IT-Management-Zertifizierung

PRÜFUNGEN NACH NIS-GESETZ

Netz- und Informationssystemsicherheitsgesetz

Netz- und Informationssystemsicherheitsgesetz

RISIKEN FÜR DIE INFORMATIONSSICHERHEIT MINIMIEREN

Betreiber von wesentlichen Diensten müssen gemäß dem österreichischen Netz- und Informationssystemsicherheitsgesetz (NISG) nachweisen, dass ihre Informations- und IT-Sicherheit auf dem aktuellen Stand der Technik ist.

Das NIS-Gesetz wurde von der österreichischen Bundesregierung 2018 verabschiedet, um für die kritische Infrastruktur sowohl die Errichtung umfangreicher Sicherheitssysteme als auch deren regelmäßige Prüfung durch qualifizierte Stellen sicherzustellen.

Dass Strom aus der Steckdose, Wasser aus dem Hahn und der öffentliche Verkehr nach Plan kommt, ist hierzulande zwar eine Selbstverständlichkeit. Doch diese Services und viele weitere Systeme, auf die wir uns im Alltag verlassen, laufen zunehmend digital oder zumindest digital unterstützt ab. Das macht Infrastrukturen schneller, präziser, intelligenter - aber auch verwundbarer. Aus diesem Grund nimmt das österreichische Bundesministerium für Inneres (BMI) die verantwortlichen Betreiber in die Pflicht, diese kritischen Infrastrukturen bestmöglich abzusichern.

Das österreichische NIS-Gesetz und die begleitende NIS-Verordnung sind Teil der Bemühungen der Europäischen Union zur Stärkung der Cybersecurity in allen Mitgliedsstaaten. Die Grundlage dafür ist die EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, die als NIS-Richtlinie bekannt ist.

Das NIS-Gesetz und die NIS-Verordnung wurden in Österreich erlassen, um die Anforderungen der europäischen NIS-Richtlinie im nationalen Recht umzusetzen. Diese Rechtsvorschriften legen die Pflichten und Anforderungen für Betreiber von wesentlichen Diensten in Bereichen wie Energie- und Wasserversorgung, Verkehr, digitale Infrastruktur und Gesundheitswesen fest. Ihr Hauptziel ist es, die Widerstandsfähigkeit und Sicherheit dieser kritischen Dienste gegenüber Cyberbedrohungen zu erhöhen und der Behörde einen Nachweis über den ausreichenden Schutz der betroffenen Informationstechnik zu liefern.

BETRIFFT DAS NISG AUCH IHR UNTERNEHMEN?

Ihr Unternehmen ist von den Regelungen im NISG betroffen, wenn es kritische Dienste in den nachfolgend aufgelisteten Bereichen anbietet:

1. Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
2. Verkehr (Luft, Schiene, Schiff, Straße)
3. Bankwesen
4. Finanzmarktinfrastrukturen
5. Gesundheitswesen
6. Trinkwasser
7. Abwasser
8. Digitale Infrastruktur
9. Verwaltung von IKT-Diensten (B2B)
10. Öffentliche Verwaltung
11. Weltraum

Als Betreiber solcher Dienste sind Sie verpflichtet, die Sicherheit Ihrer Netz- und Informationssysteme gemäß den Bestimmungen des Gesetzes zu gewährleisten. Dies umfasst Maßnahmen zur Erkennung, Vorbeugung und Bewältigung von Cyberbedrohungen sowie die Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Die Einhaltung dieser Vorschriften ist entscheidend, um die Widerstandsfähigkeit Ihres Unternehmens gegenüber digitalen Risiken zu stärken und die Sicherheit kritischer Dienste in Österreich zu gewährleisten.

Darüber hinaus sind betroffene Unternehmen auch zur Meldung von Sicherheitsvorfällen an das zuständiges Notfallteam der Behörde.


NIS2: DIE NEUE NIS-RICHTLINIE

Am 16. Jänner 2023 ist die neue, überarbeitete Version der Richtline für Sicherheit von Netzwerk- und Informationssystemen in der Europäischen Union (kurz: NIS2) in Kraft getreten.

