T-Systems-Claim-Logo
Suchen
Hand stoppt Domino Steine vor dem Fallen

NIS - Governance und Risikomanagement

Anforderungen an die Sicherheitsmaßnahmen
und Herausforderungen bei der Umsetzung

08. September 2020

Governance und Risikomanagement gefordert

Gemäß der NIS-Verordnung Anhang 1 fordert der Gesetzgeber die Umsetzung von Sicherheitsmaßnamen aus den unterschiedlichsten Schwerpunkthemen. Das erste Kapitel umfasst die Bereiche Governance und Risikomanagement. Wir beleuchten für Sie die Anforderungen und zeigen potenzielle Herausforderungen bei der Umsetzung auf.

Begrifflichkeiten einfach erklärt

Bevor die Anforderungen nach NIS ins Detail beleuchtet werden, gilt es, die Begrifflichkeiten Governance und Risikomanagement näher zu erläutern.

  • Governance
    Der Begriff Governance wird, im Zusammenhang mit NIS, als Steuerung und Führung der Informationssicherheit in den NIS-relevanten Bereichen verstanden. Einerseits müssen die notwendigen Ressourcen dafür zur Verfügung gestellt werden und andererseits die benötigten Befugnisse (Stichwort: Management Commitment) vorhanden sein.
  • Risikomanagement
    Die Bewältigung der Risiken erfolgt durch das Risikomanagement, welches sich in vier Bereiche untergliedert: Analyse, Bewertung, Behandlung und Überwachung. Dieser Zyklus wird regelmäßig durchgeführt, um die Risiken angemessen behandeln zu können.


Anforderungen und Herausforderung nach NIS

Im Kontext des NIS-Gesetzes ergeben sich für die Bereiche Governance und Risikomanagement unterschiedliche Herausforderungen, die bereits durch den prominenten ISO 27001 Standard bekannt sind. Die NIS-Verordnung fordert in der Anlage 1 explizit die Umsetzung folgender Punkte:

Durchführung von Risikoanalysen

Für all jene Bereiche und Systeme, die vom NIS-Gesetz betroffen sind, ist eine Risikoanalyse und eine anschließende Risikobewertung durchzuführen. Im Fokus der Analyse steht die Verfügbarkeit der notwendigen Systeme, um den wesentlichen Dienst erbringen zu können. Es sei angemerkt, dass die Analyse und Bewertung lediglich zwei der vier Schritte des Risikomanagement sind.

Erstellung einer Sicherheitsrichtlinie

Eine Sicherheitsrichtlinie ist zu erstellen und periodisch zu aktualisieren. Dabei wird der erstrebte Sicherheitsanspruch einer Institution definiert, wobei der Fokus auf Verfügbarkeit und Informationssicherheit und den damit einhergehenden Sicherheitsanforderungen liegt.

Überprüfungsplan der Netz- und Informationssysteme

Die betroffenen Systeme Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste müssen regelmäßig überprüft werden. Die Durchführung der Überprüfungen ist zu planen und die Ergebnisse sind zu dokumentieren. Darüber hinaus sind diese auch im Bereich Risikomanagement zu berücksichtigen.

Ressourcenmanagement

Um die Verfügbarkeit der NIS-relevanten Systeme kurz-, mittel- und langfristig zu gewährleisten, müssen die betroffenen Einrichtungen die notwendigen Ressourcen bereitstellen. Hierfür sind die regelmäßige Auswertung und laufende Prognose der benötigen Ressourcen notwendig, um eine angemessene Planung durchführen zu können.

Informationssicherheitsmanagementsystemprüfung

Dieser Punkt der NIS-Verordnung impliziert, dass betroffene Einrichtungen über ein Informationssicherheitsmanagementsystem (ISMS) verfügen beziehungsweise für die NIS-relevanten Bereiche und Systeme ein ISMS implementiert haben. Darauf basierend ist die regelmäßige (i.d.R. jedes Jahr) Überprüfung des ISMS die daraus resultierende Konsequenz. Eine Zertifizierung des ISMS gemäß ISO 27001 ist vom Gesetzgeber nicht gefordert.

Umsetzung nach NIS nicht unterschätzen

Das erste Kapitel der geforderten Sicherheitsmaßnahmen der NIS-Verordnung erfordert oftmals grundlegende Änderungen in den betroffenen Einrichtungen. Für die entsprechenden Bereiche ist ein Risikomanagement und ISMS zu etablieren. Darüber hinaus müssen die notwendigen Ressourcen zur Verfügung gestellt, regelmäßige Überprüfungen durchgeführt und ein Fokus auf die Mitarbeiter*innen gelegt werden.

Um die geforderten Sicherheitsmaßnahmen erfüllen zu können, gilt es, Prozesse und Richtlinien in den Bereichen Governance und Risikomanagement zu definieren, zu etablieren und anschließend zu dokumentieren. Je nach Reifegrad der Einrichtung kann dies mit erheblichem Aufwand verbunden sein.

Ihr Kontakt

Gern stellen wir Ihnen unsere Expert*innen des NIS Competence Centers zur Seite und beantworten Ihre Fragen. Sprechen Sie uns an!

Foto von Laurent Egger

Laurent Egger

Security Sales Manager

+4367686424527(Mobil)
Kontakt
Besuchen Sie t-systems.com außerhalb von Austria? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.