Begriffsbestimmungen

§ 3.

Im Sinne dieses Bundesgesetzes bedeutet

1. 1. „kritische Einrichtung“ eine öffentliche oder private Einrichtung, die in Anwendung des § 11 vom Bundesminister für Inneres als solche eingestuft wurde;
2. 2. „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, einen solchen abzuwehren, darauf zu reagieren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall zu bewältigen oder sich von einem solchen Vorfall zu erholen;
3. 3. „Sicherheitsvorfall“ ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit;
4. 4. „Beinahe-Sicherheitsvorfall“ ein Ereignis mit dem Potenzial, einen Sicherheitsvorfall hervorzurufen, dessen Eintritt aber noch rechtzeitig verhindert werden konnte oder der aus sonstigen Gründen nicht eingetreten ist;
5. 5. „kritische Infrastruktur“ Objekte, Anlagen, Ausrüstungen, Netze, Systeme oder Teile eines Objekts, einer Anlage, einer Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind;
6. 6. „wesentlicher Dienst“ ein Dienst, der in der Delegierten Verordnung (EU) 2023/2450 zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, ABl. Nr. L 2023/2450 vom 30.10.2023, festgelegt wurde; darüber hinaus allfällige weitere aufgrund einer Verordnung des Bundesministers für Inneres festgelegte Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder die Erhaltung der Umwelt von erheblicher Bedeutung sind und von einer Einrichtung der im Anhang der RKERL angeführten Kategorien in den gelisteten Sektoren und Teilsektoren erbracht werden;
7. 7. „Risiko“ das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;
8. 8. „Risikoanalyse“ der gesamte Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle Bedrohungen, Schwachstellen oder Gefahren für kritische Einrichtungen, die zu einem Sicherheitsvorfall führen können, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes samt Eintrittswahrscheinlichkeit bewertet werden; im Zuge dieser Risikoanalyse werden sämtliche aus natürlichen Ursachen herrührenden oder vom Menschen verursachten Risiken, die zu einem Sicherheitsvorfall führen können, berücksichtigt;
9. 9. „Mitgliedstaat“ jeder Staat, der Vertragspartei des Vertrags über die Europäische Union in der Fassung BGBl. III Nr. 132/2009 ist;
10. 10. „Drittstaat“ jeder Staat, der nicht Vertragspartei des Vertrags über die Europäische Union in der Fassung BGBl. III Nr. 132/2009 ist;
11. 11. „Einrichtung“ eine natürliche oder juristische Person, eine eingetragene Personengesellschaft oder eine Stelle der öffentlichen Verwaltung;
12. 12. „Resilienzplan“ ein Dokument, in dem die geeigneten und verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Gewährleistung der Resilienz nachvollziehbar dargelegt werden;
13. 13. „Audit“ eine systematische und unabhängige Überprüfung der Einhaltung der Verpflichtungen gemäß den §§ 14 und 15, insbesondere durch Bewertungsbesuche, samt Dokumentation der Ergebnisse in einem Prüfbericht durch Resilienzauditoren (§ 21).

Zuletzt aktualisiert am

16.10.2025

Gesetzesnummer

20012981

Dokumentnummer

NOR40272121