{"id":2690,"date":"2024-04-04T08:54:45","date_gmt":"2024-04-04T06:54:45","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=2690"},"modified":"2024-04-05T12:47:05","modified_gmt":"2024-04-05T10:47:05","slug":"key-facts-nis2-gesetzesentwurf","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/key-facts-nis2-gesetzesentwurf\/","title":{"rendered":"Key-Facts NIS2-Gesetzesentwurf"},"content":{"rendered":"\n<p>Bundesgesetz zur Gew\u00e4hrleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 \u2013 NISG 2024)<\/p>\n\n\n\n<p>Zusammenfassung des Gesetzesentwurfs vom 03.04.2024<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Einleitung<\/h2>\n\n\n\n<p>Seit dem 3. April 2024 liegt der erste Entwurf f\u00fcr das Bundesgesetz zur Gew\u00e4hrleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 \u2013 NISG 2024) vor<a href=\"#_ftn1\" id=\"_ftnref1\">[1]<\/a>. Dieser Gesetzesentwurf dient der Umsetzung der Richtlinie (EU) 2022\/2555 des Europ\u00e4ischen Parlaments und des Rates vom 14. Dezember 2022 \u00fcber Ma\u00dfnahmen f\u00fcr ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) in \u00f6sterreichisches Recht.<\/p>\n\n\n\n<p>Anhand dieses Bundesgesetzes werden Ma\u00dfnahmen festgelegt, mit denen ein hohes Cybersicherheitsniveau, insbesondere von wesentlichen und wichtigen Einrichtungen in den von dem Gesetz festgelegten Sektoren und den zugeh\u00f6rigen Teilsektoren erreicht werden soll.<\/p>\n\n\n\n<p>Die wesentlichsten Punkte der Gesetzgebung sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Umsetzung eines EU-weit einheitlichen Cybersicherheitsniveaus und einer damit verbundenen erh\u00f6hten Cyberresilienz.<\/li>\n\n\n\n<li>Erweiterung des Anwendungsbereichs auf gro\u00dfe Teile der Wirtschaft, inkl. kleine, mittlere und gro\u00dfe Unternehmen, die in definierten Branchen t\u00e4tig sind.<\/li>\n\n\n\n<li>Organisationen m\u00fcssen Risikomanagementma\u00dfnahmen umsetzen, um ein dem Risiko angemessenes Cybersicherheitsniveau zu gew\u00e4hrleisten, unter Ber\u00fccksichtigung des Stands der Technik, einschl\u00e4gigen Normen und Best-Practices, den Kosten und der Verh\u00e4ltnism\u00e4\u00dfigkeit.<\/li>\n\n\n\n<li>Betroffene Einrichtungen m\u00fcssen sich auch um die Cybersicherheit ihrer Lieferanten (Lieferkette) k\u00fcmmern und mit ihnen Risikomanagementma\u00dfnahmen im Bereich Cybersicherheit vertraglich festlegen.<\/li>\n\n\n\n<li>Dadurch m\u00fcssen auch nicht direkt von der Gesetzgebung betroffene Einrichtungen definierte Sicherheitsanforderungen erf\u00fcllen.<\/li>\n\n\n\n<li>Leitungsorgane unterliegen strengen Haftungsregelungen. Sie sind f\u00fcr die Umsetzung der gesetzlichen Vorgaben verantwortlich und m\u00fcssen sich unter anderem geeigneten Schulungen zum Thema Cybersicherheit unterziehen und auch den Mitarbeiter:innen entsprechende Schulungsma\u00dfnahmen anbieten.<\/li>\n<\/ul>\n\n\n\n<p>Anlage 1 des Gesetzes listet die Sektoren mit hoher Kritikalit\u00e4t, Anlage 2 die sonstigen kritischen Sektoren auf. In Anlage 3 sind 13 Risikomanagementma\u00dfnahmen-Bereiche angef\u00fchrt, f\u00fcr die die betroffenen Einrichtungen geeignete und verh\u00e4ltnism\u00e4\u00dfige technische, operative und organisatorische Risikomanagementma\u00dfnahmen umsetzen m\u00fcssen. Hinweis: Es handelt sich um einen Gesetzesentwurf in Begutachtung. Nach Ende der Begutachtung und etwaiger \u00c4nderungen muss das Gesetz vom Parlament verabschiedet werden.