Ausnahmen von Verpflichtungen für wesentliche oder wichtige Einrichtungen aufgrund sektorspezifischer Rechtsakte der Europäischen Union
§ 27.
(1) Die Anforderungen gemäß den §§ 32 und 34 sind insoweit nicht anwendbar,
- 1. als wesentliche oder wichtige Einrichtungen aufgrund sektorspezifischer unionsrechtlicher Bestimmungen zur Ergreifung von Risikomanagementmaßnahmen oder zur Meldung erheblicher Cybersicherheitsvorfälle verpflichtet sind und
- 2. die jeweiligen Bestimmungen dieser sektorspezifischen Rechtsakte ein zumindest gleichwertiges Cybersicherheitsniveau gewährleisten.
- Die Cybersicherheitsbehörde hat über die Bestimmungen gemäß Z 1 und das Ausmaß der Gleichwertigkeit gemäß Z 2 auf der Webseite der Cybersicherheitsbehörde zu informieren.
(2) Die Verpflichtungen der sektorspezifischen unionsrechtlichen Bestimmungen gelten als gleichwertig, sofern
- 1. Inhalt, Umfang, Zweck und potenzielle Auswirkungen der aufgrund dieser Bestimmungen zu ergreifenden Maßnahmen auf das Cybersicherheitsniveau den Anforderungen gemäß § 32 entsprechen;
- 2. diese einen unmittelbaren Zugang zu den Meldungen von Sicherheitsvorfällen durch die CSIRTs oder die Cybersicherheitsbehörde vorsehen sowie Umfang und Auswirkungen der vorgesehenen Berichtspflichten jenen gemäß § 34 entsprechen.
Zuletzt aktualisiert am
30.12.2025
Gesetzesnummer
20013065
Dokumentnummer
NOR40273888
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)