11. Jan 2022

Experte Klaus Veselko warnt vor Strafen bis zu 100.000 Euro

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Bereits ab Anfang 2019 informierte der österreichische Staat rund 100 öffentliche und private Organisationen über ihren systemrelevanten Status. Diese Systemrelevanz bedingt, dass sie Sicherheitsvorkehrungen für ihre Netz- und Informationssysteme treffen und darüber alle 3 Jahre Nachweise erbringen müssen. In Österreich ist die staatlich akkreditierte Zertifizierungsinstanz CIS als qualifizierte Stelle für NISG-Prüfungen zugelassen. Laut Geschäftsführer Klaus Veselko haben einige Unternehmen bereits vorbildlich gehandelt, andere lassen sich noch Zeit bei der Umsetzung. „Säumigen Organisationen drohen hohe Strafen. Zudem laufen bereits Verhandlungen, um künftig noch mehr Branchen in die Pflicht zu nehmen“, warnt Veselko.

Das österreichische Netz- und Informationssystemsicherheitsgesetz (NISG) beruht auf der NIS-Richtlinie der EU und wurde bereits Ende 2018 in nationales Recht umgesetzt. Ab Anfang 2019 wurden sukzessive rund 100 Organisationen per Bescheid informiert, dass sie zur kritischen Infrastruktur Österreichs zählen. Sie stammen im Wesentlichen aus den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur. Diese Organisationen wurden nicht nur dazu verpflichtet, Sicherheitsvorfälle zu melden. Sie haben auch Sicherheitsvorkehrungen zu treffen und müssen alle 3 Jahre ab Zustellung des Bescheides durch Überprüfung seitens qualifizierter Stellen Nachweise über diese Präventivmaßnahmen erbringen.

Mindestens 4 bis 5 Monate Vorlaufzeit

„Einige Unternehmen sind in der Umsetzung schon sehr weit, andere Unternehmen haben erheblich später begonnen. Der Aufwand und die Komplexität der Umsetzung werden teilweise deutlich unterschätzt. Dadurch besteht die Gefahr, dass die Nachweise nicht zeitgerecht erbracht werden können“, erklärt Klaus Veselko, Geschäftsführer der staatlich akkreditierten Zertifizierungsstelle CIS - Certification & Information Security Services. „Von der Beauftragung der Auditoren bis zur Ausfertigung des Berichts und der Bestätigung muss man mit rund 4 bis 5 Monaten rechnen. Zudem sind oft noch umfangreiche interne Vorarbeiten in den Unternehmen notwendig“, rechnet Veselko vor. Wie unter Abschnitt 7 des NIS-Gesetzes nachzulesen ist, drohen bei Verfehlungen bis zu 50.000 Euro Strafe, im Wiederholungsfall sogar bis zu 100.000 Euro. „Ich würde nicht empfehlen, die Sache auf die leichte Schulter zu nehmen“, so der Experte.

Im Zuge der Sicherheitsüberprüfungen werden eine Reihe von Security Checks wie etwa Schwachstellen-Scans durchgeführt, die Aufschluss darüber geben, ob Angreifer in ein System eindringen können ohne über die jeweiligen Passwörter oder sonstigen Zugriffsberechtigungen zu verfügen.

Auch Lebensmitteleinzelhandel künftig systemrelevant

Obwohl einige Unternehmen noch mit der Umsetzung des NIS-Gesetzes beschäftigt sind, laufen derzeit bereits Verhandlungen über die Weiterentwicklung des NISG. „Wir gehen aufgrund der aktuellen Entwürfe davon aus, dass ab 2023 oder 2024 neben großen Supermarktketten auch gewisse Produktionsbetriebe unter die NIS-Regelung fallen werden. Die Pandemie hat uns unter anderem vor Augen geführt, wie wichtig eine reibungslose Lebensmittelversorgung auch in Krisenzeiten ist“, erklärt Veselko.

Gerüstet für den Blackout

„In letzter Zeit wurden gehäuft Blackout-Szenarien in der Öffentlichkeit thematisiert. Allerdings gehörten die großen Energieversorger und Netzbetreiber zu den ersten, die mittels Bescheid darüber informiert wurden, dass sie unter das NIS-Gesetz fallen – und viele unter ihnen haben bereits proaktiv gehandelt“, erklärt Veselko. Einige Vorzeigeunternehmen wie der VERBUND haben somit bereits ein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem implementiert – erweitert um die ISO 27019 (Informationssicherheit für Netzbetreiber), um die Anforderungen des NISG möglichst effizient und nachhaltig im Unternehmen zu etablieren.

Nähere Informationen zur Überprüfung nach NISG finden Sie hier.
Wir freuen uns, von Ihnen hören zu dürfen!

Weitere News & Events

Immer topaktuell informiert

30. Nov 2021

Wir machen Sie fit für die Zukunft der Digitalisierung!

Warum wir gerade jetzt Information Security Manager benötigen

Mehr erfahren
25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
24. Nov 2021

TISAX® als Firewall

Prototypen- und Datenschutz in der Automotive Industrie.

Mehr erfahren
24. Nov 2021

IT-Sicherheit in Smart Factories stärken – gewusst, wie!

Von IT und OT

Mehr erfahren
22. Nov 2021

CIS auditiert ab sofort Cyber Trust Austria® Label Gold

Kooperation zur Unterstützung auf Ihrem Weg zum Cyber Trust Austria® Label Gold

Mehr erfahren
08. Nov 2021

Auf das Unerwartete vorbereitet sein

Siemens Digital Grid wurde als erste Einheit in der EU erfolgreich nach ISO 22301 zertifiziert.

Mehr erfahren
08. Okt 2021

Wie sieht IT Security im Spital 2.0 aus?

Cybersicherheit im Gesundheitswesen

Mehr erfahren
09. Sep 2021

Wie man sich mit Künstlicher Intelligenz (KI) vor KI-Bedrohungen schützt

Das war der CIS Compliance Summit 2021

Mehr erfahren
08. Sep 2021

Erfolgsrezept Integriertes Managementsystem

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe

Mehr erfahren
06. Sep 2021

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Was Betreiber wesentlicher Dienste und Dienstleister jetzt zum Netz- und Informationssystemsicherheitsgesetz (NISG) wissen müssen

Mehr erfahren
+43 732 34 23 22