<\/p>\n\n\n\n<p><strong>Hinweis<\/strong>: Es handelt sich um einen Gesetzesentwurf in Begutachtung. Nach Ende der Begutachtung und etwaiger \u00c4nderungen muss das Gesetz vom Parlament verabschiedet werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Wesentliche und wichtige Einrichtungen<\/h2>\n\n\n\n<p>F\u00fcr eine Einrichtung (z.B. Unternehmen, Beh\u00f6rde, sonstige Organisation) gibt es folgende M\u00f6glichkeiten:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Das Unternehmen wird als wesentliche Einrichtung eingestuft und unterliegt somit strengeren Regulierungen<\/li>\n\n\n\n<li>Das Unternehmen wird als wichtige Einrichtung eingestuft.<\/li>\n\n\n\n<li>Das Unternehmen f\u00e4llt weder unter wichtige noch unter wesentliche Einrichtung und ist somit nicht direkt vom NIS2-Gesetz betroffen. Eine Betroffenheit kann sich indirekt \u00fcber die Verpflichtung von Kunden, die unter das NIS2-Gestz fallen, ihre Lieferketten zu \u00fcberpr\u00fcfen, ergeben.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Gr\u00f6\u00dfenklasse<\/strong><\/td><td><strong>Besch\u00e4ftigte<\/strong><\/td><td><strong>Jahresumsatz<\/strong><\/td><td><strong>Jahresbilanzsumme<\/strong><\/td><\/tr><tr><td><strong>Kleines Unternehmen<\/strong><\/td><td>&lt;50 und<\/td><td>&lt;= 10 Mio \u20ac oder<\/td><td>&lt;= 10 Mio \u20ac<\/td><\/tr><tr><td><strong>Mittleres Unternehmen<\/strong><\/td><td>&lt; 250 und<\/td><td>&lt;= 50 Mio \u20ac oder<\/td><td>&lt;= 43 Mio \u20ac<\/td><\/tr><tr><td><strong>Gro\u00dfes Unternehmen<\/strong><\/td><td>&gt;= 250 oder<\/td><td>&gt; 50 Mio \u20ac und<\/td><td>&gt; 43 Mio \u20ac<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Abh\u00e4ngig von Unternehmensgr\u00f6\u00dfe, Branche (siehe Anlage 1 und Anlage 2) und T\u00e4tigkeitsbereich ergibt sich die Einstufung als wesentliche oder wichtige Einrichtung.<\/p>\n\n\n\n<p>Wesentliche Einrichtungen sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Einrichtungen der Branchen gem\u00e4\u00df Anlage 1, die gro\u00dfe Unternehmen sind<\/li>\n\n\n\n<li>Einrichtungen, die mittlere Unternehmen sind und Anbieter \u00f6ffentlicher Kommunikationsnetze oder Kommunikationsdienste sind<\/li>\n\n\n\n<li>Unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe:<ul><li>qualifizierte Vertrauensdiensteanbieter<\/li><\/ul><ul><li>Namenregister der Dom\u00e4ne oberster Stufe (TLD Namenregister)<\/li><\/ul><ul><li>Dom\u00e4nennamensystem-Diensteanbieter<\/li><\/ul><ul><li>Einrichtungen im Sektor der \u00f6ffentlichen Verwaltung auf Bundesebene<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>Einrichtungen, die als kritische Einrichtungen im Sinne der Richtlinie (EU) 2022\/2557) ermittelt wurden<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Wichtige Einrichtungen sind (sofern sie nicht bereits wesentliche Einrichtungen sind):<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Einrichtungen der in Anlage 1 und Anlage 2 genannten Branchen, die ein gro\u00dfes oder mittleres Unternehmen sind<\/li>\n\n\n\n<li>Einrichtungen der \u00f6ffentlichen Verwaltung auf Landesebene<\/li>\n\n\n\n<li>Unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe<ul><li>Anbieter \u00f6ffentlicher Kommunikationsnetze oder \u00f6ffentlicher Kommunikationsdienste<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>Vertrauensdiensteanbieter<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Die nationale Cybersicherheitsbeh\u00f6rde kann Einrichtungen der Branchen aus Anlage 1 oder Anlage 2 unabh\u00e4ngig von deren