Rechtsnormen
Bundesgesetze

§ 35 NISG 2026

Zukünftige FassungIn Kraft seit 01.10.2026

VersionenVersionen vergleichen

Erheblicher Cybersicherheitsvorfall

§ 35.

(1) Ein Cybersicherheitsvorfall gilt als erheblich, wenn er

  1. 1. schwerwiegende Betriebsstörungen der erbrachten Dienste der Einrichtung oder schwerwiegende finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann;
  2. 2. andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

(2) Bei der Beurteilung, ob ein Cybersicherheitsvorfall als erheblich gemäß Abs. 1 einzustufen ist, sind folgende Kriterien zu berücksichtigen:

  1. 1. die Abhängigkeit anderer in Anlage 1 und 2 angeführter Sektoren oder Teilsektoren oder Arten von Einrichtungen von dem von der Einrichtung erbrachten Dienst oder den von der Einrichtung erbrachten Diensten;
  2. 2. die möglichen Auswirkungen von Cybersicherheitsvorfällen auf die Umwelt, die öffentliche Ordnung und Sicherheit, die öffentliche Gesundheit oder die Gesundheit der Bevölkerung oder eines großen Personenkreises;
  3. 3. der Marktanteil der jeweiligen Einrichtung auf dem Markt für die betreffenden Dienste gemäß Abs. 1;
  4. 4. das geografische Gebiet, das von einem Cybersicherheitsvorfall betroffen sein könnte, einschließlich allfälliger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter geografischer Gebiete verbunden sind;
  5. 5. die betroffenen Netz- und Informationssysteme und deren Bedeutung für die Erbringung der Dienste der jeweiligen Einrichtung, die Schwere und die technischen Merkmale der Cyberbedrohung und sämtliche dem Cybersicherheitsvorfall zugrundeliegende Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Cybersicherheitsvorfällen;
  6. 6. gegebenenfalls unternehmens- und sektorspezifische Faktoren.

(3) Die Cybersicherheitsbehörde kann mit Verordnung weitere Kriterien und nähere Regelungen zu Abs. 2 für das Vorliegen eines erheblichen Cybersicherheitsvorfalls festlegen. Dabei können sektorspezifische Faktoren berücksichtigt werden.

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273896

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)