Die wesentlichen Änderungen zwischen NIS1 und NIS2 betreffen hauptsächlich die Erweiterung des Anwendungsbereichs und die Verschärfung der Anforderungen. Zusätzlich zu den oben unter NIS1 angeführten Sektoren werden folgende Branchen durch die NIS2-Richtlinie hinzugefügt:

1. Post- und Kurierdienste
2. Abfallbewirtschaftung
3. Produktion, Herstellung und Handel mit chemischen Stoffen
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
5. Verarbeitendes Gewerbe/Herstellung von Waren (z.B. Medizinprodukte, optische, elektronische, elektrische, Datenverarbeitungsgeräten etc.)
6. Anbieter digitaler Dienste
7. Forschung bzw. Forschungseinrichtungen

Darüber hinaus gibt es in NIS2 erweiterte Sicherheitsmaßnahmen in den Bereichen Risikomanagement einschließlich Risikoanalysen und Informationssicherheitskonzepte, Sicherheitsvorfallbehandlung und Betriebskontinuität.

Wie geht es weiter mit NIS2

Die österreichischen Behörden haben nun bis zum 17. Oktober 2024 Zeit, die Bestimmungen der europäischen NIS 2-Richtlinie in das österreichische Rechtssystem zu integrieren und sicherzustellen, dass sie in Österreich ordnungsgemäß umgesetzt werden. Dies ermöglicht eine schrittweise Anpassung an die neuen Anforderungen zur Sicherheit von Netzwerk- und Informationssystemen gemäß NIS2.

TÜV SÜD-Tipp: Falls Sie weitere Fragen zu NIS2 haben, oder nicht genau wissen, ob Ihr Unternehmen von NIS2 betroffen ist, dann wenden Sie sich gerne mit Ihrer Anfrage an uns.


WIE ERHALTEN SIE DEN NACHWEIS EINER NIS-PRÜFUNG FÜR DIE BEHÖRDE?

Bei Unternehmen, die unter das NISG fallen, geht es in puncto IT-Sicherheit nicht allein um die Unternehmensziele. Da Störungen in diesem Bereich tausende Endnutzer betreffen, sind die Anforderungen des NISG strenger als die bekannten Normen. Betreiber kritischer Anlagen müssen einen speziellen Prüfbericht von einer zugelassenen Prüforganisation, der sogenannten qualifizierten Stelle (QuaSte), anfertigen lassen, der dem BMI bestätigt, dass die Sicherheit Ihrer Netz- und Informationssysteme gemäß den Bestimmungen des Gesetzes dem „Stand der Technik“ entspricht.

Zu Beginn wurde viel diskutiert ob eine Zertifizierung nach ISO/IEC 27001 ausreichend ist, um die Forderung des NISG nachzuweisen. Dieser Idee wurde seitens der österreichischen Behörden eine klare Absage erteilt.

Im Gegensatz zu ISO-Zertifizierungen mit jährlichen Überwachungsaudits verlangt das NISG/NISV von kritischen Unternehmen alle 3 Jahre einen vollumfänglichen Prüfbericht. Umso wichtiger ist es, den Aufwand bei den häufigen Auditierungen gering zu halten. Entscheiden Sie sich deshalb für eine kompetente, renommierte Prüfstelle. Die Expertinnen und Experten von TÜV SÜD unterstützen sie gerne dabei Ihr Projekt professionell und zügig abzuwickeln.

WARUM TÜV SÜD?

  • TÜV SÜD ist Ihr starker Partner und ein weltweit agierendes Unternehmen. Die österreichische Landesgesellschaft des TÜV SÜD ist Ihr nationaler Auditpartner und Prüfstelle mit österreichischer Zulassung durch das BMI.
  • Egal in welcher Branche Sie tätig sind - Sie können sich auf die Fachkenntnis der Auditorinnen und Auditoren von TÜV SÜD in der Bewertung von IT-Service- und anderen Managementsystemen sowie Konformitätsbewertungen unterschiedlicher Art verlassen.
  • Die TÜV SÜD in Österreich ist seit vielen Jahren zugelassene „Qualifizierte Stelle“ (QuaSte) für NIS-Prüfungen durch das BMI.
  • Dank unseres nationalen Expertennetzwerks können Sie Ihre Niederlassungen und Dienstleister österreichweitweit durch ein und dieselbe „QuaSte“ prüfen lassen.
  • Mit einer NIS-Prüfung von TÜV SÜD setzen Sie ein Zeichen für Informationssicherheit und Resilienz, denn TÜV SÜD steht weltweit für Zuverlässigkeit, Unabhängigkeit und Neutralität.

Falls Sie weitere Fragen zu Ihrer NIS-Prüfung haben, oder wissen wollen, ob Ihr Unternehmen betroffen ist, helfen wir Ihnen gerne weiter.

Kontaktieren Sie uns

Next steps

WORLDWIDE

Germany

German