Das NIS-Gesetz – Was es bringt, wer betroffen ist und was geprüft wird

by Annecilla Sampt

Seit Ende 2018 ist das NIS-Gesetz in Kraft, welches die europäische NIS-Richtlinie in Österreich umsetzt. Was das Gesetz genau regelt, wer davon betroffen ist und welche ersten Schritte gesetzt werden sollten, erklärt T-Systems Security Experte und Qualifizierte Stelle (QuaSte)-Prüfer Daniel Kissler im Interview mit Confare.

Confare CIO Summit 2020
Österreichs größtes IT-Management Forum
Persönlich treffen Sie das Team von T-Systems auf dem www.ciosummit.at, Österreichs größtem IT-Management Treffpunkt 2020. Hier treffen sich auch mehr als 450 IT-Manager, gesamt etwa 600 Branchenprofis der österreichischen IT-Branche unter dem Motto The Decade of the CIO – JETZT.ALLES.ANDERS

*Für CIOs und IT-Manager ist die Teilnahme mit keinen Kosten verbunden

Was sind die Zielsetzungen der Netz- und Informationssicherheitsrichtlinie (NIS-RL)? Wer ist betroffen?

Die europäische NIS-Richtlinie hat zum Ziel, ein gemeinsames hohes Schutzniveau bei kritischen Infrastrukturen zu gewährleisten, da die zugehörigen Dienste eine zentrale Rolle in der Gesellschaft in Europa spielen. Dies gilt einerseits für gesellschaftliche Tätigkeiten, wie bspw. die Gesundheitsversorgung oder die Versorgung mit Trinkwasser, und andererseits auch für wirtschaftliche Tätigkeiten, wie den Finanzmarkt. Um ein hohes Niveau der Netz- und Informationssystemsicherheit in der gesamten EU sicherstellen zu können, fordert die Richtlinie entsprechende Maßnahmen von den betroffenen Unternehmen sowie von der öffentlichen Hand. Die jeweiligen Unternehmen müssen durch externe Prüfer, sogenannte „Qualifizierte Stellen“, regelmäßige Überprüfungen ihrer Sicherheitsstandards und Maßnahmen durchführen lassen und entsprechende Meldeprozesse für sicherheitsrelevante Vorfälle bzw. Ausfälle etablieren.

Davon betroffen sind laut Richtlinie grundsätzlich zwei Arten von Unternehmen: Sogenannte „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“. Betreiber wesentlicher Dienste sind öffentliche oder private Einrichtungen, die in einer der folgenden Kategorien tätig sind: Energie, Verkehr, Bankwesen, Finanzmarkinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur. Darüber hinaus müssen bestimmte Kriterien bezüglich Größe, Lieferumfang, Kundenzahl, usw. erfüllt werden. Die zweite Gruppe sind Anbieter digitaler Dienste, sprich Unternehmen, die digitale Leistungen in den folgenden drei Kategorien bereitstellen: Online-Marktplatz, Online-Suchmaschine oder Cloud-Computing-Dienst. Auch hier gilt zu beachten, dass diese ebenfalls bestimmten Kriterien unterliegen, wie bspw. hinsichtlich der Nutzerzahlen.

Welche Anforderungen ergeben sich daraus für Unternehmen?

NIS GesetzDie genauen Anforderungen sind im Abschnitt 5 des österreichischen NIS-Gesetzes definiert. Im Wesentlichen lassen sich die Anforderungen in drei Maßnahmen zusammenfassen:

    1. Sicherheitsvorkehrungen

Die Unternehmen haben geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen, um die Bereitstellung der wesentlichen Dienste des Unternehmens adäquat zu schützen. Diese haben den Stand der Technik zu berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein.

 

    1. Qualifizierte Stellen

Die gesetzten technischen und organisatorischen Sicherheitsmaßnahmen der Unternehmen müssen durch sogenannte qualifizierte Stellen, zum Beispiel durch die T-Systems Austria, regelmäßig überprüft werden. Darauf basierend kann anschließend das Bundesministerium für Inneres (BMI) entsprechende Empfehlungen für die betroffenen Unternehmen aussprechen.