Gr\u00f6\u00dfe auch per Bescheid als wesentliche oder wichtige Einrichtung einstufen. Dies hat z.B. dann zu erfolgen, wenn die Einrichtung einen besonders kritischen Dienst erbringt, dessen St\u00f6rung zu einem wesentlichen Systemrisiko f\u00fchren k\u00f6nnte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Cybersicherheitsbeh\u00f6rde<\/h2>\n\n\n\n<p>Als Cybersicherheitsbeh\u00f6rde fungiert das Bundesministerium f\u00fcr Inneres. Diese Beh\u00f6rde hat unter anderem folgende Aufgaben:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Koordination der Erstellung der \u00d6sterreichischen Strategie f\u00fcr Cybersicherheit<\/li>\n\n\n\n<li>Leitung der Koordinierungsstrukturen (CSS, IKDOK und OpKoord)<\/li>\n\n\n\n<li>Regelm\u00e4\u00dfige Erstellung und Weiterleitung von Lagebildern und zus\u00e4tzlich relevanter Informationen<\/li>\n\n\n\n<li>Erstellung und Weitergabe von zur Gew\u00e4hrleistung der Sicherheit von Netz- und Informationssystemen relevanten Informationen zur Vorbeugung von Cybersicherheitsvorf\u00e4llen<\/li>\n\n\n\n<li>Das Management von Cybersicherheitsvorf\u00e4llen gro\u00dfen Ausma\u00dfes sowie Aus\u00fcbung der Funktion des Nationalen Koordinierungszentrums f\u00fcr Cybersicherheit<\/li>\n\n\n\n<li>Konsultation und Zusammenarbeit mit den zust\u00e4ndigen Beh\u00f6rden anderer Mitgliedstaaten der Europ\u00e4ischen Union<\/li>\n\n\n\n<li>Betrieb der zentralen Anlaufstelle und des GovCERT<\/li>\n\n\n\n<li>Erm\u00e4chtigung sowie Beaufsichtigung von CSIRTs<\/li>\n\n\n\n<li>Zulassung sowie Kontrolle der Einhaltung der Erfordernisse unabh\u00e4ngiger Stellen und unabh\u00e4ngiger Pr\u00fcfer<\/li>\n\n\n\n<li>Aus\u00fcbung der Aufsichts- und Durchsetzungsma\u00dfnahmen gegen\u00fcber wesentlichen und wichtigen Einrichtungen<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Unabh\u00e4ngige Stellen und unabh\u00e4ngige Pr\u00fcfer<\/h2>\n\n\n\n<p>Von Seiten der Cybersicherheitsbeh\u00f6rde k\u00f6nnen sog. unabh\u00e4ngige Stellen (juristische Person oder eingetragene Personengesellschaft mit Niederlassung in \u00d6sterreich) definiert werden. Diese sind zur Pr\u00fcfung der Umsetzung der Risikomanagementma\u00dfnahmen wesentlicher und wichtiger Einrichtungen erm\u00e4chtigt. Diese Stelle muss zumindest einen von der Cybersicherheitsbeh\u00f6rde zugelassenen unabh\u00e4ngigen Pr\u00fcfer einsetzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Governance<\/h2>\n\n\n\n<p>Die Leitungsorgane (bspw. Gesch\u00e4ftsf\u00fchrung bei GmbHs, Vorst\u00e4nde bei Aktiengesellschaften) wesentlicher und wichtiger Einrichtungen haben die Einhaltung die Risikomanagementma\u00dfnahmen sicherzustellen und zu beaufsichtigen.<\/p>\n\n\n\n<p><strong>Leitungsorgane, die ihre Pflichten nach Abs. 1 verletzen, haften der Einrichtung f\u00fcr den schuldhaft verursachten Schaden. Sie m\u00fcssen an f\u00fcr diese Zielgruppe spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.<\/strong> Die Einrichtungen haben den Mitarbeitern regelm\u00e4\u00dfig entsprechende Schulungen anzubieten, damit diese ausreichende Kenntnisse und F\u00e4higkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben k\u00f6nnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Risikomanagementma\u00dfnahmen<\/h2>\n\n\n\n<p>Wesentliche und wichtige Einrichtungen haben <strong>geeignete und verh\u00e4ltnism\u00e4\u00dfige technische, operative und organisatorische Risikomanagementma\u00dfnahmen<\/strong> in den Bereichen umzusetzen, die in