§ 9.

(1) Der Bundesminister für Inneres ist verpflichtet, für die Bundesregierung eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (Strategie) vorzubereiten und diese anlassbezogen, längstens jedoch alle vier Jahre anzupassen, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit zur Äußerung zu geben ist. Die Strategie ist erstmalig spätestens bis zum 17. Jänner 2026 von der Bundesregierung zu beschließen.

(2) Die Strategie hat jedenfalls folgende Inhalte zu umfassen:

1. 1. strategische Ziele zur Verbesserung der Resilienz, insbesondere unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten;
2. 2. einen Steuerungsrahmen zur Verwirklichung der Ziele gemäß Z 1, insbesondere eine Beschreibung der Aufgaben der an der Umsetzung der Strategie beteiligten Akteure;
3. 3. Maßnahmen zur Verbesserung der Resilienz kritischer Einrichtungen samt Beschreibung der Risikoanalyse gemäß § 10;
4. 4. das Verfahren zur Ermittlung kritischer Einrichtungen gemäß § 11;
5. 5. Unterstützungs- und Vorsorgemaßnahmen gemäß § 13 samt Maßnahmen zur Verbesserung der öffentlich-privaten Zusammenarbeit;
6. 6. eine Auflistung der betroffenen Behörden und insbesondere der an der Umsetzung der Strategie beteiligten Bundesministerien, Länder sowie Interessenvertretungen;
7. 7. einen Ablauf für die Koordinierung zwischen dem Bundesminister für Inneres und jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS2-RL als zuständige Behörden benannt oder eingerichtet wurden, zum Zweck des Informationsaustausches über Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle und Cybersicherheitsvorfälle sowie über nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle und für die Wahrnehmung der Aufsichtsaufgaben;
8. 8. bereits bestehende Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß den §§ 14 bis 17 durch kleine und mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, die gemäß § 11 als kritische Einrichtungen eingestuft wurden, sowie durch mit Verordnung der Bundesregierung festgelegte andere Kategorien von Unternehmen, wenn dies aufgrund unionsrechtlicher Vorgaben erforderlich ist.

(3) Die gemäß Abs. 1 beschlossene Strategie ist vom Bundesminister für Inneres innerhalb von drei Monaten ab Beschlussfassung an den Nationalrat zu übermitteln.

Zuletzt aktualisiert am

16.10.2025

Gesetzesnummer

20012981

Dokumentnummer

NOR40272150