Hand stoppt Domino Steine vor dem Fallen

NIS - Governance und Risikomanagement

Anforderungen an die Sicherheitsmaßnahmen
und Herausforderungen bei der Umsetzung

08. September 2020

Governance und Risikomanagement gefordert

Gemäß der NIS-Verordnung Anhang 1 fordert der Gesetzgeber die Umsetzung von Sicherheitsmaßnamen aus den unterschiedlichsten Schwerpunkthemen. Das erste Kapitel umfasst die Thematik Governance und Risikomanagement. Dieser Blogartikel beleuchtet die Anforderungen und zeigt potentielle Herausforderungen bei der Umsetzung auf.

Begrifflichkeiten einfach erklärt

Bevor die Anforderungen nach NIS ins Detail beleuchtet werden, gilt es die Begrifflichkeiten Governance und Risikomanagement näher zu erläutern.

  • Governance
    Der Begriff Governance wird, im Zusammenhang mit NIS, als Steuerung und Führung der Informationssicherheit in den NIS-relevanten Bereichen verstanden. Einerseits müssen die notwendigen Ressourcen dafür zur Verfügung gestellt werden und andererseits die benötigten Befugnisse (Stichwort: management commitment) vorhanden sein.
  • Risikomanagement
    Die Bewältigung der Risiken erfolgt durch das Risikomanagement, welches sich in vier Bereiche untergliedert: Analyse, Bewertung, Behandlung und Überwachung. Dieser Zyklus wird regelmäßig durchgeführt um die Risiken angemessen managen zu können.


Anforderungen und Herausforderung nach NIS

Im Kontext des NIS-Gesetzes ergeben sich für den Bereich Governance und Risikomanagement unterschiedliche Herausforderungen, die bereits durch den prominenten ISO 27001 Standard bekannt sind. Die NIS-Verordnung fordert in der Anlage 1 explizite die Umsetzung folgender Punkte:

Durchführung von Risikoanalysen

Für all jene Bereiche und Systeme, die vom NIS-Gesetz betroffen sind, ist eine Risikoanalyse und eine anschließende Risikobewertung durchzuführen. Im Fokus der Analyse steht die Verfügbarkeit der notwendigen Systeme um den wesentlichen Dienst erbringen zu können. Es sei angemerkt, dass die Analyse und Bewertung lediglich zwei der vier Schritte des Risikomanagement sind.

Erstellung einer Sicherheitsrichtlinie

Eine Sicherheitsrichtlinie ist zu erstellen und periodische zu aktualisieren. Dabei wird der erstrebte Sicherheitsanspruch einer Institution definiert, wobei der Fokus auf Verfügbarkeit und Informationssicherheit und den damit einhergehenden Sicherheitsanforderungen liegt.

Überprüfungsplan der Netz- und Informationssysteme

Die betroffenen Systeme des Betreibers eines wesentlichen Dienstes müssen regelmäßig überprüft werden. Die Durchführung der Überprüfungen ist zu planen und die Ergebnisse sind zu dokumentieren. Darüber hinaus, sind diese auch im Bereich Risikomanagement zu berücksichtigen.

Ressourcenmanagement

Um die Verfügbarkeit der Systeme der Betreiber der wesentlichen Dienste kurz-, mittel- und langfristig gewährleisten zu können, müssen die Betreiber die notwendigen Ressourcen bereitstellen. Hierfür ist die regelmäßige Auswertung der benötigen Ressourcen notwendig, um darauf basierend eine angemessene Planung durchführen zu können.

Informationssicherheitsmanagementsystemprüfung

Dieser Punkt der NIS-verordnung impliziert, dass das betroffene Unternehmen über ein Informationssicherheitsmanagementsystem (ISMS) verfügt beziehungsweise für die NIS-relevanten Bereiche und Systeme ein ISMS implementiert hat. Darauf basierend, ist die regelmäßige (i.d.R. jedes Jahr) Überprüfung des ISMS die daraus resultierende Konsequenz. Eine Zertifizierung des ISMS gem. ISO 27001 ist vom Gesetzgeber nicht gefordert.

Umsetzung nach NIS nicht unterschätzen

Das erste Kapitel der geforderten Sicherheitsmaßnahmen der NIS-Verordnung erfordert oftmals grundlegende Änderungen in den betroffenen Unternehmen. Für die entsprechenden Bereiche im Unternehmen ist ein Risikomanagement und ISMS zu etablieren. Darüber hinaus müssen die notwendigen Ressourcen zur Verfügung gestellt, regelmäßige Überprüfungen durchgeführt und ein Fokus auf die MitarbeiterInnen gelegt werden.

Um die geforderten Sicherheitsmaßnahmen erfüllen zu können, gilt es Prozesse und Richtlinien im Bereich Governance und Risikomanagement zu definieren, zu etablieren und anschließend zu dokumentieren.

Je nach Reifegrad des Unternehmens kann dies mit erheblichen Aufwand verbunden sein.

Ihr Kontakt

Bereiten Sie sich rechtzeitig vor - machen Sie sich jetzt schon einen Termin mit unseren ExpertInnen aus.

IM-Lippmann-Arno

Arno Lippmann

Head of Advisory Services

+43 676 8642 4490
Kontakt
Besuchen Sie t-systems.com außerhalb von Austria? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.