Durchsetzungsmaßnahmen in Bezug auf wesentliche und wichtige Einrichtungen

§ 39.

(1) Die Cybersicherheitsbehörde ist zur Sicherstellung der Einhaltung der sich aus diesem Bundesgesetz ergebenden Verpflichtungen gegenüber wesentlichen und wichtigen Einrichtungen befugt, mit Aufforderung unter Setzung einer angemessenen Frist Maßnahmen anzuordnen, wie etwa solche zur Verhütung oder Behebung eines Cybersicherheitsvorfalls, zur Behebung festgestellter Mängel oder zur Beendigung von Zuwiderhandlungen gegen Verpflichtungen nach diesem Bundesgesetz.

(2) Kommt die Einrichtung einer Aufforderung gemäß Abs. 1 nicht nach, hat die Cybersicherheitsbehörde die nachweisliche Umsetzung der jeweiligen Maßnahmen unter Setzung einer angemessenen Frist mit Bescheid aufzutragen.

(3) Zudem ist die Cybersicherheitsbehörde befugt, mit Bescheid

1. 1. gegenüber wesentlichen und wichtigen Einrichtungen anzuordnen,

1. a) die potenziell von einer erheblichen Cyberbedrohung betroffenen Personen, einschließlich der Empfänger ihrer Dienste und sonstigen Tätigkeiten, über die Art der Bedrohung sowie über mögliche Abwehr- und Abhilfemaßnahmen zu unterrichten, und
2. b) einzelne Aspekte der seitens der Cybersicherheitsbehörde aufgezeigten nicht eingehaltenen sich aus diesem Bundesgesetz ergebenden Verpflichtungen öffentlich bekannt zu machen, sofern dies erforderlich ist, um das damit verbundene Risiko auf ein vertretbares Ausmaß zu reduzieren, sowie

1. 2. gegenüber wesentlichen Einrichtungen für einen bestimmten Zeitraum einen mit genau festgelegten Aufgaben betrauten Überwachungsbeauftragten zur Überwachung der Anforderungen gemäß den §§ 32 und 34 zu benennen, um die Umsetzung der gemäß Abs. 2 mit Bescheid angeordneten Maßnahmen sicherzustellen. Die Cybersicherheitsbehörde hat die Aufgaben des Überwachungsbeauftragten auf jenen Umfang zu beschränken, der für die Einhaltung der Anforderungen an die Umsetzung der Risikomanagementmaßnahmen und der Berichtspflichten der wesentlichen Einrichtung unbedingt erforderlich ist.

(4) Kommt eine wesentliche Einrichtung dem Bescheid gemäß Abs. 2 nicht fristgerecht und nachweislich nach, ist die Cybersicherheitsbehörde befugt,

1. 1. die zuständige Behörde zu ersuchen, die Zertifizierung oder Genehmigung für einen Teil oder alle von der Einrichtung erbrachten einschlägigen Dienste oder Tätigkeiten vorübergehend auszusetzen oder die nationale Behörde für die Cybersicherheitszertifizierung gemäß Art. 58 der Verordnung (EU) 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), ABl. Nr. L 151 vom 07.06.2019 S. 15, oder eine Konformitätsbewertungsstelle zu ersuchen, die Zertifizierung oder Genehmigung vorübergehend auszusetzen;
2. 2. Leitungsorganen einer wesentlichen Einrichtung, einschließlich ihrer rechtlichen Vertreter, mit Bescheid vorübergehend zu untersagen, Leitungsaufgaben in dieser wesentlichen Einrichtung wahrzunehmen. Dieser Bescheid sowie dessen Aufhebung ist von der Cybersicherheitsbehörde dem Firmenbuchgericht zur Eintragung in das Firmenbuch zu übermitteln.

(5) Die gemäß Abs. 4 verhängten vorübergehenden Aussetzungen und Untersagungen sind von der zuständigen Behörde oder der Cybersicherheitsbehörde unverzüglich aufzuheben, sobald die betreffende wesentliche Einrichtung nachweislich die gemäß Abs. 2 angeordneten Maßnahmen ergriffen hat.

(6) Die in Abs. 4 vorgesehenen Durchsetzungsmaßnahmen finden keine Anwendung auf Behörden und sonstige Stellen der öffentlichen Verwaltung, einschließlich der Gebietskörperschaften sowie in Formen des Privatrechts eingerichtete Stellen der öffentlichen Verwaltung.

(7) Bei der Ergreifung von Durchsetzungsmaßnahmen gemäß den Abs. 1 bis 4 ist den Umständen des Einzelfalls Rechnung zu tragen und dabei zumindest Folgendes gebührend zu berücksichtigen:

1. 1. die Schwere des Verstoßes und die Wichtigkeit der Bestimmungen, gegen die verstoßen wurde, wobei insbesondere Folgendes immer als schwerer Verstoß anzusehen ist:

1. a) wiederholte Verstöße;
2. b) eine unterlassene Meldung oder Behebung von erheblichen Cybersicherheitsvorfällen;
3. c) eine Nichtbehebung von Mängeln nach verbindlicher Anweisung der Cybersicherheitsbehörde;
4. d) eine willentliche Behinderung von Prüfungen oder Überwachungstätigkeiten, die nach der Feststellung eines Verstoßes von der Cybersicherheitsbehörde angeordnet wurden, sowie
5. e) eine bewusste Übermittlung falscher oder grob verfälschender Informationen in Bezug auf die Umsetzung der Risikomanagementmaßnahmen oder Berichtspflichten gemäß den §§ 32 und 34;

1. 2. die Dauer des Verstoßes;
2. 3. einschlägige frühere Verstöße der betreffenden Einrichtung;
3. 4. der verursachte materielle oder immaterielle Schaden, darunter finanzieller oder wirtschaftlicher Verlust, Auswirkungen auf andere Dienste und die Zahl der betroffenen Nutzer;
4. 5. der etwaige Vorsatz oder die etwaige Fahrlässigkeit jener Person, die den Verstoß verursacht hat;
5. 6. die von der Einrichtung umgesetzten Risikomanagementmaßnahmen zur Verhinderung oder Minderung des materiellen oder immateriellen Schadens;
6. 7. die Einhaltung genehmigter Verhaltensregeln oder genehmigter Zertifizierungsverfahren;
7. 8. der Umfang der Zusammenarbeit der verantwortlichen natürlichen oder juristischen Personen mit der Cybersicherheitsbehörde.

(8) Liegt der Verdacht einer Verwaltungsübertretung gemäß § 45 Abs. 1 oder 4 vor, hat die Cybersicherheitsbehörde geeignete Durchsetzungsmaßnahmen gemäß den Abs. 1 bis 4 zu ergreifen.

(9) Die Cybersicherheitsbehörde hat dem Bundesminister für Inneres halbjährlich über die ergriffenen Aufsichts- und Durchsetzungsmaßnahmen zu berichten.

Schlagworte

Abwehrmaßnahme, Informationstechnik, Aufsichtsmaßnahme

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273900