Success Story am Beispiel der KAGes.m.b.H.
Erfolgreiche erste Prüfung nach dem Netz- und Informationssystemsicherheitsgesetz (NIS-Gesetz)
Universitätsklinikum Graz © Kanizaj15
Die gemeinnützige Steiermärkische Krankenanstaltengesellschaft m.b.H. (KAGes) beschäftigt mehr als 18.000 Mitarbeiter*innen und ist damit der größte Gesundheitsdienstleister in der Steiermark. Fünf der 20 KAGes-Spitalsstandorte zählen zu den wesentlichen Diensten laut NIS-Verordnung und unterliegen daher dem NIS-Gesetz. Deshalb muss die IT-Infrastruktur der KAGes die in diesem Gesetz festgelegten Anforderungen erfüllen.
Gute Basis mit ISO 27001 – neue Herausforderung NIS-Gesetz
Schon seit ihrer Zentralisierung der IT vor mehreren Jahrzehnten bekennt sich die KAGes zu größtmöglichem Engagement in den Bereichen Datenschutz und Datensicherheit und hat dazu eine eigene Informationsmanagementstrategie sowie eine Leitlinie zur Informationssicherheit entwickelt und implementiert. Der IT-Bereich des Unternehmens unterzieht sich seit vielen Jahren regelmäßig externen Überprüfungen und ist seit 2018 nach ISO 27001 (Informationssicherheit) zertifiziert, womit bereits ein stabiler Grundstein für die IT-Sicherheit nach dem Netz- und Informationssystemsicherheitsgesetz gelegt wurde. Mit der Durchführung der Audits für die ISO-Zertifizierung war von Beginn an das österreichische Zertifizierungsunternehmen im Bereich Datenschutz, Informationssicherheit, Business Continuity und mehr, die CIS - Certification & Information Security Services GmbH, beauftragt.
Die Ausgangslage für die Unternehmensprüfung nach dem NIS-Gesetz war eine sehr spezielle: Sowohl die Prüfenden als auch die Geprüften durchliefen den Prozess zum ersten Mal und mussten die Erwartungshaltung der NIS-Behörde antizipieren. Da lag es nahe, den bereits mit der KAGes vertrauten Zertifizierungspartner CIS auch mit der NISG-Prüfung zu beauftragen. CIS ist per Bescheid durch das Bundesministerium für Inneres seit 2020 dazu bevollmächtigt, als qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz zu fungieren.
5 Standorte – 22 Prüftage
An 22 Prüftagen mit teilweise zwei parallel durchgeführten Prüfungen fand zwischen Juli und November 2023 schließlich die Prüfung nach dem NISG statt. Zwischenzeitlich standen die Auditoren stets für Fragen zur Verfügung.
„Durch die bisherige erfolgreiche Zusammenarbeit kannten die Auditoren der CIS die komplexe Systemlandschaft in der KAGes bereits und konnten den enormen Umfang der NISG-Prüfung überblicken“, erklärt DI Dr. Helmut Brückler, Leiter des Teams Steuerung IT in der KAGes. „Zudem profitierten wir von ihrem umfassenden Wissen auf dem Gesundheitssektor.“
Gemäß dem Bescheid der Behörde mussten sich die Landeskrankenhäuser (LKH) LKH-Universitätsklinikum Graz, LKH Hochsteiermark mit dem Standort Leoben, LKH Murtal mit den Standorten Judenburg (am Bild) und Knittelfeld sowie LKH Rottenmann-Bad Aussee mit dem Standort Rottenmann der NIS-Prüfung unterziehen.
Besonders intensiv und umfangreich wurde die zentrale IT dieser Prüfung unterzogen, denn alle wesentlichen Applikationen (Krankenhausinformationssystem, Laborsystem etc.) sowie die IT-Infrastruktur (Rechenzentren, Netzwerkinfrastruktur etc.), welche für die Akutversorgung der Patientinnen und Patienten notwendig sind, werden zentral bereitgestellt.
LKH Judenburg © Toni Muhr
Zudem wurden NIS-relevante IKT-Dienste und -Schnittstellen sowie die NIS-relevanten Medizintechnik-Geräte und Haustechniksysteme definiert und sowohl aus technischer als auch aus organisatorischer Sicht überprüft.
Klare Ansatzpunkte für Verbesserungen
Im Zuge der NISG-Prüfung wurde keine einzige seitens des Gesetzgebers beziehungsweise der NIS-Behörde vorgegebene Anforderung als „nicht effektiv“ beurteilt und den handelnden Personen in der KAGes wurde in den überprüften Bereichen ein hohes Maß an Informationssicherheitsbewusstsein attestiert. Entsprechend positiv war die Rückmeldung der Behörde zum Prüfbericht. Aus den Anforderungen, die als „teilweise effektiv“ eingestuft wurden, ergeben sich weitere nützliche Ansatzpunkte für eine Optimierung.
„Die NISG-Prüfung hat zusätzliche Awareness für das Thema IT-Sicherheit geschaffen und gleichzeitig aufgezeigt, in welchen Bereichen wir unsere Anstrengungen noch intensivieren müssen“, betont DI Dr. Helmut Brückler. „Die zusammen mit den Auditoren der CIS herausgearbeiteten Verbesserungsmaßnahmen geben uns eine klare Orientierung, wo wir konkret ansetzen können.“
Über CIS - Certification & Information Security Services GmbH
CIS ist per Bescheid durch das Bundesministerium für Inneres seit 2020 dazu bevollmächtigt, als qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz zu fungieren. Mit der neuen europäischen NIS-2-Richtlinie, die mit 17. Oktober 2024 in Kraft tritt, gelten neue und erhöhte Verantwortungen für Führungskräfte und Risikoverantwortliche und die Verpflichtung, sich im Bereich Cybersicherheit weiterzubilden. CIS unterstützt ganzheitlich und bietet neben NIS-2 Prüfungen (inkl. Compliance-Status und Empfehlungen aus der Praxis) auch eine maßgeschneiderte Führungskräfteschulung und NIS-2 Hacking Labs an.
Sie haben Fragen zum Thema NIS oder wünschen weiterführende Informationen? Kontaktieren Sie uns – die Expertinnen und Experten der CIS stehen Ihnen bei Rückfragen jederzeit zur Verfügung!
Schon gewusst? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Arbeit und Wirtschaft (BMAW) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS-2-Prüfungen am heimischen Markt durchführen können.
Hier kommen Sie zu unserem Trainingsangebot rund um das Thema NIS-2!