Anlage 3 aufgelistet sind. Ziel dieser Ma\u00dfnahmen ist es die Risiken f\u00fcr die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Cybersicherheitsvorf\u00e4llen auf die Empf\u00e4nger ihrer Dienste und auf andere Dienste zu verhindern oder m\u00f6glichst gering zu halten. Bei der Bewertung der Verh\u00e4ltnism\u00e4\u00dfigkeit der Risikomanagementma\u00dfnahmen sind<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>das Ausma\u00df der Risikoexposition der Einrichtung sowie ihrer Dienste,<\/li>\n\n\n\n<li>die Gr\u00f6\u00dfe der Einrichtung,<\/li>\n\n\n\n<li>die Wahrscheinlichkeit des Eintretens von Cybersicherheitsvorf\u00e4llen und deren Schwere, einschlie\u00dflich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen,<\/li>\n<\/ul>\n\n\n\n<p>&nbsp;geb\u00fchrend zu ber\u00fccksichtigen. Per Verordnung legt der Bundesminister f\u00fcr Inneres technische, operative und organisatorische Anforderungen f\u00fcr die umzusetzenden Risikomanagementma\u00dfnahmen fest. Diese Anforderungen k\u00f6nnen auch sektorspezifisch festlegt werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Nachweis der Wirksamkeit von Ma\u00dfnahmen<\/h2>\n\n\n\n<p>Wesentliche und wichtige Einrichtungen haben <strong>innerhalb von sechs Monaten nach Aufforderung durch die Cybersicherheitsbeh\u00f6rde<\/strong> dieser eine Aufstellung umgesetzter Risikomanagementma\u00dfnahmen zu \u00fcbermitteln (Selbstdeklaration).<\/p>\n\n\n\n<p>Wesentliche Einrichtungen haben gegen\u00fcber der Cybersicherheitsbeh\u00f6rde innerhalb von drei Jahren nach Aufforderung zur Selbstdeklaration, fr\u00fchestens jedoch sechs Monate vor Ablauf dieser Frist, die Umsetzung der Risikomanagementma\u00dfnamen mittels einer Pr\u00fcfung durch eine unabh\u00e4ngige Stelle nachzuweisen. F\u00fcr bereits im Scope des NIS1 Gesetzes liegende wesentliche Einrichtungen beginnt die dreij\u00e4hrige Frist bereits mit dem Zeitpunkt des letzten Nachweises.<\/p>\n\n\n\n<p>Die Kosten von Pr\u00fcfungen durch unabh\u00e4ngige Stellen sind von der gepr\u00fcften Einrichtung zu tragen. Wesentliche und wichtige Einrichtungen haben der Cybersicherheitsbeh\u00f6rde geplante Pr\u00fcfungen sp\u00e4testens ein Monat vor Beginn derer Durchf\u00fchrung durch \u00dcbermittlung eines Pr\u00fcfplans bekannt zu geben.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Berichtspflichten<\/h2>\n\n\n\n<p>Dem zust\u00e4ndigen CSIRT (Cybersecurity Incident Response Team) sind erhebliche Cybersicherheitsvorfall unverz\u00fcglich zu melden. Das CSIRT leitet die Meldung unverz\u00fcglich an die Cybersicherheitsbeh\u00f6rde weiter.<\/p>\n\n\n\n<p>Zu melden sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>unverz\u00fcglich, in jedem Fall aber innerhalb von <strong>24 Stunden<\/strong> nach Kenntnisnahme des erheblichen Cybersicherheitsvorfalls, <strong>eine Fr\u00fchwarnung<\/strong>, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Cybersicherheitsvorfall auf rechtswidrige und schuldhafte Handlungen zur\u00fcckzuf\u00fchren ist oder grenz\u00fcberschreitende Auswirkungen haben k\u00f6nnte;<\/li>\n\n\n\n<li>unverz\u00fcglich, in jedem Fall aber innerhalb von <strong>72 Stunden<\/strong> nach Kenntnisnahme des erheblichen Cybersicherheitsvorfalls, eine <strong>Meldung \u00fcber den Cybersicherheitsvorfall<\/strong>, in der gegebenenfalls die Informationen aktualisiert werden und eine erste Bewertung des erheblichen Cybersicherheitsvorfalls, einschlie\u00dflich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;<\/li>\n\n\n\n<li>auf