtung zur unverzüglichen Unterrichtung der Empfänger der Dienste einer wesentlichen oder wichtigen Einrichtung gemäß § 34 Abs. 3 nicht entspricht, oder
6. 6. den gemäß § 39 Abs. 2 angeordneten Durchsetzungsmaßnahmen nicht fristgerecht nachkommt, sofern nicht wegen desselben zugrundeliegenden Sachverhalts eine Strafbarkeit nach den Abs. 1 oder 4 besteht,

• begeht eine Verwaltungsübertretung und ist mit einer Geldstrafe nach Maßgabe der Abs. 2 und 3 zu bestrafen.

(2) Wer als wesentliche Einrichtung (§ 24 Abs. 1) eine Verwaltungsübertretung gemäß Abs. 1 begeht, ist mit Geldstrafe in Höhe von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, je nachdem, welcher Betrag höher ist, zu bestrafen.

(3) Wer als wichtige Einrichtung (§ 24 Abs. 2) eine Verwaltungsübertretung gemäß Abs. 1 begeht, ist mit Geldstrafe in Höhe von bis zu 7 000 000 EUR oder bis zu 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wichtige Einrichtung angehört, je nachdem, welcher Betrag höher ist, zu bestrafen.

(4) Wer

1. 1. sich bei der Cybersicherheitsbehörde nicht fristgerecht gemäß § 29 Abs. 3 registriert oder im Zuge der Registrierung wissentlich falsche oder unvollständige Angaben übermittelt,
2. 2. der Cybersicherheitsbehörde Änderungen gemäß § 29 Abs. 4 nicht im dort vorgegebenen Zeitraum bekannt gibt,
3. 3. seiner Verpflichtung zur Führung einer Datenbank gemäß § 30 Abs. 1 nicht nachkommt,
4. 4. entgegen § 30 Abs. 3 über keine Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, verfügt oder diese Vorgaben und Verfahren nicht öffentlich zugänglich macht,
5. 5. entgegen § 30 Abs. 4 nicht unverzüglich nach der Registrierung eines Domänenamens die nicht personenbezogenen Domänennamen-Registrierungsdaten öffentlich zugänglich macht,
6. 6. entgegen § 30 Abs. 5 trotz rechtmäßigen und begründeten Antrags keinen Zugang zu den Domänennamen-Registrierungsdaten gewährt, alle Anträge auf Zugang nicht unverzüglich, längstens jedoch innerhalb von 72 Stunden nach Eingang des jeweiligen Antrags, beantwortet oder die Vorgaben und Verfahren im Hinblick auf die Offenlegung solcher Daten nicht öffentlich zugänglich macht,
7. 7. entgegen § 33 Abs. 1 seiner Verpflichtung zur Selbstdeklaration nicht fristgerecht nachkommt,
8. 8. in einer Selbstdeklaration gemäß § 33 Abs. 1 wissentlich falsche Angaben über die Umsetzung von Risikomanagementmaßnahmen macht,
9. 9. entgegen § 33 Abs. 3 seiner Verpflichtung zur Übermittlung eines Prüfberichts nicht fristgerecht nachkommt,
10. 10. entgegen § 33 Abs. 5 der Cybersicherheitsbehörde die geplanten Prüfungen nicht fristgerecht bekanntgibt,
11. 11. seiner Verpflichtung zur Bekanntgabe von Abschlüssen sowie Rücktritten von Vereinbarungen zum Informationsaustausch gemäß § 36 Abs. 4 nicht entspricht,
12. 12. die Durchführung einer Kontrolle der jeweiligen Einrichtung gemäß § 38 Abs. 1 Z 1 be- oder verhindert,
13. 13. die Durchführung von Sicherheitsscans betreffend die jeweilige Einrichtung gemäß § 38 Abs. 1 Z 2 be- oder verhindert,
14. 14. seiner Verpflichtung zur Bereitstellung von Informationen einschließlich dokumentierter Sicherheitskonzepte gemäß § 38 Abs. 1 Z 3 nicht entspricht,
15. 15. seiner Verpflichtung zur Gewährung des Zugangs zu Daten, Dokumenten oder sonstigen Informationen auf Anforderung gemäß § 38 Abs. 1 Z 4 nicht entspricht,
16. 16. die Durchführung einer Ad-hoc-Prüfung der jeweiligen Einrichtung gemäß § 38 Abs. 1 Z 5 be- oder verhindert,
17. 17. den gemäß § 39 Abs. 3 Z 1 lit. a und b angeordneten Maßnahmen nicht fristgerecht nachkommt,
18. 18. den Überwachungsbeauftragten gemäß § 39 Abs. 3 Z 2 bei seiner Tätigkeit behindert oder
19. 19. seiner Verpflichtung zur Verwendung spezieller IKT-Produkte, -Dienste und -Prozesse gemäß § 40 nicht nachkommt,

1. ist mit Geldstrafe in Höhe von bis zu 50 000 EUR und im Wiederholungsfall bis zu 100 000 EUR zu bestrafen.

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273906