NISG – Sparks IT e.U.

NIS und IT Beratung

Netz- und Informationssicherheitsgesetz (NISG):

2016 wurde vom europäischen Parlament eine Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union erarbeitet (NIS-Richtlinie).
Österreich setzt diese Richtlinie bzw. die Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen mittels dem Netz- und Informationssicherheitsgesetz (NISG) um. Das NISG trat am 28.12.2018 in Kraft, laut NISG übernimmt der Bundeskanzler die strategischen Aufgaben und das Bundesministerium für Inneres die operativen Aufgaben.
Das NISG trifft bisher nur Betreiber wesentlicher Dienste (BwD), der Anwendungsbereich (das Scope) wird allerdings erweitert – NIS2 wird bis zu 5000 Unternehmen alleine in Österreich treffen.

NIS 2:

NIS 2 wird im Q3/2024 in österreichisches Recht gegossen. NIS 2 erweitert den Anwendungsbereich gewaltig. In Zukunft fallen weitaus mehr Sektoren in den Anwendungsbereich, ausserdem wird nicht nur kritische Infrastruktur, sondern auch wichtige Infrastruktur unter das neue Gesetz fallen. Jegliche Unternehmen die in den ausgewählten Sektoren arbeiten, mindestens 50 Mitarbeiter und einen Jahresumsatz von mindestens 10 Millionen Euro haben, fallen unter NIS 2 und müssen die hohen Anforderungen erfüllen.
Bei NIS 2 wird kein Unternehmen gesondert informiert, jedes Unternehmen muss selbst überprüfen, ob man unter das NIS 2 fällt.
NIS 2 erhöht die Strafen bei Nicht-Konformität um ein vielfaches, ausserdem übernimmt das Top-Management die Verantwortung eine etwaige Nicht-Konformität.

Betreiber wesentlicher Dienste (BwD):

Der Bundeskanzler hat die Betreiber wesentlicher Dienste mittels Schreiben informiert, dass sie unter das NISG fallen. Um als Betreiber wesentlicher Dienste erkannt zu werden, mussten mehrere Faktoren erfüllt sein, unter anderem geht es um den Sektor, in dem das Unternehmen arbeitet.
Die Betreiber wesentlicher Dienste hatten 3 Jahre Zeit um das NISG zu erfüllen. Dazu musste eine externes Audit absolviert werden. Sollte das externe Audit nicht bestandern worden sein, konnten Auflagen und Strafen ausgesprochen werden.

Erfüllung des NISG:

Wie auch bisher muss ein externes Audit bestanden werden um die Konformität nach NISG nachzuweisen. Sobald man unter das NISG fällt, hat man 3 Jahre Zeit die hohen Anforderungen zu erfüllen. Jedes Unternehmen muss sich selbst über den Ablauf eines externen Audits informieren und diese selbstständig vorbereiten und ein Audit mit einer QuaSte (Qualifizierte Stelle) vereinbaren. Sollte das Audit nicht bestanden werden, so können Maßnahmen und Strafen auferlegt werden, welche das Unternehmen in einer bestimmten Zeit umsetzen muss. Um die Konformität nach NISG zu erreichen, muss man ein Information Security Management System (ISMS) aufbauen – dafür kann man verschieden Normen(z.B ISO 27001, IEC 62443) nutzen.

Audits:

Man unterscheidet interne und externe Audits. Interne Audits dienen der eigenen Überprüfung, externe Audits dienen der Überprüfung der Konfomrität (z.B. NISG) oder der Überprüfung eventueller Zertifizierungen (z.B. ISO 27001, IEC 62443).
Interne Audits sollten einen sehr strengen Maßstab anlegen, um bestmöglich auf externe Audits vorbereitet zu sein. Um eine Konformität nach NISG erreichen zu können, sind interne Audits vorgeschrieben, nur so kann ein Unternehmen überprüfen, ob die Maßnahmen eingehalten werden und weiterhin dem Ziel (eine hohe Informationssicherheit) dienen.
Externe Audits dürfen nur von akkreditierten Auditoren, so genannten QuaSten (Qualifizierte Stellen) druchgeführt werden. Externe Audits dürfen nur einmal von derselben QuaSte durchgeführt werden. Die genauen Zeitpläne bzw. der genaue Ablauf muss das Unternehmen gemeinsam mit der jeweiligen QuaSte planen.

Normen:

Um die Konformität nach NISG zu erreichen, muss man ein Information Security Managements System (ISMS) aufbauen. Ein ISMS kann man mittels verschiedener Normen (z.B. ISO 27001, IEC 62443) aufbauen. Die Entscheidung, welche Norm man für sein ISMS nutzen möchte, ist essentiell. Die verschiedenen Normen kommen teilweise in unterschiedlichen Bereichen zur Anwendung, weshalb man nicht voreilig entscheiden sollte. Man muss seine Infrastruktur kennen und genau analysieren um eine adäquate Entscheidung treffen zu können.