29. Apr. 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Universitätsklinikum Graz © Kanizaj15

Die gemeinnützige Steiermärkische Krankenanstaltengesellschaft m.b.H. (KAGes) beschäftigt mehr als 18.000 Mitarbeiter*innen und ist damit der größte Gesundheitsdienstleister in der Steiermark. Fünf der 20 KAGes-Spitalsstandorte zählen zu den wesentlichen Diensten laut NIS-Verordnung und unterliegen daher dem NIS-Gesetz. Deshalb muss die IT-Infrastruktur der KAGes die in diesem Gesetz festgelegten Anforderungen erfüllen.

Gute Basis mit ISO 27001 – neue Herausforderung NIS-Gesetz

Schon seit ihrer Zentralisierung der IT vor mehreren Jahrzehnten bekennt sich die KAGes zu größtmöglichem Engagement in den Bereichen Datenschutz und Datensicherheit und hat dazu eine eigene Informationsmanagementstrategie sowie eine Leitlinie zur Informationssicherheit entwickelt und implementiert. Der IT-Bereich des Unternehmens unterzieht sich seit vielen Jahren regelmäßig externen Überprüfungen und ist seit 2018 nach ISO 27001 (Informationssicherheit) zertifiziert, womit bereits ein stabiler Grundstein für die IT-Sicherheit nach dem Netz- und Informationssystemsicherheitsgesetz gelegt wurde. Mit der Durchführung der Audits für die ISO-Zertifizierung war von Beginn an das österreichische Zertifizierungsunternehmen im Bereich Datenschutz, Informationssicherheit, Business Continuity und mehr, die CIS - Certification & Information Security Services GmbH, beauftragt.

Die Ausgangslage für die Unternehmensprüfung nach dem NIS-Gesetz war eine sehr spezielle: Sowohl die Prüfenden als auch die Geprüften durchliefen den Prozess zum ersten Mal und mussten die Erwartungshaltung der NIS-Behörde antizipieren. Da lag es nahe, den bereits mit der KAGes vertrauten Zertifizierungspartner CIS auch mit der NISG-Prüfung zu beauftragen. CIS ist per Bescheid durch das Bundesministerium für Inneres seit 2020 dazu bevollmächtigt, als qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz zu fungieren.

5 Standorte – 22 Prüftage

An 22 Prüftagen mit teilweise zwei parallel durchgeführten Prüfungen fand zwischen Juli und November 2023 schließlich die Prüfung nach dem NISG statt. Zwischenzeitlich standen die Auditoren stets für Fragen zur Verfügung.

„Durch die bisherige erfolgreiche Zusammenarbeit kannten die Auditoren der CIS die komplexe Systemlandschaft in der KAGes bereits und konnten den enormen Umfang der NISG-Prüfung überblicken“, erklärt DI Dr. Helmut Brückler, Leiter des Teams Steuerung IT in der KAGes. „Zudem profitierten wir von ihrem umfassenden Wissen auf dem Gesundheitssektor.“

Gemäß dem Bescheid der Behörde mussten sich die Landeskrankenhäuser (LKH) LKH-Universitätsklinikum Graz, LKH Hochsteiermark mit dem Standort Leoben, LKH Murtal mit den Standorten Judenburg (am Bild) und Knittelfeld sowie LKH Rottenmann-Bad Aussee mit dem Standort Rottenmann der NIS-Prüfung unterziehen.

Besonders intensiv und umfangreich wurde die zentrale IT dieser Prüfung unterzogen, denn alle wesentlichen Applikationen (Krankenhausinformationssystem, Laborsystem etc.) sowie die IT-Infrastruktur (Rechenzentren, Netzwerkinfrastruktur etc.), welche für die Akutversorgung der Patientinnen und Patienten notwendig sind, werden zentral bereitgestellt.

LKH Judenburg © Toni Muhr

Zudem wurden NIS-relevante IKT-Dienste und -Schnittstellen sowie die NIS-relevanten Medizintechnik-Geräte und Haustechniksysteme definiert und sowohl aus technischer als auch aus organisatorischer Sicht überprüft.

