6. Abschnitt

Zusammenarbeit auf nationaler, Unions- und internationaler Ebene Zusammenarbeit auf nationaler Ebene

§ 20.

(1) Die Cybersicherheitsbehörde und die CSIRTs arbeiten bei der Erfüllung ihrer Aufgaben nach diesem Bundesgesetz zusammen.

(2) Die Cybersicherheitsbehörde hat für die Erfüllung ihrer gesetzlichen Aufgaben und Pflichten nach diesem Bundesgesetz insbesondere mit

1. 1. der Kriminalpolizei, den Staatsanwaltschaften und Gerichten,
2. 2. den Behörden, die das Luftfahrtsicherheitsgesetz 2011 (LSG 2011), BGBl. I Nr. 111/2010 vollziehen, sowie den Behörden, die als zuständige nationale Aufsichtsbehörde oder zuständige nationale Behörde gemäß der Verordnung (EU) 2018/1139 zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit sowie zur Änderung der Verordnungen (EG) Nr. 2111/2005, (EG) Nr. 1008/2008, (EU) Nr. 996/2010, (EU) Nr. 376/2014 und der Richtlinien 2014/30/EU und 2014/53/EU des Europäischen Parlaments und des Rates, und zur Aufhebung der Verordnungen (EG) Nr. 552/2004 und (EG) Nr. 216/2008 des Europäischen Parlaments und des Rates und der Verordnung (EWG) Nr. 3922/91 des Rates, ABl. Nr. L 212 vom 22.08.2018 S. 1, sowie deren delegierte Rechtsakte und Durchführungsrechtsakte benannt sind,
3. 3. den Behörden, welche innerstaatlich die Einhaltung der Verordnung (EU) 2022/2554 sicherstellen,
4. 4. der Aufsichtsstelle gemäß § 12 SVG,
5. 5. der nationalen Regulierungsbehörde gemäß § 194 TKG 2021 sowie
6. 6. der KommAustria gemäß § 199 TKG 2021

• zusammenzuarbeiten und kann in diesem Zusammenhang Informationen über relevante Umstände, die auch personenbezogene Daten beinhalten können, austauschen, soweit diese im Aufgabenbereich der jeweiligen Behörden liegen und dies der Erhöhung der Cybersicherheit dient.

(3) Kriminalpolizei, Staatsanwaltschaften und Gerichte sind ermächtigt, der Cybersicherheitsbehörde nach Maßgabe des § 76 Abs. 4 der Strafprozeßordnung 1975 (StPO), BGBl. Nr. 631/1975, ermittelte personenbezogene Daten zu übermitteln, soweit eine Weiterverarbeitung dieser Daten durch die Cybersicherheitsbehörde für die Erfüllung ihrer gesetzlichen Aufgaben und Pflichten nach diesem Bundesgesetz erforderlich ist.

(4) Die Cybersicherheitsbehörde arbeitet mit der gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörde hinsichtlich der Identifizierung kritischer Einrichtungen gemäß der Richtlinie (EU) 2022/2557 , zu Risiken, Cyberbedrohungen und Cybersicherheitsvorfällen sowie zu nicht cyberbezogenen Risiken, Bedrohungen und Sicherheitsvorfällen zusammen und tauscht mit dieser Informationen zu den als Reaktion ergriffenen Maßnahmen und darüberhinausgehende Informationen aus.

(5) Die Cybersicherheitsbehörde hat vor der Durchführung von Aufsichts- und Durchsetzungsmaßnahmen gegenüber Einrichtungen, die gemäß § 24 Abs. 1 Z 1 lit. f als wesentliche Einrichtungen gelten, jene Behörde, die in Umsetzung von Art. 9 der Richtlinie (EU) 2022/2557 als zuständige Behörde benannt oder eingerichtet wurde, zu unterrichten.

(6) Die Cybersicherheitsbehörde hat auf Ersuchen jener Behörde, die in Umsetzung des Art. 9 der Richtlinie (EU) 2022/2557 als zuständige Behörde benannt oder eingerichtet wurde, Aufsichts- und Durchsetzungsmaßnahmen gegenüber Einrichtungen auszuüben, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden.

(7) Die Cybersicherheitsbehörde hat vor der Durchführung von Aufsichts- und Durchsetzungsmaßnahmen gegenüber wesentlichen und wichtigen Einrichtungen, die als IKT‑Drittdienstleister gemäß Art. 31 der Verordnung (EU) 2022/2554 benannt wurden, das gemäß Art. 32 Abs. 1 der Verordnung (EU) 2022/2554 eingerichtete Überwachungsforum zu unterrichten.

(8) Ein Informationsaustausch mit der Aufsichtsstelle gemäß Abs. 2 Z 4 hat jedenfalls in Angelegenheiten zu erfolgen, die Risiken, Cyberbedrohungen und Cybersicherheitsvorfälle eines Vertrauensdiensteanbieters oder Schwachstellen einer qualifizierten elektronischen Signaturerstellungseinheit, einer qualifizierten elektronischen Siegelerstellungseinheit oder der vertrauenswürdigen Systeme eines Vertrauensdiensteanbieters betreffen.

(9) Die Cybersicherheitsbehörde hat vor der Durchführung von Aufsichts- und Durchsetzungsmaßnahmen gegenüber Betreibern gemäß § 4 Z 25 TKG 2021 und Anbietern gemäß § 4 Z 36 TKG 2021 die nationale Regulierungsbehörde gemäß § 194 TKG 2021 und die KommAustria gemäß § 199 TKG 2021 zu unterrichten.

Schlagworte

Aufsichtsmaßnahme, Unionsebene

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273881