Ersuchen eines CSIRT oder gegebenenfalls der Cybersicherheitsbeh\u00f6rde einen Zwischenbericht \u00fcber relevante Statusaktualisierungen;<\/li>\n\n\n\n<li>sp\u00e4testens einen Monat nach \u00dcbermittlung der Meldung des Cybersicherheitsvorfalls einen Abschlussbericht<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Aufsichtsma\u00dfnahmen und Durchsetzungsma\u00dfnahmen<\/h2>\n\n\n\n<p>Die Cybersicherheitsbeh\u00f6rde ist unter anderem dazu befugt bei den betroffenen Einrichtungen vor Ort Kontrollen und Sicherheitsscans durchzuf\u00fchren. Weiters kann diese Informationen f\u00fcr die Bewertung umgesetzter Risikomanagementma\u00dfnahmen und den Zugang zu Daten, Dokumenten und sonstigen Informationen anfordern, die zur Erf\u00fcllung der Aufsichtsaufgaben erforderlich sind. Nicht zuletzt kann diese auch Ad-hoc-Pr\u00fcfung aufgrund eines erheblichen Cybersicherheitsvorfalls, eines Versto\u00dfes gegen dieses Bundesgesetz oder der \u00dcberpr\u00fcfung einer \u00fcbermittelten Selbstdeklaration durchf\u00fchren. Die Durchsetzung dieser Befugnisse kann per Bescheid unter Angabe von Fristen f\u00fcr die nachweisliche Ma\u00dfnahmenumsetzung angeordnet werden. Kommen Einrichtungen dem Bescheid nicht nach, ist die Cybersicherheitsbeh\u00f6rde dazu befugt die Zertifizierung oder Genehmigung f\u00fcr die von der Einrichtung erbrachten Dienste oder T\u00e4tigkeiten vor\u00fcbergehend auszusetzen. Au\u00dferdem kann Leitungsorganen vor\u00fcbergehend die Wahrnehmung von Leitungsaufgaben in dieser wesentlichen Einrichtung untersagt werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Strafen und Haftung<\/h2>\n\n\n\n<p>Das Leitungsorgan haften schadenersatzrechtlich, wenn dem Unternehmen durch die Nichteinhaltung ein schuldhaft verursachter Schaden entstanden ist. Das Leitungsorgan ist dazu verpflichtet, die notwendigen F\u00e4higkeiten im Bereich Cybersicherheit durch Schulungsma\u00dfnahmen anzueignen. Bei Nichterf\u00fcllung des NIS2-Gesetzes drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen (je nachdem, welcher Betrag h\u00f6her ist).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Inkrafttreten &amp; Registrierpflicht<\/h2>\n\n\n\n<p>Im Gesetz ist kein Termin f\u00fcr das Inkrafttreten genannt. Es wird angenommen, dass das Gesetz mit 18. Oktober 2024 in Kraft tritt. Dies ist der auf die Umsetzungsfrist der NIS2 EU-Richtlinie folgende Tag. Im Gegensatz zum bisher bestehenden \u00f6sterreichischen NIS1-Gesetz, in dem betroffene Organisationen per Bescheid informiert wurden, ist im NIS2-Entwurf eine Registrierung durch die betroffenen Organisationen innerhalb von 3 Monate ab Inkrafttreten selbst durchzuf\u00fchren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Certitude Consulting ist Ihr kompetenter Partner<\/h2>\n\n\n\n<p>Sie ben\u00f6tigen Unterst\u00fctzung, um die Anforderungen des NIS2 Gesetzes ad\u00e4quat und fristgerecht zu erf\u00fcllen? Certitude Consulting ist bereits bisher intensiv im Bereich der \u00f6sterreichischen kritischen Infrastruktur besch\u00e4ftigt und auch Qualifizierte Stelle (QuaSte bzw. NIS-Pr\u00fcfer) im Sinne des NIS1-Gesetzes.<\/p>\n\n\n\n<p>Wir f\u00fchren gerne ein unverbindliches Gespr\u00e4ch mit Ihnen!