NIS und IT Beratung
FAQ
Q: Unterliegt mein Unternehmen bereits dem NISG?
A: Dann hat ihr Unternehmen ein Schreiben des Bundeskanzleramts erhalten, in welchem bestätigt wird, dass ihr Unternehmen dem NISG unterliegt.
Q: Wird mein Unternehmen dem NIS2 unterliegen?
A: Das hängt davon ab, in welchem Sektor Ihr Unternehmen arbeitet und wie große ihr Unternehmen ist – auf der Seite der Wirtschaftskammer gibt es einen Online Ratgeber (hier).
Q: Welche Anforderungen stellt das NISG an mein Unternehmen?
A: Das NISG definiert verschiedene Anforderungen um ein hohes Sicherheitsniveau der Unternehmen zu erreichen. Dafür werden unter anderem Normen wie die ISO 27001, ISO/IEC 62443 oder das österreichische Sicherheitshandbuch angeführt.
Q: Welche Strafen kommen auf mein Unternehmen bei Nicht-Konformität zu?
A: Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2% des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4% des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen. Leitungsorgane (Geschäftsführer und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden. (Quelle: WKO)
A: Dann hat ihr Unternehmen ein Schreiben des Bundeskanzleramts erhalten, in welchem bestätigt wird, dass ihr Unternehmen dem NISG unterliegt.
Q: Wird mein Unternehmen dem NIS2 unterliegen?
A: Das hängt davon ab, in welchem Sektor Ihr Unternehmen arbeitet und wie große ihr Unternehmen ist – auf der Seite der Wirtschaftskammer gibt es einen Online Ratgeber (hier).
Q: Welche Anforderungen stellt das NISG an mein Unternehmen?
A: Das NISG definiert verschiedene Anforderungen um ein hohes Sicherheitsniveau der Unternehmen zu erreichen. Dafür werden unter anderem Normen wie die ISO 27001, ISO/IEC 62443 oder das österreichische Sicherheitshandbuch angeführt.
Q: Welche Strafen kommen auf mein Unternehmen bei Nicht-Konformität zu?
A: Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2% des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4% des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen. Leitungsorgane (Geschäftsführer und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden. (Quelle: WKO)
Q: Mein Unternehmen unterliegt nicht dem NISG – ich beliefere Kunden welche dem NISG unterliegen – Hat mein Unternehmen deswegen Verpflichtungen?
A: Sollten Sie Dienstleistungen bzw. Komponenten im Scope des Kunden anbieten/liefern, so müssen diese NISG-Konform sein. Deswegen muss ihr Unternehmen möglicherweise ebenfalls Prozesse erstellen bzw. anpassen. Treten Sie in Kontakt mit Ihrem Kunden und befragen Sie Experten zu diesem Thema.
A: Sollten Sie Dienstleistungen bzw. Komponenten im Scope des Kunden anbieten/liefern, so müssen diese NISG-Konform sein. Deswegen muss ihr Unternehmen möglicherweise ebenfalls Prozesse erstellen bzw. anpassen. Treten Sie in Kontakt mit Ihrem Kunden und befragen Sie Experten zu diesem Thema.
Q: Wir wird die Konformität nach NISG überprüft?
A: Die Unternehmen müssen mittels einer QuaSte (Qualifizierte Stelle) ein Audit durchführen. Gemeinsam wird ein Bericht erstellt und dieser wird an das Bundeskanzleramt gesendet.
Q: Woran kann die Implementierung eines ISMS scheitern?
A: Ein ISMS umfasst viele Verschiedene Thematiken – die meisten Themen sind weitaus komplexer als es der erste Anschein macht.
Q: Woran kann die Implementierung eines risikobasierten Ansatzes scheitern?
A: Viele Unternehmen unterschätzen den Aufwand eines risikobasierten Ansatzes. Risiken müssen systematisch erkannt und behandelt werden.
Q: Welche Probleme kann es bei den etwaigen Prozessen geben?
A: Selbst wenn alle Prozesse ausreichend beschrieben sind, werden die notwendige Kompetenzen oft außen vor gelassen. Es sollte eine Kompetenzmatrix, am Besten mit Schulungskonzept, erstellt werden.
A: Die Unternehmen müssen mittels einer QuaSte (Qualifizierte Stelle) ein Audit durchführen. Gemeinsam wird ein Bericht erstellt und dieser wird an das Bundeskanzleramt gesendet.
Q: Woran kann die Implementierung eines ISMS scheitern?
A: Ein ISMS umfasst viele Verschiedene Thematiken – die meisten Themen sind weitaus komplexer als es der erste Anschein macht.
Q: Woran kann die Implementierung eines risikobasierten Ansatzes scheitern?
A: Viele Unternehmen unterschätzen den Aufwand eines risikobasierten Ansatzes. Risiken müssen systematisch erkannt und behandelt werden.
Q: Welche Probleme kann es bei den etwaigen Prozessen geben?
A: Selbst wenn alle Prozesse ausreichend beschrieben sind, werden die notwendige Kompetenzen oft außen vor gelassen. Es sollte eine Kompetenzmatrix, am Besten mit Schulungskonzept, erstellt werden.
Q: Was sind häufige Probleme bei den beschreiben und vergeben von Rollen bzw. Positionen in einem ISMS?
A: Oft werden Verantwortlichkeiten an Personen vergeben, ohne die notwendigen Befugnisse ebenfalls zu vergeben. Meistens wird das erst bei einem Vorfall deutlich. Ein CISO ohne Befugnisse kann nur sehr begrenzt für ein hohes Sicherheitsniveau sorgen.
Whitepaper NISG
Wollen Sie einen ersten Überblick über unsere Arbeitsweise erhalten und erste Themenschwerpunkte erfahren? Dann werden Sie HIER fündig.
To Do für NIS2:
- Erörtern ob ihr Unternehmen dem NIS2 unterliegen wird (z.B: Online Ratgeber WKO – hier)
- Definieren des Unternehmensprozesses
- Übersicht der bereits eingesetzen Ressorucen zu den Themen Cybersecurity und Datenschutzgrundverordnung (DSGVO) erstellen
- Grobe Aufstellung der möglichen/geplanten Investitionen in das Thema Cybersecurity (z.B. neue Mitarbeiter, Berater, Erneuerung Komponenten, etc.)
- Stakeholder und interessierte Parteien definieren
- Sichten von Informationen rund um das Thema NIS (Gespräche mit Experten, Kunden (welche bereits dem NISG unterliegen), Webinare (z.B. WKO), etc.)