IM-Hero

Fragen an einen NIS-Prüfer

Confare-Interview mit T-Systems Security Experten und QuaSte-Prüfer Daniel Kissler

03. April 2020

Anforderungen nach NIS-Richtlinie

Seit Ende 2018 ist das NIS-Gesetz in Kraft, welches die europäische NIS-Richtlinie in Österreich umsetzt. Was das Gesetz genau regelt, wer davon betroffen ist und welche ersten Schritte gesetzt werden sollten, erklärt T-Systems Security Experte und Qualifizierte Stelle (QuaSte)-Prüfer Daniel Kissler im Interview mit Confare.

Was sind die Zielsetzungen der Netz- und Informationssicherheitsrichtlinie (NIS-RL)? Wer ist betroffen?

Die europäische NIS-Richtlinie hat zum Ziel, ein gemeinsames hohes Schutzniveau bei kritischen Infrastrukturen zu gewährleisten, da die zugehörigen Dienste eine zentrale Rolle in der Gesellschaft in Europa spielen. Dies gilt einerseits für gesellschaftliche Tätigkeiten, wie bspw. die Gesundheitsversorgung oder die Versorgung mit Trinkwasser, und andererseits auch für wirtschaftliche Tätigkeiten, wie den Finanzmarkt.

Um ein hohes Niveau der Netz- und Informationssystemsicherheit in der gesamten EU sicherstellen zu können, fordert die Richtlinie entsprechende Maßnahmen von den betroffenen Unternehmen sowie von der öffentlichen Hand. Die jeweiligen Unternehmen müssen durch externe Prüfer, sogenannte „Qualifizierte Stellen“, regelmäßige Überprüfungen ihrer Sicherheitsstandards und Maßnahmen durchführen lassen und entsprechende Meldeprozesse für sicherheitsrelevante Vorfälle bzw. Ausfälle etablieren.

Davon betroffen sind laut Richtlinie grundsätzlich zwei Arten von Unternehmen: Sogenannte „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“. Betreiber wesentlicher Dienste sind öffentliche oder private Einrichtungen, die in einer der folgenden Kategorien tätig sind: Energie, Verkehr, Bankwesen, Finanzmarkinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur. Darüber hinaus müssen bestimmte Kriterien bezüglich Größe, Lieferumfang, Kundenzahl, usw. erfüllt werden. Die zweite Gruppe sind Anbieter digitaler Dienste, sprich Unternehmen, die digitale Leistungen in den folgenden drei Kategorien bereitstellen: Online-Marktplatz, Online-Suchmaschine oder Cloud-Computing-Dienst. Auch hier gilt zu beachten, dass diese ebenfalls bestimmten Kriterien unterliegen, wie bspw. hinsichtlich der Nutzerzahlen.

Welche Anforderungen ergeben sich daraus für Unternehmen?

Die genauen Anforderungen sind im Abschnitt 5 des österreichischen NIS-Gesetzes definiert. Im Wesentlichen lassen sich die Anforderungen in drei Maßnahmen zusammenfassen:

  1. Sicherheitsvorkehrungen
    Die Unternehmen haben geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen, um die Bereitstellung der wesentlichen Dienste des Unternehmens adäquat zu schützen. Diese haben den Stand der Technik zu berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein.
     
  2. Qualifizierte Stellen
    Die gesetzten technischen und organisatorischen Sicherheitsmaßnahmen der Unternehmen müssen durch sogenannte qualifizierte Stellen, zum Beispiel durch die T-Systems Austria, regelmäßig überprüft werden. Darauf basierend kann anschließend das Bundesministerium für Inneres (BMI) entsprechende Empfehlungen für die betroffenen Unternehmen aussprechen.
     
  3. Meldepflicht
    Betreiber wesentlicher Dienste und Anbieter digitaler Dienste müssen Sicherheitsvorfälle, die einen von ihnen bereitgestellten wesentlichen Dienst betreffen, an die zuständige Stelle - in der Regel an das zuständige Computer Emergency Response Team (CERT) - melden. Die Meldung hat unverzüglich zu erfolgen.
IM-Kissler-Daniel

Die Umsetzung des NIS-Gesetzes ist für die betroffenen Unternehmen eine Herausforderung, die viele unterschätzen.

Daniel Kissler, Teamlead Security Assessments, Audits & QuaSte bei T-Systems Austria

Wo liegen Stolpersteine bei der Umsetzung? Worauf sollte man achten?

Der Großteil der betroffenen Unternehmen verfügt bereits über ein hohes Sicherheitsniveau. Durch das NIS-Gesetz ergeben sich jedoch neue Herausforderungen hinsichtlich der technischen und organisatorischen Maßnahmen, die viele unterschätzen. So müssen etwa neue Prozesse und Richtlinien, wie beispielsweise für die Meldung von Sicherheitsvorfällen, definiert und etabliert werden. Auch müssen die notwendigen Dokumentationen für die Nachweiserbringung im Zuge der Überprüfung durch die qualifizierten Stellen vorhanden sein bzw. erst erstellt werden. Dadurch ergibt sich ein nicht unwesentlicher Mehraufwand, der aktuell (April 2020) nur geschätzt werden kann.

Zu beachten ist, dass die Auswahl der technischen und organisatorischen Maßnahmen den Stand der Technik erfüllt, risikobasiert erfolgt und eine vollständige Dokumentation vorliegt. Dies gilt selbstverständlich auch für den Meldeprozess und für die Prüfung durch qualifizierte Stellen. Hierbei kann beispielsweise ein Information Security Management System nach ISO 27000 und/oder ein Qualitätsmanagementsystem nach ISO 9000 helfen.

Welche Aufgabe erfüllt dabei die Prüfstelle?

Die sogenannten qualifizierten Stellen prüfen die betroffenen Unternehmen auf die Einhaltung der technischen und organisatorischen Maßnahmen. Im Detail werden hier die etablierten Maßnahmen analysiert und bewertet. Davon betroffen sind vorhandene Richtlinien, etablierte Prozesse, technische Maßnahmen und existierende Aufzeichnungen/Dokumentationen. Als Beispiele können hier entsprechende Prozesse für ein adäquates Risikomanagement genannt werden oder technische Sicherheitsmaßnahmen zur Erkennung von Sicherheitsvorfällen.

Wie verläuft eine solche Prüfung und was ist bei der Vorbereitung zu beachten?

Im Wesentlichen teilt sich die Prüfung in drei Teile. In der Vorbereitungsphase wird der entsprechende Umfang festgesetzt und organisatorische Details definiert. In der zweiten Phase findet die tatsächliche Prüfung des betroffenen Unternehmens statt. Zudem werden die relevanten Unterlagen gesichtet und analysiert. Darüber hinaus werden die entsprechenden Schlüsselpersonen des Unternehmens interviewt und gegebenenfalls werden Einzelheiten weiter erörtert. Nach der Analyse erfolgt die letzte Phase, in welcher der notwendige Bericht erstellt und anschließend an das BMI übermittelt wird.

Die Prüfung muss gemäß NIS-Gesetz alle drei Jahre durchgeführt werden, wobei es sinnvoll ist, ein jährliches Überwachungsaudit durchzuführen und nur alle drei Jahre eine tatsächliche vollumfängliche Prüfung durchzuführen.

Ihr Kontakt

Bereiten Sie sich rechtzeitig vor - machen Sie sich jetzt schon einen Termin mit unseren ExpertInnen aus.

IM-Kissler-Daniel

Daniel Kissler

Teamlead Security Assessments, Audits & QuaSte

+43 676 8642 8623
Kontakt