2. Abschnitt

Unabhängige Stellen und unabhängige Prüfer Unabhängige Stellen und unabhängige Prüfer

§ 7.

(1) Eine unabhängige Stelle ist eine juristische Person oder eine eingetragene Personengesellschaft mit Niederlassung in Österreich oder in einem anderen Mitgliedstaat der Europäischen Union, die sich zur Prüfung der Umsetzung der Risikomanagementmaßnahmen gemäß § 33 Abs. 2 zumindest eines unabhängigen Prüfers gemäß Abs. 2 bedient, oder eine natürliche Person, die die Tätigkeit als unabhängiger Prüfer selbständig ausübt.

(2) Auf Antrag ist eine natürliche Person von der Cybersicherheitsbehörde als unabhängiger Prüfer zuzulassen, wenn sie

1. 1. über ein österreichisches Reifeprüfungszeugnis, ein österreichisches Diplomprüfungszeugnis, ein österreichisches Zeugnis über die Berufsreifeprüfung, ein aufgrund völkerrechtlicher Vereinbarung gleichwertiges Zeugnis oder eine einschlägige berufliche Qualifikation verfügt,
2. 2. über eine facheinschlägige und durchgängige mindestens dreijährige Berufserfahrung im Ausmaß von zumindest zwanzig Wochenstunden im Bereich der Cybersicherheit, die durch Zeugnisse gemäß § 39 des Angestelltengesetzes, BGBl. Nr. 292/1921, oder in gleichwertiger Form nachzuweisen ist, verfügt und
3. 3. gegenüber der Cybersicherheitsbehörde ihre Eignung zur Prüfung der Umsetzung der Risikomanagementmaßnahmen durch ausreichende theoretische Fachkenntnisse sowie praktische Fähigkeiten in organisatorischer und technischer Hinsicht im Rahmen einer Eignungsprüfung nachweist.

(3) Die Cybersicherheitsbehörde hat die Zulassung gemäß Abs. 2 zu entziehen, wenn

1. 1. der unabhängige Prüfer innerhalb der letzten fünf Jahre nicht zumindest eine Prüfung gemäß § 33 Abs. 2 durchgeführt hat oder
2. 2. die Eignung des unabhängigen Prüfers gemäß Abs. 2 Z 3 nicht mehr gegeben ist.

• Nach einer rechtskräftigen Entziehung der Zulassung kann die betroffene Person erst nach Ablauf eines Jahres einen neuerlichen Antrag auf Zulassung stellen.

(4) Die Cybersicherheitsbehörde hat eine Liste mit den Kontaktdaten der unabhängigen Prüfer zu führen und wesentlichen und wichtigen Einrichtungen in geeigneter Weise zur Verfügung zu stellen.

(5) Unabhängige Prüfer sind zur vertraulichen Behandlung der im Rahmen der Prüfung der Umsetzung der Risikomanagementmaßnahmen bekanntgewordenen Informationen, deren Geheimhaltung im Interesse der jeweiligen geprüften Einrichtungen geboten ist, verpflichtet. Dies gilt auch für sonstige Personen, denen im Zuge ihrer Tätigkeit bei einer unabhängigen Stelle solche Informationen bekanntwerden.

(6) Die Cybersicherheitsbehörde kann mit Verordnung

1. 1. nähere Regelungen zu den erforderlichen Fachkenntnissen und Fähigkeiten gemäß Abs. 2 Z 3, einschließlich der Form der Eignungsprüfung, und
2. 2. Pauschalsätze für Verwaltungsabgaben für die Zulassung als unabhängiger Prüfer, die dem durchschnittlichen Aufwand der jeweiligen Zulassung entsprechen,

• festlegen.

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273868