NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung
Bereits ab Anfang 2019 informierte der österreichische Staat rund 100 öffentliche und private Organisationen über ihren systemrelevanten Status. Diese Systemrelevanz bedingt, dass sie Sicherheitsvorkehrungen für ihre Netz- und Informationssysteme treffen und darüber alle 3 Jahre Nachweise erbringen müssen. In Österreich ist die staatlich akkreditierte Zertifizierungsinstanz CIS als qualifizierte Stelle für NISG-Prüfungen zugelassen. Laut Geschäftsführer Klaus Veselko haben einige Unternehmen bereits vorbildlich gehandelt, andere lassen sich noch Zeit bei der Umsetzung. „Säumigen Organisationen drohen hohe Strafen. Zudem laufen bereits Verhandlungen, um künftig noch mehr Branchen in die Pflicht zu nehmen“, warnt Veselko.
Das österreichische Netz- und Informationssystemsicherheitsgesetz (NISG) beruht auf der NIS-Richtlinie der EU und wurde bereits Ende 2018 in nationales Recht umgesetzt. Ab Anfang 2019 wurden sukzessive rund 100 Organisationen per Bescheid informiert, dass sie zur kritischen Infrastruktur Österreichs zählen. Sie stammen im Wesentlichen aus den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur. Diese Organisationen wurden nicht nur dazu verpflichtet, Sicherheitsvorfälle zu melden. Sie haben auch Sicherheitsvorkehrungen zu treffen und müssen alle 3 Jahre ab Zustellung des Bescheides durch Überprüfung seitens qualifizierter Stellen Nachweise über diese Präventivmaßnahmen erbringen.
Mindestens 4 bis 5 Monate Vorlaufzeit
„Einige Unternehmen sind in der Umsetzung schon sehr weit, andere Unternehmen haben erheblich später begonnen. Der Aufwand und die Komplexität der Umsetzung werden teilweise deutlich unterschätzt. Dadurch besteht die Gefahr, dass die Nachweise nicht zeitgerecht erbracht werden können“, erklärt Klaus Veselko, Geschäftsführer der staatlich akkreditierten Zertifizierungsstelle CIS - Certification & Information Security Services. „Von der Beauftragung der Auditoren bis zur Ausfertigung des Berichts und der Bestätigung muss man mit rund 4 bis 5 Monaten rechnen. Zudem sind oft noch umfangreiche interne Vorarbeiten in den Unternehmen notwendig“, rechnet Veselko vor. Wie unter Abschnitt 7 des NIS-Gesetzes nachzulesen ist, drohen bei Verfehlungen bis zu 50.000 Euro Strafe, im Wiederholungsfall sogar bis zu 100.000 Euro. „Ich würde nicht empfehlen, die Sache auf die leichte Schulter zu nehmen“, so der Experte.
Im Zuge der Sicherheitsüberprüfungen werden eine Reihe von Security Checks wie etwa Schwachstellen-Scans durchgeführt, die Aufschluss darüber geben, ob Angreifer in ein System eindringen können ohne über die jeweiligen Passwörter oder sonstigen Zugriffsberechtigungen zu verfügen.
Auch Lebensmitteleinzelhandel künftig systemrelevant
Obwohl einige Unternehmen noch mit der Umsetzung des NIS-Gesetzes beschäftigt sind, laufen derzeit bereits Verhandlungen über die Weiterentwicklung des NISG. „Wir gehen aufgrund der aktuellen Entwürfe davon aus, dass ab 2023 oder 2024 neben großen Supermarktketten auch gewisse Produktionsbetriebe unter die NIS-Regelung fallen werden. Die Pandemie hat uns unter anderem vor Augen geführt, wie wichtig eine reibungslose Lebensmittelversorgung auch in Krisenzeiten ist“, erklärt Veselko.
Gerüstet für den Blackout
„In letzter Zeit wurden gehäuft Blackout-Szenarien in der Öffentlichkeit thematisiert. Allerdings gehörten die großen Energieversorger und Netzbetreiber zu den ersten, die mittels Bescheid darüber informiert wurden, dass sie unter das NIS-Gesetz fallen – und viele unter ihnen haben bereits proaktiv gehandelt“, erklärt Veselko. Einige Vorzeigeunternehmen wie der VERBUND haben somit bereits ein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem implementiert – erweitert um die ISO 27019 (Informationssicherheit für Netzbetreiber), um die Anforderungen des NISG möglichst effizient und nachhaltig im Unternehmen zu etablieren.
Nähere Informationen zur Überprüfung nach NISG finden Sie hier.
Wir freuen uns, von Ihnen hören zu dürfen!