<br>Kontaktieren Sie uns unter <a href=\"mailto:office@certitude.consulting\">office@certitude.consulting<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Anh\u00e4nge<\/h2>\n\n\n\n<p class=\"has-text-align-left\">Anhang 1: <a href=\"https:\/\/www.ris.bka.gv.at\/Dokumente\/Begut\/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9\/Anlagen_0001_ACDCC11C_8931_4A44_A0F9_55BD60E0D1F5.pdf\">https:\/\/www.ris.bka.gv.at\/Dokumente\/Begut\/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9\/Anlagen_0001_ACDCC11C_8931_4A44_A0F9_55BD60E0D1F5.pdf<\/a><\/p>\n\n\n\n<p class=\"has-text-align-left\">Anhang 2: <a href=\"https:\/\/www.ris.bka.gv.at\/Dokumente\/Begut\/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9\/Anlagen_0002_492E2878_1870_4D7C_BF40_D1635578DA45.pdf\">https:\/\/www.ris.bka.gv.at\/Dokumente\/Begut\/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9\/Anlagen_0002_492E2878_1870_4D7C_BF40_D1635578DA45.pdf<\/a><\/p>\n\n\n\n<p class=\"has-text-align-left\">Anhang 3: <a href=\"https:\/\/www.ris.bka.gv.at\/Dokumente\/Begut\/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9\/Anlagen_0003_D56A07AA_EF31_4C27_9E37_AA634AB3BC6D.pdf\">https:\/\/www.ris.bka.gv.at\/Dokumente\/Begut\/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9\/Anlagen_0003_D56A07AA_EF31_4C27_9E37_AA634AB3BC6D.pdf<\/a><\/p>\n\n\n\n<p>Autoren: Markus Hefler, Marc Nimmerrichter<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><a href=\"#_ftnref1\" id=\"_ftn1\">[1]<\/a> <a href=\"https:\/\/www.ris.bka.gv.at\/Dokument.wxe?ResultFunctionToken=d89675d0-5bd0-491e-890e-abdb8483a42f&amp;Position=1&amp;SkipToDocumentPage=True&amp;Abfrage=Begut&amp;Einbringer=&amp;Titel=&amp;DatumBegutachtungsfrist=03.04.2024&amp;ImRisSeitVonDatum=&amp;ImRisSeitBisDatum=&amp;ImRisSeit=Undefined&amp;ImRisSeitChangeSet=Undefined&amp;ImRisSeitForRemotion=Undefined&amp;ResultPageSize=100&amp;Suchworte=&amp;Dokumentnummer=BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9\">https:\/\/www.ris.bka.gv.at\/Dokument.wxe?ResultFunctionToken=d89675d0-5bd0-491e-890e-abdb8483a42f&amp;Position=1&amp;SkipToDocumentPage=True&amp;Abfrage=Begut&amp;Einbringer=&amp;Titel=&amp;DatumBegutachtungsfrist=03.04.2024&amp;ImRisSeitVonDatum=&amp;ImRisSeitBisDatum=&amp;ImRisSeit=Undefined&amp;ImRisSeitChangeSet=Undefined&amp;ImRisSeitForRemotion=Undefined&amp;ResultPageSize=100&amp;Suchworte=&amp;Dokumentnummer=BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bundesgesetz zur Gew\u00e4hrleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 \u2013 NISG 2024) Zusammenfassung des Gesetzesentwurfs vom 03.04.2024 Einleitung Seit dem 3. April 2024 liegt der erste Entwurf f\u00fcr das Bundesgesetz zur Gew\u00e4hrleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 \u2013 NISG 2024) vor[1]. Dieser Gesetzesentwurf dient [&hellip;]<\/p>\n","protected":false},"author":23,"featured_media":2435,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34,126],"tags":[],"class_list":["post-2690","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-expert","category-presse"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2690","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=2690"}],"version-history":[{"count":9,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2690\/revisions"}],"predecessor-version":[{"id":2705,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2690\/revisions\/2705"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/2435"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=2690"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=2690"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=2690"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}