Rechtsnormen
Bundesgesetze

§ 11 NISG 2026

Zukünftige FassungIn Kraft seit 01.10.2026

VersionenVersionen vergleichen

Koordinierte Offenlegung von Schwachstellen

§ 11.

(1) Das nationale CSIRT (§ 8 Abs. 2) hat die Offenlegung von Schwachstellen zu koordinieren. Es fungiert dabei als vertrauenswürdiger Vermittler und erleichtert erforderlichenfalls die Interaktion zwischen der eine Schwachstelle meldenden natürlichen oder juristischen Person und dem Hersteller oder Anbieter der potenziell gefährdeten IKT‑Produkte oder IKT‑Dienste auf Ersuchen einer der beiden Seiten. Zu den Aufgaben des als Koordinator benannten nationalen CSIRTs gehört es insbesondere,

  1. 1. die betreffenden Einrichtungen zu ermitteln und zu kontaktieren,
  2. 2. die natürlichen oder juristischen Personen, die eine Schwachstelle melden, zu unterstützen,
  3. 3. die Zeitpläne für die Offenlegung auszuhandeln und das Vorgehen bei Schwachstellen, die mehrere Einrichtungen betreffen, zu koordinieren, sowie
  4. 4. gegebenenfalls die sektorspezifischen CSIRTs zu informieren.

(2) Natürliche oder juristische Personen können dem nationalen CSIRT eine Schwachstelle auf Wunsch anonym melden. Das nationale CSIRT hat sicherzustellen, dass in Bezug auf die gemeldete Schwachstelle sorgfältige Folgemaßnahmen durchgeführt werden können. Die Anonymität der die Schwachstelle meldenden natürlichen oder juristischen Person ist zu wahren.

(3) Wenn die gemeldete Schwachstelle erhebliche Auswirkungen auf Einrichtungen in mehreren Mitgliedstaaten der Europäischen Union haben könnte, hat das nationale CSIRT mit den anderen als Koordinatoren benannten CSIRTs innerhalb des CSIRTs‑Netzwerks zusammenzuarbeiten.

(4) Über Schwachstellen, die eine qualifizierte elektronische Signaturerstellungseinheit, eine qualifizierte elektronische Siegelerstellungseinheit oder die vertrauenswürdigen Systeme eines Vertrauensdiensteanbieters betreffen, hat das nationale CSIRT unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme der Schwachstelle, die Aufsichtsstelle gemäß § 12 des Signatur- und Vertrauensdienstegesetzes (SVG), BGBl. I Nr. 50/2016, zu informieren.

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273872

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)