29. Apr 2024

Success Story am Beispiel der KAGes.m.b.H.

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Universitätsklinikum Graz © Kanizaj15

Die gemeinnützige Steiermärkische Krankenanstaltengesellschaft m.b.H. (KAGes) beschäftigt mehr als 18.000 Mitarbeiter*innen und ist damit der größte Gesundheitsdienstleister in der Steiermark. Fünf der 20 KAGes-Spitalsstandorte zählen zu den wesentlichen Diensten laut NIS-Verordnung und unterliegen daher dem NIS-Gesetz. Deshalb muss die IT-Infrastruktur der KAGes die in diesem Gesetz festgelegten Anforderungen erfüllen.

Gute Basis mit ISO 27001 – neue Herausforderung NIS-Gesetz

Schon seit ihrer Zentralisierung der IT vor mehreren Jahrzehnten bekennt sich die KAGes zu größtmöglichem Engagement in den Bereichen Datenschutz und Datensicherheit und hat dazu eine eigene Informationsmanagementstrategie sowie eine Leitlinie zur Informationssicherheit entwickelt und implementiert. Der IT-Bereich des Unternehmens unterzieht sich seit vielen Jahren regelmäßig externen Überprüfungen und ist seit 2018 nach ISO 27001 (Informationssicherheit) zertifiziert, womit bereits ein stabiler Grundstein für die IT-Sicherheit nach dem Netz- und Informationssystemsicherheitsgesetz gelegt wurde. Mit der Durchführung der Audits für die ISO-Zertifizierung war von Beginn an das österreichische Zertifizierungsunternehmen im Bereich Datenschutz, Informationssicherheit, Business Continuity und mehr, die CIS - Certification & Information Security Services GmbH, beauftragt.

Die Ausgangslage für die Unternehmensprüfung nach dem NIS-Gesetz war eine sehr spezielle: Sowohl die Prüfenden als auch die Geprüften durchliefen den Prozess zum ersten Mal und mussten die Erwartungshaltung der NIS-Behörde antizipieren. Da lag es nahe, den bereits mit der KAGes vertrauten Zertifizierungspartner CIS auch mit der NISG-Prüfung zu beauftragen. CIS ist per Bescheid durch das Bundesministerium für Inneres seit 2020 dazu bevollmächtigt, als qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz zu fungieren.

5 Standorte – 22 Prüftage

An 22 Prüftagen mit teilweise zwei parallel durchgeführten Prüfungen fand zwischen Juli und November 2023 schließlich die Prüfung nach dem NISG statt. Zwischenzeitlich standen die Auditoren stets für Fragen zur Verfügung.

„Durch die bisherige erfolgreiche Zusammenarbeit kannten die Auditoren der CIS die komplexe Systemlandschaft in der KAGes bereits und konnten den enormen Umfang der NISG-Prüfung überblicken“, erklärt DI Dr. Helmut Brückler, Leiter des Teams Steuerung IT in der KAGes. „Zudem profitierten wir von ihrem umfassenden Wissen auf dem Gesundheitssektor.“

Gemäß dem Bescheid der Behörde mussten sich die Landeskrankenhäuser (LKH) LKH-Universitätsklinikum Graz, LKH Hochsteiermark mit dem Standort Leoben, LKH Murtal mit den Standorten Judenburg (am Bild) und Knittelfeld sowie LKH Rottenmann-Bad Aussee mit dem Standort Rottenmann der NIS-Prüfung unterziehen.

Besonders intensiv und umfangreich wurde die zentrale IT dieser Prüfung unterzogen, denn alle wesentlichen Applikationen (Krankenhausinformationssystem, Laborsystem etc.) sowie die IT-Infrastruktur (Rechenzentren, Netzwerkinfrastruktur etc.), welche für die Akutversorgung der Patientinnen und Patienten notwendig sind, werden zentral bereitgestellt.

LKH Judenburg © Toni Muhr

Zudem wurden NIS-relevante IKT-Dienste und -Schnittstellen sowie die NIS-relevanten Medizintechnik-Geräte und Haustechniksysteme definiert und sowohl aus technischer als auch aus organisatorischer Sicht überprüft.

Klare Ansatzpunkte für Verbesserungen

Im Zuge der NISG-Prüfung wurde keine einzige seitens des Gesetzgebers beziehungsweise der NIS-Behörde vorgegebene Anforderung als „nicht effektiv“ beurteilt und den handelnden Personen in der KAGes wurde in den überprüften Bereichen ein hohes Maß an Informationssicherheitsbewusstsein attestiert. Entsprechend positiv war die Rückmeldung der Behörde zum Prüfbericht. Aus den Anforderungen, die als „teilweise effektiv“ eingestuft wurden, ergeben sich weitere nützliche Ansatzpunkte für eine Optimierung.

„Die NISG-Prüfung hat zusätzliche Awareness für das Thema IT-Sicherheit geschaffen und gleichzeitig aufgezeigt, in welchen Bereichen wir unsere Anstrengungen noch intensivieren müssen“, betont DI Dr. Helmut Brückler. „Die zusammen mit den Auditoren der CIS herausgearbeiteten Verbesserungsmaßnahmen geben uns eine klare Orientierung, wo wir konkret ansetzen können.“

Über CIS - Certification & Information Security Services GmbH

CIS ist per Bescheid durch das Bundesministerium für Inneres seit 2020 dazu bevollmächtigt, als qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz zu fungieren. Mit der neuen europäischen NIS-2-Richtlinie, die mit 17. Oktober 2024 in Kraft tritt, gelten neue und erhöhte Verantwortungen für Führungskräfte und Risikoverantwortliche und die Verpflichtung, sich im Bereich Cybersicherheit weiterzubilden. CIS unterstützt ganzheitlich und bietet neben NIS-2 Prüfungen (inkl. Compliance-Status und Empfehlungen aus der Praxis) auch eine maßgeschneiderte Führungskräfteschulung und NIS-2 Hacking Labs an.

Sie haben Fragen zum Thema NIS oder wünschen weiterführende Informationen? Kontaktieren Sie uns – die Expertinnen und Experten der CIS stehen Ihnen bei Rückfragen jederzeit zur Verfügung!

Schon gewusst? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Arbeit und Wirtschaft (BMAW) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS-2-Prüfungen am heimischen Markt durchführen können.

Hier kommen Sie zu unserem Trainingsangebot rund um das Thema NIS-2!

Weitere News & Events

Immer topaktuell informiert

22. Mai 2024

Geschützt: Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager* ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
26. Mrz 2024

Verlängerte Einreichfrist: jetzt bis 30. April 2024 anmelden!

Österreichs “CISO of the Year 2024” gesucht

Mehr erfahren
29. Feb 2024

Die Zukunft von KI und Data Ownership

KI und Datenschutz: Neue Unsicherheiten

Mehr erfahren
+43 1 532 98 90