Kurztitel

Netz- und Informationssystemsicherheitsgesetz 2026

Kundmachungsorgan

Bundesgesetzblatt Teil eins, Nr. 94 aus 2025,

Typ

BG

Paragraph/Artikel/Anlage

Paragraph 33,

Inkrafttretensdatum

01.10.2026

Abkürzung

NISG 2026

Index

41/01 Sicherheitsrecht

Text

Nachweis der Wirksamkeit von Risikomanagementmaßnahmen

Paragraph 33,

Absatz einsWesentliche und wichtige Einrichtungen haben innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht gemäß § 29 Abs. 2 der Cybersicherheitsbehörde Informationen hinsichtlich umgesetzter Risikomanagementmaßnahmen gemäß § 32, insbesondere betreffend die genutzten Netz- und Informationssysteme und die Sicherheit der Lieferketten sowie die Ergebnisse der durchgeführten Risikoanalyse, nach den Vorgaben der Cybersicherheitsbehörde in strukturierter Form zu übermitteln (Selbstdeklaration).Wesentliche und wichtige Einrichtungen haben innerhalb von zwölf Monaten nach Eintritt der Registrierungspflicht gemäß Paragraph 29, Absatz 2, der Cybersicherheitsbehörde Informationen hinsichtlich umgesetzter Risikomanagementmaßnahmen gemäß Paragraph 32,, insbesondere betreffend die genutzten Netz- und Informationssysteme und die Sicherheit der Lieferketten sowie die Ergebnisse der durchgeführten Risikoanalyse, nach den Vorgaben der Cybersicherheitsbehörde in strukturierter Form zu übermitteln (Selbstdeklaration).
Absatz 2Wesentliche und wichtige Einrichtungen haben innerhalb von zwei Jahren nach Aufforderung durch die Cybersicherheitsbehörde die technische, operative und organisatorische Umsetzung der Risikomanagementmaßnamen gemäß § 32 durch eine von einer unabhängigen Stelle nach den Vorgaben der Cybersicherheitsbehörde sowie auf Basis der von der jeweiligen Einrichtung durchgeführten Risikoanalyse oder einer aufgrund sonstiger Risikoabwägungen durchgeführten Prüfung, die nicht länger als zwei Jahre zurückliegt, nachzuweisen, wobei der Nachweis der operativen sowie organisatorischen Umsetzung auch durch einschlägige gültige Zertifikate möglich ist. Davon abweichend haben wesentliche Einrichtungen die operative sowie organisatorische Umsetzung der Risikomanagementmaßnahmen innerhalb von zwei Monaten nach Aufforderung durch die Cybersicherheitsbehörde nachzuweisen. Für Aufforderungen in Bezug auf wichtige Einrichtungen gilt § 38 Abs. 2 sinngemäß. Die erstmalige Aufforderung kann frühestens nach Ablauf von zwei Jahren ab Inkrafttreten dieses Bundesgesetzes erfolgen.Wesentliche und wichtige Einrichtungen haben innerhalb von zwei Jahren nach Aufforderung durch die Cybersicherheitsbehörde die technische, operative und organisatorische Umsetzung der Risikomanagementmaßnamen gemäß Paragraph 32, durch eine von einer unabhängigen Stelle nach den Vorgaben der Cybersicherheitsbehörde sowie auf Basis der von der jeweiligen Einrichtung durchgeführten Risikoanalyse oder einer aufgrund sonstiger Risikoabwägungen durchgeführten Prüfung, die nicht länger als zwei Jahre zurückliegt, nachzuweisen, wobei der Nachweis der operativen sowie organisatorischen Umsetzung auch durch einschlägige gültige Zertifikate möglich ist. Davon abweichend haben wesentliche Einrichtungen die operative sowie organisatorische Umsetzung der Risikomanagementmaßnahmen innerhalb von zwei Monaten nach Aufforderung durch die Cybersicherheitsbehörde nachzuweisen. Für Aufforderungen in Bezug auf wichtige Einrichtungen gilt Paragraph 38, Absatz 2, sinngemäß. Die erstmalige Aufforderung kann frühestens nach Ablauf von zwei Jahren ab Inkrafttreten dieses Bundesgesetzes erfolgen.
Absatz 3Zum Nachweis der Umsetzung der Risikomanagementmaßnahmen durch eine von einer unabhängigen Stelle durchgeführte Prüfung gemäß Abs. 2 hat die jeweilige Einrichtung der Cybersicherheitsbehörde einen von ihren Leitungsorganen sowie den eingesetzten unabhängigen Prüfern unterzeichneten Prüfbericht über die Umsetzung der Risikomanagementmaßnahmen einschließlich festgestellter Mängel und einen Maßnahmenplan zur Beseitigung der Mängel nach den Vorgaben der Cybersicherheitsbehörde in strukturierter Form zu übermitteln.Zum Nachweis der Umsetzung der Risikomanagementmaßnahmen durch eine von einer unabhängigen Stelle durchgeführte Prüfung gemäß Absatz 2, hat die jeweilige Einrichtung der Cybersicherheitsbehörde einen von ihren Leitungsorganen sowie den eingesetzten unabhängigen Prüfern unterzeichneten Prüfbericht über die Umsetzung der Risikomanagementmaßnahmen einschließlich festgestellter Mängel und einen Maßnahmenplan zur Beseitigung der Mängel nach den Vorgaben der Cybersicherheitsbehörde in strukturierter Form zu übermitteln.
Absatz 4Die Kosten von Prüfungen durch unabhängige Stellen sind von der geprüften Einrichtung zu tragen, es sei denn, die Cybersicherheitsbehörde trifft in hinreichend begründeten Fällen eine anderslautende Entscheidung.
Absatz 5Wesentliche und wichtige Einrichtungen haben der Cybersicherheitsbehörde geplante Prüfungen durch unabhängige Stellen spätestens einen Monat im Voraus nach den Vorgaben der Cybersicherheitsbehörde durch Übermittlung eines Prüfplans, aus dem die Einzelheiten der beabsichtigten Prüfung hervorgehen, bekannt zu geben.

Schlagworte

Netzsystem

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273894