    1. Meldepflicht

Betreiber wesentlicher Dienste und Anbieter digitaler Dienste müssen Sicherheitsvorfälle, die einen von ihnen bereitgestellten wesentlichen Dienst betreffen, an die zuständige Stelle – in der Regel an das zuständige Computer Emergency Response Team (CERT) – melden. Die Meldung hat unverzüglich zu erfolgen.

Wo liegen Stolpersteine bei der Umsetzung? Worauf sollte man achten?

Die Umsetzung des NIS-Gesetzes ist für die betroffenen Unternehmen eine Herausforderung, die viele unterschätzen. Der Großteil der betroffenen Unternehmen verfügt bereits über ein hohes Sicherheitsniveau. Durch das NIS-Gesetz ergeben sich jedoch neue Herausforderungen hinsichtlich der technischen und organisatorischen Maßnahmen. So müssen etwa neue Prozesse und Richtlinien, wie beispielsweise für die Meldung von Sicherheitsvorfällen, definiert und etabliert werden. Auch müssen die notwendigen Dokumentationen für die Nachweiserbringung im Zuge der Überprüfung durch die qualifizierten Stellen vorhanden sein bzw. erst erstellt werden. Dadurch ergibt sich ein nicht unwesentlicher Mehraufwand, der aktuell (März 2020) nur geschätzt werden kann.

Zu beachten ist, dass die Auswahl der technischen und organisatorischen Maßnahmen den Stand der Technik erfüllt, risikobasiert erfolgt und eine vollständige Dokumentation vorliegt. Dies gilt selbstverständlich auch für den Meldeprozess und für die Prüfung durch qualifizierte Stellen. Hierbei kann beispielsweise ein Information Security Management System nach ISO 27000 und/oder ein Qualitätsmanagementsystem nach ISO 9000 helfen.

Welche Aufgabe erfüllt dabei die Prüfstelle?

Die sogenannten qualifizierten Stellen prüfen die betroffenen Unternehmen auf die Einhaltung der technischen und organisatorischen Maßnahmen. Im Detail werden hier die etablierten Maßnahmen analysiert und bewertet. Davon betroffen sind vorhandene Richtlinien, etablierte Prozesse, technische Maßnahmen und existierende Aufzeichnungen/Dokumentationen. Als Beispiele können hier entsprechende Prozesse für ein adäquates Risikomanagement genannt werden oder technische Sicherheitsmaßnahmen zur Erkennung von Sicherheitsvorfällen.

Wie verläuft eine solche Prüfung und was ist bei der Vorbereitung zu beachten?

Im Wesentlichen teilt sich die Prüfung in drei Teile. In der Vorbereitungsphase wird der entsprechende Umfang festgesetzt und organisatorische Details definiert. In der zweiten Phase findet die tatsächliche Prüfung des betroffenen Unternehmens statt. Zudem werden die relevanten Unterlagen gesichtet und analysiert. Darüber hinaus werden die entsprechenden Schlüsselpersonen des Unternehmens interviewt und gegebenenfalls werden Einzelheiten weiter erörtert. Nach der Analyse erfolgt die letzte Phase, in welcher der notwendige Bericht erstellt und anschließend an das BMI übermittelt wird.

Die Prüfung muss gemäß NIS-Gesetz alle drei Jahre durchgeführt werden, wobei es sinnvoll ist, ein jährliches Überwachungsaudit durchzuführen und nur alle drei Jahre eine tatsächliche vollumfängliche Prüfung durchzuführen.

Bereiten Sie sich rechtzeitig vor – machen Sie sich jetzt schon einen Termin mit unseren Experten aus!

Daniel Kissler
Teamlead Security Assessments, Audits & QuaSte
Tel: +43 676 8642 8623 (Mobil)
Mail: daniel.kissler@t-systems.com

Interessante Videos zu diversen Themen (auch IT-Security) finden Sie auf unserem YouTube-Kanal.

Sharing is caring!

0 comment

Für Sie ausgewählt

Leave a Comment