Das NIS-Gesetz verpflichtet Betreiber wesentlicher Dienste und Anbieter digitaler Dienste zur Erhöhung der Sicherheit ihrer Netz- und Informationssysteme. Doch was bedeutet dies im Detail?
Hoher Sicherheitsstandard gefordert
Die Digitalisierung schreitet immer weiter voran – und macht auch nicht Halt vor Einrichtungen, die für wirtschaftliche und gesellschaftliche Tätigkeiten kritisch sind. Aus diesem Grund hat die Europäische Union die sogenannte NIS-Richtlinie erlassen. Die NIS-Richtlinie verlangt einen hohen Sicherheitsstandard der kritischen Netz- und Informationssysteme innerhalb der Europäischen Union und wurde in Österreich durch das NIS-Gesetz und die NIS-Verordnung umgesetzt. In diesem Blogeintrag erklären die Expert*innen des T-Systems NIS Competence Centers die Besonderheiten sowie möglichen Herausforderungen und Chancen des Gesetzes.
Wer ist betroffen?
In Österreich sind all jene Unternehmen von der NIS-Richtlinie betroffen, die als sogenannte Betreiber wesentlicher Dienste in den folgenden Sektoren identifiziert wurden:
Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastrukturen. Darüber hinaus sind auch sogenannte Anbieter digitaler Dienste betroffen. Das sind Unternehmen, die digitale Leistungen in den folgenden drei Kategorien bereitstellen: Online-Marktplatz, Online-Suchmaschine oder Cloud-Computing-Dienste. Die Ermittlung dieser Unternehmen erfolgt durch das Bundeskanzleramt (BKA).
Was müssen die betroffenen Unternehmen tun?
Im Wesentlichen besteht das NIS-Gesetz aus drei Schwerpunkten:
Technische und organisatorische Maßnahmen
Das NIS-Gesetz fordert die Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen, die ein hohes Sicherheitsniveau gewährleisten. Beispielsweise müssen definierte Prozesse etabliert sein, um im Falle von Sicherheitsvorfällen adäquat reagieren und handeln zu können. Dementsprechend müssen die bereits umgesetzten Sicherheitsmaßnahmen und dazugehörigen Dokumentationen geprüft und gegebenenfalls erweitert beziehungsweise durch zusätzliche Maßnahmen ergänzt werden. Die Maßnahmen orientieren sich sowohl am aktuellen Stand der Technik als auch an der Verhältnismäßigkeit und Wirtschaftlichkeit.
Externe Prüfung durch qualifizierte Stellen
Die Sicherheitsmaßnahmen müssen alle drei Jahre durch eine sogenannte qualifizierte Stelle analysiert und geprüft werden, um so gegenüber dem BVT die tatsächliche Umsetzung nachweisen zu können. Die Prüfung umfasst jene Systeme, Bereiche und Prozesse, die unter das NIS-Gesetz fallen, und beinhaltet folgende elf Themen:
- Governance und Risikomanagement
- Umgang mit Dienstleistern
- Lieferanten und Dritten
- Sicherheitsarchitektur
- Systemadministration
- Identitäts- und Zugriffsmanagement
- Systemwartung und Betrieb
- physische Sicherheit
- Erkennung von Vorfällen
- Bewältigung von Vorfällen
- Betriebskontinuität und Krisenmanagement.
Unverzügliche Meldepflicht von Sicherheitsvorfällen
Die neue Gesetzeslage legt besonderes Augenmerk auf die Meldung von Sicherheitsvorfällen der betroffenen Unternehmen. So müssen Sicherheitsvorfälle unverzüglich dem jeweiligen Computer Emergency Response Team (CERT) gemeldet werden, welche die Meldung an das BMI weiterleitet. Daher müssen bereits im Vorfeld unternehmensintern Prozesse und passende Reporting-Tools implementiert werden, um im Ernstfall schnell und gesetzeskonform reagieren zu können.
Das NIS-Gesetz erfolgreich umsetzen
Das NIS-Gesetz stellt die Betreiber wesentlicher Dienste und Anbieter digitaler Dienste vor große Herausforderungen. Einerseits müssen die bereits vorhandenen Sicherheitsmaßnahmen auf Angemessenheit geprüft werden, andererseits müssen zusätzliche Maßnahmen evaluiert und etabliert werden. Zudem müssen die etablierten technischen und organisatorischen Maßnahmen alle drei Jahre durch eine qualifizierte Stelle geprüft werden, um tatsächlich Gesetzeskonformität zu erlangen. Darüber hinaus müssen Sicherheitsvorfälle unverzüglich an das jeweilige CERT gemeldet werden. Wenn Sie dabei Hilfe wünschen, stehen wir Ihnen gerne zur Verfügung.
Link NIS:
https://www.t-systems.com/at/de/security/security-professional-services/nis
Link GRC Folder:
https://www.info.t-systems.at/government-risk-compliance-folder