NIS-Gesetz regelt verpflichtende Sicherheitsvorkehrungen systemrelevanter Organisationen Zertifizierungsstelle CIS

© Foto Weinwurm

Klaus Veselko, Geschäftsführer CIS – Certification & Information Security Services GmbH

13.01.2022 | 2 min

NIS-Gesetz regelt verpflichtende Sicherheitsvorkehrungen systemrelevanter Organisationen

Säumigen Unternehmen drohen Strafen von bis zu 100.000 Euro bei nicht zeitgerechter Umsetzung.

Bereits ab Anfang 2019 informierte der österreichische Staat rund 100 öffentliche und private Organisationen über ihren systemrelevanten Status. Diese Systemrelevanz bedingt, dass sie Sicherheitsvorkehrungen für ihre Netz- und Informationssysteme treffen und darüber alle drei Jahre Nachweise erbringen müssen.

In Österreich ist die staatlich akkreditierte Zertifizierungsinstanz CIS als qualifizierte Stelle für NISG-Prüfungen zugelassen. Laut Geschäftsführer Klaus Veselko haben einige Unternehmen bereits vorbildlich gehandelt, andere lassen sich noch Zeit bei der Umsetzung. „Säumigen Organisationen drohen hohe Strafen. Zudem laufen bereits Verhandlungen, um künftig noch mehr Branchen in die Pflicht zu nehmen“, warnt Veselko.

Das österreichische Netz- und Informationssystemsicherheitsgesetz (NISG) beruht auf der NIS-Richtlinie der EU und wurde bereits Ende 2018 in nationales Recht umgesetzt. Ab Anfang 2019 wurden sukzessive rund 100 Organisationen per Bescheid informiert, dass sie zur kritischen Infrastruktur Österreichs zählen. Sie stammen im Wesentlichen aus den Bereichen Energie, Verkehr, Bank- und Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur. Diese Organisationen wurden nicht nur dazu verpflichtet, Sicherheitsvorfälle zu melden, sondern haben auch Sicherheitsvorkehrungen zu treffen und müssen alle drei Jahre ab Zustellung des Bescheides durch Überprüfung seitens qualifizierter Stellen Nachweise über diese Präventivmaßnahmen erbringen.

Vier bis fünf Monate Vorlaufzeit

„Einige Unternehmen sind in der Umsetzung schon sehr weit, andere Unternehmen haben erheblich später begonnen. Der Aufwand und die Komplexität der Umsetzung werden teilweise deutlich unterschätzt. Dadurch besteht die Gefahr, dass die Nachweise nicht zeitgerecht erbracht werden können“, erklärt Klaus Veselko, Geschäftsführer der staatlich akkreditierten Zertifizierungsstelle CIS – Certification & Information Security Services.

„Von der Beauftragung der Auditoren bis zur Ausfertigung des Berichts und der Bestätigung muss man mit rund vier bis fünf Monaten rechnen. Zudem sind oft noch umfangreiche interne Vorarbeiten in den Unternehmen notwendig“, rechnet Veselko vor. Wie unter Abschnitt 7 des NIS-Gesetzes nachzulesen ist, drohen bei Verfehlungen bis zu 50.000 Euro Strafe, im Wiederholungsfall sogar bis zu 100.000 Euro. „Ich würde nicht empfehlen, die Sache auf die leichte Schulter zu nehmen“, so der Experte. Im Zuge der Sicherheitsüberprüfungen werden eine Reihe von Security Checks wie etwa Schwachstellen-Scans durchgeführt, die Aufschluss darüber geben, ob Angreifer in ein System eindringen können, ohne über die jeweiligen Passwörter oder sonstigen Zugriffsberechtigungen zu verfügen.

„Wir gehen aufgrund der aktuellen Entwürfe davon aus, dass ab 2023 oder 2024 neben großen Supermarktketten auch gewisse Produktionsbetriebe unter die NIS-Regelung fallen werden“, erklärt Klaus Veselko.

© PantherMedia/Nastyaofly

Auch Lebensmitteleinzelhandel künftig systemrelevant

Obwohl einige Unternehmen noch mit der Umsetzung des NIS-Gesetzes beschäftigt sind, laufen derzeit bereits Verhandlungen über die Weiterentwicklung des NISG. „Wir gehen aufgrund der aktuellen Entwürfe davon aus, dass ab 2023 oder 2024 neben großen Supermarktketten auch gewisse Produktionsbetriebe unter die NIS-Regelung fallen werden. Die Pandemie hat uns unter anderem vor Augen geführt, wie wichtig eine reibungslose Lebensmittelversorgung auch in Krisenzeiten ist“, erklärt Veselko.

Gerüstet gegen Blackout

„In letzter Zeit wurden gehäuft Blackout-Szenarien in der Öffentlichkeit thematisiert. Allerdings gehörten die großen Energieversorger und Netzbetreiber zu den ersten, die mittels Bescheid darüber informiert wurden, dass sie unter das NIS-Gesetz fallen – und viele unter ihnen haben bereits proaktiv gehandelt“, erklärt Veselko. Einige Vorzeigeunternehmen wie der VERBUND haben somit bereits ein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem implementiert – erweitert um die ISO 27019 (Informationssicherheit für Netzbetreiber), um die Anforderungen des NISG möglichst effizient und nachhaltig im Unternehmen zu etablieren.

Nähere Informationen zur Überprüfung nach NISG: https://www.cis-cert.com/produktgruppen/nisgueberpruefung/

Über CIS – Certification & Information Security Services GmbH

Unter dem Leitmotiv „Secure Your Business“ ist CIS als akkreditierter Zertifizierungspartner auf Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren sowie auf Business Continuity Management spezialisiert. CIS ist ein österreichisches Dienstleistungsunternehmen im Bereich der Zertifizierung von Managementsystemen und der Zertifizierung von Personen. Das hohe Ansehen der staatlich anerkannten CIS-Zertifikate im In- und Ausland erweist sich oftmals als deutlicher Vorteil im Wettbewerb – sowie auch als „Türöffner“ in ausländischen Genehmigungsverfahren. Grund dafür ist die Akkreditierung durch das österreichische Wirtschaftsministerium sowie die internationale Akkreditierungsgesellschaft APMG.

https://www.cis-cert.com