IM-Hero

Das NIS-Gesetz einfach erklärt

Kritische Infrastrukturen sind durch das NIS-Gesetz zur Erhöhung der Sicherheit verpflichtet.
Doch was bedeutet dies im Detail?

05. April 2020

Hoher Sicherheitsstandard gefordert

Die Digitalisierung schreitet immer weiter voran und macht auch vor kritischen Infrastrukturen nicht halt. Aus diesem Grund hat die Europäische Union die sogenannte NIS-Richtlinie erlassen. Die NIS-Richtlinie verlangt einen hohen Sicherheitsstandard der Netz- und Informationssysteme innerhalb der Europäischen Union und wurde in Österreich durch das NIS-Gesetz und die NIS-Verordnung umgesetzt. In diesem Blogeintrag erklärt T-Systems Security Experte und Qualifizierte Stelle (QuaSte)-Prüfer Arno Lippmann die Besonderheiten sowie möglichen Herausforderungen und Chancen des Gesetzes.

Welche Unternehmen sind betroffen?

In Österreich sind all jene Unternehmen von der NIS-Richtlinie betroffen, die als sogenannte Betreiber wesentlicher Dienste in den folgenden Sektoren identifiziert worden sind: Energie, Verkehr, Bankwesen, Finanzmarkt-infrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastrukturen. Darüber hinaus sind auch sogenannte Anbieter digitaler Dienste betroffen. Das sind Unternehmen, die digitale Leistungen in den folgenden drei Kategorien bereitstellen: Online-Marktplatz, Online-Suchmaschine oder Cloud-Computing-Dienste. Die Feststellung erfolgt durch das Bundesministerium für Inneres (BMI) bzw. dem Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT).

Was müssen die betroffenen Unternehmen tun?

Im Wesentlichen besteht das NIS-Gesetz aus drei Schwerpunkten:

Technische und organisatorische Maßnahmen

Das NIS-Gesetz fordert die Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen, die ein hohes Sicherheitsniveau gewährleisten. Beispielsweise müssen definierte Prozesse etabliert sein, um im Falle von Sicherheitsvorfällen adäquat reagieren und handeln zu können (siehe NISV: Anhang 1 Kap. 9). Dementsprechend müssen die bereits umgesetzten Sicherheitsmaßnahmen und dazugehörigen Dokumentationen geprüft und gegebenenfalls erweitert bzw. durch zusätzliche Maßnahmen ergänzt werden. Die Maßnahmen orientieren sich sowohl am aktuellen Stand der Technik als auch an der Verhältnismäßigkeit und Wirtschaftlichkeit.

Externe Prüfung durch qualifizierte Stellen

Die bereits angesprochenen Sicherheitsmaßnahmen müssen alle drei Jahre durch eine sogenannte qualifizierte Stelle analysiert und geprüft werden, umso gegenüber dem BVT die tatsächliche Umsetzung nachweisen zu können. Die Prüfung umfasst jene Systeme, Bereiche und Prozesse, die unter das NIS-Gesetz fallen und beinhaltet folgende elf Themen: Governance und Risikomanagement, Umgang mit Dienstleistern, Lieferanten und Dritten, Sicherheitsarchitektur, Systemadministration, Identitäts- und Zugriffsmanagement, Systemwartung und Betrieb, Physische Sicherheit, Erkennung von Vorfällen, Bewältigung von Vorfällen, Betriebskontinuität und Krisenmanagement (für weitere Details siehe NISV: Anhang 1).

Unverzügliche Meldepflicht von Sicherheitsvorfällen

Die neue Gesetzeslage legt besonderes Augenmerk auf die Meldung von Sicherheitsvorfällen der betroffenen Unternehmen. So müssen Sicherheitsvorfälle unverzüglich dem jeweiligen Computer Emergency Response Team (CERT) gemeldet werden, welche die Meldung an das BMI weiterleitet. Daher müssen bereits im Vorfeld unternehmensintern Prozesse und passende Reporting-Tools implementiert werden, um im Ernstfall schnell und gesetzeskonform reagieren zu können.

Das NIS-Gesetz erfolgreich umsetzen

Das neue NIS-Gesetz stellt die Betreiber wesentlicher Dienste und Anbieter digitaler Dienste vor Herausforderungen, die es zu meistern gilt. Einerseits müssen die bereits verwendeten Sicherheitsmaßnahmen intern geprüft werden, ob diese den Anforderungen der NIS-Verordnung gerecht werden, und andererseits müssen zusätzliche Maßnahmen evaluiert und etabliert werden. Zusätzlich, müssen die etablierten technischen und organisatorischen Maßnahmen alle drei Jahre durch eine qualifizierte Stelle geprüft werden, um tatsächlich Gesetzeskonformität zu erlangen. Darüber hinaus müssen Sicherheitsvorfälle unverzüglich an das jeweilige CERT gemeldet werden.

Ihr Kontakt

Bereiten Sie sich rechtzeitig vor - machen Sie sich jetzt schon einen Termin mit unseren ExpertInnen aus.

IM-Lippmann-Arno

Arno Lippmann

Head of Advisory Services

+43 676 8642 4490
Kontakt
Besuchen Sie t-systems.com außerhalb von Austria? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.