Netz- und Informationssystemsicherheitsgesetz
Netz- und Informationssystemsicherheitsgesetz
Betreiber von wesentlichen Diensten müssen gemäß dem österreichischen Netz- und Informationssystemsicherheitsgesetz (NISG) nachweisen, dass ihre Informations- und IT-Sicherheit auf dem aktuellen Stand der Technik ist.
Das NIS-Gesetz wurde von der österreichischen Bundesregierung 2018 verabschiedet, um für die kritische Infrastruktur sowohl die Errichtung umfangreicher Sicherheitssysteme als auch deren regelmäßige Prüfung durch qualifizierte Stellen sicherzustellen.
Dass Strom aus der Steckdose, Wasser aus dem Hahn und der öffentliche Verkehr nach Plan kommt, ist hierzulande zwar eine Selbstverständlichkeit. Doch diese Services und viele weitere Systeme, auf die wir uns im Alltag verlassen, laufen zunehmend digital oder zumindest digital unterstützt ab. Das macht Infrastrukturen schneller, präziser, intelligenter - aber auch verwundbarer. Aus diesem Grund nimmt das österreichische Bundesministerium für Inneres (BMI) die verantwortlichen Betreiber in die Pflicht, diese kritischen Infrastrukturen bestmöglich abzusichern.
Das österreichische NIS-Gesetz und die begleitende NIS-Verordnung sind Teil der Bemühungen der Europäischen Union zur Stärkung der Cybersecurity in allen Mitgliedsstaaten. Die Grundlage dafür ist die EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, die als NIS-Richtlinie bekannt ist.
Das NIS-Gesetz und die NIS-Verordnung wurden in Österreich erlassen, um die Anforderungen der europäischen NIS-Richtlinie im nationalen Recht umzusetzen. Diese Rechtsvorschriften legen die Pflichten und Anforderungen für Betreiber von wesentlichen Diensten in Bereichen wie Energie- und Wasserversorgung, Verkehr, digitale Infrastruktur und Gesundheitswesen fest. Ihr Hauptziel ist es, die Widerstandsfähigkeit und Sicherheit dieser kritischen Dienste gegenüber Cyberbedrohungen zu erhöhen und der Behörde einen Nachweis über den ausreichenden Schutz der betroffenen Informationstechnik zu liefern.
Ihr Unternehmen ist von den Regelungen im NISG betroffen, wenn es kritische Dienste in den nachfolgend aufgelisteten Bereichen anbietet:
1. Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
2. Verkehr (Luft, Schiene, Schiff, Straße)
3. Bankwesen
4. Finanzmarktinfrastrukturen
5. Gesundheitswesen
6. Trinkwasser
7. Abwasser
8. Digitale Infrastruktur
9. Verwaltung von IKT-Diensten (B2B)
10. Öffentliche Verwaltung
11. Weltraum
Als Betreiber solcher Dienste sind Sie verpflichtet, die Sicherheit Ihrer Netz- und Informationssysteme gemäß den Bestimmungen des Gesetzes zu gewährleisten. Dies umfasst Maßnahmen zur Erkennung, Vorbeugung und Bewältigung von Cyberbedrohungen sowie die Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Die Einhaltung dieser Vorschriften ist entscheidend, um die Widerstandsfähigkeit Ihres Unternehmens gegenüber digitalen Risiken zu stärken und die Sicherheit kritischer Dienste in Österreich zu gewährleisten.
Darüber hinaus sind betroffene Unternehmen auch zur Meldung von Sicherheitsvorfällen an das zuständiges Notfallteam der Behörde.
Am 16. Jänner 2023 ist die neue, überarbeitete Version der Richtline für Sicherheit von Netzwerk- und Informationssystemen in der Europäischen Union (kurz: NIS2) in Kraft getreten.
Die wesentlichen Änderungen zwischen NIS1 und NIS2 betreffen hauptsächlich die Erweiterung des Anwendungsbereichs und die Verschärfung der Anforderungen. Zusätzlich zu den oben unter NIS1 angeführten Sektoren werden folgende Branchen durch die NIS2-Richtlinie hinzugefügt:
1. Post- und Kurierdienste
2. Abfallbewirtschaftung
3. Produktion, Herstellung und Handel mit chemischen Stoffen
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
5. Verarbeitendes Gewerbe/Herstellung von Waren (z.B. Medizinprodukte, optische, elektronische, elektrische, Datenverarbeitungsgeräten etc.)
6. Anbieter digitaler Dienste
7. Forschung bzw. Forschungseinrichtungen
Darüber hinaus gibt es in NIS2 erweiterte Sicherheitsmaßnahmen in den Bereichen Risikomanagement einschließlich Risikoanalysen und Informationssicherheitskonzepte, Sicherheitsvorfallbehandlung und Betriebskontinuität.
Die österreichischen Behörden haben nun bis zum 17. Oktober 2024 Zeit, die Bestimmungen der europäischen NIS 2-Richtlinie in das österreichische Rechtssystem zu integrieren und sicherzustellen, dass sie in Österreich ordnungsgemäß umgesetzt werden. Dies ermöglicht eine schrittweise Anpassung an die neuen Anforderungen zur Sicherheit von Netzwerk- und Informationssystemen gemäß NIS2.
TÜV SÜD-Tipp: Falls Sie weitere Fragen zu NIS2 haben, oder nicht genau wissen, ob Ihr Unternehmen von NIS2 betroffen ist, dann wenden Sie sich gerne mit Ihrer Anfrage an uns.
Bei Unternehmen, die unter das NISG fallen, geht es in puncto IT-Sicherheit nicht allein um die Unternehmensziele. Da Störungen in diesem Bereich tausende Endnutzer betreffen, sind die Anforderungen des NISG strenger als die bekannten Normen. Betreiber kritischer Anlagen müssen einen speziellen Prüfbericht von einer zugelassenen Prüforganisation, der sogenannten qualifizierten Stelle (QuaSte), anfertigen lassen, der dem BMI bestätigt, dass die Sicherheit Ihrer Netz- und Informationssysteme gemäß den Bestimmungen des Gesetzes dem „Stand der Technik“ entspricht.
Zu Beginn wurde viel diskutiert ob eine Zertifizierung nach ISO/IEC 27001 ausreichend ist, um die Forderung des NISG nachzuweisen. Dieser Idee wurde seitens der österreichischen Behörden eine klare Absage erteilt.
Im Gegensatz zu ISO-Zertifizierungen mit jährlichen Überwachungsaudits verlangt das NISG/NISV von kritischen Unternehmen alle 3 Jahre einen vollumfänglichen Prüfbericht. Umso wichtiger ist es, den Aufwand bei den häufigen Auditierungen gering zu halten. Entscheiden Sie sich deshalb für eine kompetente, renommierte Prüfstelle. Die Expertinnen und Experten von TÜV SÜD unterstützen sie gerne dabei Ihr Projekt professionell und zügig abzuwickeln.
Falls Sie weitere Fragen zu Ihrer NIS-Prüfung haben, oder wissen wollen, ob Ihr Unternehmen betroffen ist, helfen wir Ihnen gerne weiter.