Klare Ansatzpunkte für Verbesserungen

Im Zuge der NISG-Prüfung wurde keine einzige seitens des Gesetzgebers beziehungsweise der NIS-Behörde vorgegebene Anforderung als „nicht effektiv“ beurteilt und den handelnden Personen in der KAGes wurde in den überprüften Bereichen ein hohes Maß an Informationssicherheitsbewusstsein attestiert. Entsprechend positiv war die Rückmeldung der Behörde zum Prüfbericht. Aus den Anforderungen, die als „teilweise effektiv“ eingestuft wurden, ergeben sich weitere nützliche Ansatzpunkte für eine Optimierung.

„Die NISG-Prüfung hat zusätzliche Awareness für das Thema IT-Sicherheit geschaffen und gleichzeitig aufgezeigt, in welchen Bereichen wir unsere Anstrengungen noch intensivieren müssen“, betont DI Dr. Helmut Brückler. „Die zusammen mit den Auditoren der CIS herausgearbeiteten Verbesserungsmaßnahmen geben uns eine klare Orientierung, wo wir konkret ansetzen können.“

Über CIS - Certification & Information Security Services GmbH

CIS ist per Bescheid durch das Bundesministerium für Inneres seit 2020 dazu bevollmächtigt, als qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz zu fungieren. Mit der neuen europäischen NIS-2-Richtlinie, die mit 17. Oktober 2024 in Kraft tritt, gelten neue und erhöhte Verantwortungen für Führungskräfte und Risikoverantwortliche und die Verpflichtung, sich im Bereich Cybersicherheit weiterzubilden. CIS unterstützt ganzheitlich und bietet neben NIS-2 Prüfungen (inkl. Compliance-Status und Empfehlungen aus der Praxis) auch eine maßgeschneiderte Führungskräfteschulung und NIS-2 Hacking Labs an.

Sie haben Fragen zum Thema NIS oder wünschen weiterführende Informationen? Kontaktieren Sie uns – die Expertinnen und Experten der CIS stehen Ihnen bei Rückfragen jederzeit zur Verfügung!

Schon gewusst? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Arbeit und Wirtschaft (BMAW) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS-2-Prüfungen am heimischen Markt durchführen können.

Hier kommen Sie zu unserem Trainingsangebot rund um das Thema NIS-2!

Weitere News & Events

Immer topaktuell informiert

16. Jan. 2025

CISO of the Year: Inspiration von den Besten holen

Wertvolle Tipps für Ihre Einreichung

Mehr erfahren
09. Jan. 2025

CISO of the Year: Strategisch Sicherheit von morgen schaffen

Insights vom Gewinner

Mehr erfahren
23. Dez. 2024

ISO 27001: Aufwand, Nutzen und Erfolgsfaktoren

Erfolgreicher Aufbau eines Informationssicherheitsmanagements

Mehr erfahren
11. Dez. 2024

Neue Zertifizierung für grüne Rechenzentren auf dem Markt

Österreichisches Umweltzeichen UZ 80

Mehr erfahren
28. Nov. 2024

ISO 27001: Vorteile der Zertifizierung für Ihr Unternehmen

Insights zertifizierter Unternehmen

Mehr erfahren
11. Nov. 2024

6 Schritte zur erfolgreichen ISO 42001 Implementierung

Die Einführung der ISO 42001 erfordert einen strukturierten Ansatz, sorgfältige Planung und Struktur.

Mehr erfahren
06. Nov. 2024

6 Vorteile einer ISO 42001 Zertifizierung

Standards für die verantwortungsvolle und effektive Nutzung von Künstlicher Intelligenz

Mehr erfahren
04. Nov. 2024

ISO 27001 erhöht Informations­sicherheit bei 81 % der zertifizierten Unternehmen

Umfrage

Mehr erfahren
22. Okt. 2024

CIS verleiht erstes ISO 42001 Zertifikat für österreichisches Unternehmen

neue Maßstäbe für die sichere und transparente Entwicklung von KI

Mehr erfahren
16. Sep. 2025

Event:CIS Compliance Summit 2025

Security | Privacy | Continuity

Mehr erfahren
14. Okt. 2024

„CISO of the Year“ kürt zwei Innovatoren, die das Cyber-Leben sicherer und einfacher machen

Einer der Höhepunkte am CIS Compliance Summit war auch in diesem Jahr die Auszeichnung

Mehr erfahren
11. Okt. 2024

KI-Ethik sichert im Schulter­schluss mit Richtlinien die Infrastruktur

Das war der CIS Compliance Summit 2024 für Entscheidungsträger

Mehr erfahren
+43 1 532 98 90