1. die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 14 mit Ausnahme von Art. 11 Abs. 11 der Verordnung (EU) 2022/2554 nicht erfüllt;

2. die Anforderungen an das vereinfachte IKT-Risikomanagement gemäß Art. 16 Abs. 1 und 2 der Verordnung (EU) 2022/2554 nicht erfüllt;

3. IKT-bezogene Vorfälle und Cyberbedrohungen nicht gemäß Art. 17 und Art. 18 Abs. 1 und 2 der Verordnung (EU) 2022/2554 behandelt und klassifiziert oder nicht gemäß Art. 19 Abs. 1 Unterabs. 1, 4 und 5 sowie Abs. 3 bis 5 der Verordnung (EU) 2022/2554 meldet;

4. die Testung der digitalen operationalen Resilienz nicht gemäß Art. 24 und 25 der Verordnung (EU) 2022/2554 durchführt;

5. als gemäß Art. 26 Abs. 8 Unterabs. 3 ermitteltes Unternehmen keine erweiterten Tests gemäß Art. 26 Abs. 1 bis 6 und Abs. 8 Unterabs. 1 sowie Art. 27 der Verordnung (EU) 2022/2554 durchführt;

6. das Drittparteienrisiko nicht gemäß Art. 28 Abs. 1 bis 8 und Art. 29 der Verordnung (EU) 2022/2554 managt oder vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen nicht gemäß Art. 30 Abs. 1 bis 4 der Verordnung (EU) 2022/2554 trifft;

7. die Dienstleistungen eines IKT-Drittdienstleisters mit Sitz in einem Drittland in Anspruch nimmt, der nicht den Anforderungen von Art. 31 Abs. 12 der Verordnung (EU) 2022/2554 entspricht;

8. entgegen einer Anordnung der FMA gemäß Art. 42 Abs. 6 Satz 1 der Verordnung (EU) 2022/2554 die Nutzung oder den Einsatz einer entsprechenden Dienstleistung nicht vorübergehend aussetzt oder entgegen einer Anordnung der FMA gemäß Art. 42 Abs. 6 Satz 2 der Verordnung (EU) 2022/2554 eine entsprechende vertragliche Vereinbarung nicht kündigt;

9. beim Austausch von Informationen gemäß Art. 45 Abs. 1 der Verordnung (EU) 2022/2554 die Pflichten gemäß Art. 45 der Verordnung (EU) 2022/2554 verletzt,

begeht eine Verwaltungsübertretung und ist von der FMA mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen.