Hinweis: Das Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) wurde vom Nationalrat noch nicht beschlossen und ist nicht rechtsgültig. Die Listen der Sektoren mit hoher Kritikalität und Sonstige kritische Sektoren sind als Anhänge zum NISG 2024 dabei und somit auch noch nicht rechtsgültig. Das gilt auch für alle weiteren Auszüge aus dem NISG 2024 Gesetz.
Wesentliche und Wichtige Einrichtungen NIS-2
Die Network and Information Systems NIS-2 Richtlinie der Europäischen Union definiert wesentliche und wichtige Einrichtungen als Unternehmen und Organisationen, die Dienste erbringen, die aus Sicht der Cybersicherheit kritisch für die das reibungslose Funktionieren der Gesellschaft und Wirtschaft sind.
Auszug aus NISG 2024
§ 24. (1) Als wesentliche Einrichtungen gelten,
1. unabhängig von der Unternehmensgröße,
a. qualifizierte Vertrauensdiensteanbieter,
b. Namenregister der Domäne oberster Stufe (TLD Namenregister),
c. Domänennamensystem-Diensteanbieter,
d. Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene gemäß Abs. 4,
e. Einrichtungen, die von der Cybersicherheitsbehörde als wesentliche Einrichtung eingestuft
wurden (§ 26) sowie
f. Einrichtungen, die als kritische Einrichtungen im Sinne der Richtlinie (EU) 2022/2557)
ermittelt wurden;
2. Einrichtungen, die ein mittleres Unternehmen gemäß § 25 Abs. 3 betreiben und Anbieter
öffentlicher elektronischer Kommunikationsnetze sowie Anbieter öffentlich zugänglicher
elektronischer Kommunikationsdienste sind;
3. Einrichtungen der in Anlage 1 dieses Gesetzes genannten Art, die ein großes Unternehmen
gemäß § 25 Abs. 2 betreiben.
(2) Als wichtige Einrichtung gelten
1. Einrichtungen der in den Anlagen 1 und 2 dieses Gesetzes genannten Art, die ein großes oder
mittleres Unternehmen betreiben sowie
2. Einrichtungen im Sektor der öffentlichen Verwaltung auf Landesebene gemäß Abs. 5 und
3. unabhängig von ihrer Größe
a. Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich
zugänglichen Kommunikationsdiensten,
b. Vertrauensdiensteanbieter, und
c. Einrichtungen, die von der Cybersicherheitsbehörde als wichtige Einrichtung eingestuft
wurden (§ 26 Abs. 1)
und diese Einrichtung nicht bereits eine wesentliche Einrichtung nach Abs. 1 ist.
(3) Einrichtungen im Sektor der öffentlichen Verwaltung sind Einrichtungen, die
1. zum Zweck eingerichtet wurden, im öffentlichen Interesse liegende Aufgaben nicht gewerblicher Art zu erfüllen,
2. der Aufsicht des Bundes oder eines Landes unterstehen oder an die Weisungen eines obersten Organs gebunden sind oder ein Leitungs- oder Aufsichtsorgan haben, das mehrheitlich aus Mitgliedern besteht, die von Bundes- oder Landesbehörden oder von anderen auf Bundes- oder Landesebene eingerichteten Körperschaften des öffentlichen Rechts eingesetzt worden sind, oder an denen der Bund oder ein Land mit mindestens 50 vH des Stamm-, Grund- oder Eigenkapitals beteiligt ist oder Mitglieder der Bundesregierung sind und
3. ermächtigt sind, im Rahmen ihrer gesetzlich übertragenen Aufgaben Bescheide zu erlassen, die Rechte Einzelner im grenzüberschreitenden Personen-, Waren, Dienstleistungs- oder Kapitalverkehr berühren, mit Ausnahme der Gemeinden sowie Gemeindeverbände
(4) Einrichtungen im Sektor der öffentlichen Verwaltung auf Bundesebene sind Einrichtungen gemäß Abs. 3, die zudem zur Besorgung von Angelegenheiten der Bundesverwaltung berufen sind und entweder als Bundesbehörden eingerichtet wurden oder Rechtspersönlichkeit besitzen.
(5) Einrichtungen im Sektor der öffentlichen Verwaltung auf Landesebene sind die Ämter der Landesregierungen und die Bezirkshauptmannschaften sowie Einrichtungen gemäß Abs. 3, die zudem zur Besorgung von Angelegenheiten der Landesverwaltung berufen sind und Rechtspersönlichkeit besitzen.
(6) Einrichtungen im Sektor der öffentlichen Verwaltung, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, militärische Landesverteidigung oder Strafverfolgung ausgeübt werden sowie Einrichtungen des Universitäts-, Hochschul- und Schulwesens, Einrichtungen der Gerichtsbarkeit, Einrichtungen der Gesetzgebung, einschließlich der Parlamentsdirektion sowie die Österreichische Nationalbank gelten nicht als wesentliche oder wichtige Einrichtungen. Für Vertrauensdiensteanbieter kommt dieser Absatz nicht zur Anwendung.
(7) Gegenüber Einrichtungen, die in den Anwendungsbereich der Verordnung (EU) 2022/2554 fallen, gehen die einschlägigen Bestimmungen dieser Verordnung und nationaler Durchführungsbestimmungen vor. Dies gilt auch für jene Einrichtungen, die gemäß Art. 2 Abs. 4 Verordnung (EU) 2022/2554 im Rahmen der innerstaatlichen Durchführung von deren Anwendungsbereich ausgenommen wurden.
(8) IKT-Drittdienstleister gemäß Art. 3 Nr. 23 der Verordnung (EU) 2022/2554 unterliegen auch den Bestimmungen dieses Bundesgesetzes.
Wesentlichen Einrichtungen
 | NIS2 - Sektoren mit hoher Kritikalität.pdf (108.14KB) |
| NIS2 - Sektoren mit hoher Kritikalität.pdf (108.14KB) |
Wichtige Einrichtungen
