11. Jan 2022

Experte Klaus Veselko warnt vor Strafen bis zu 100.000 Euro

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Bereits ab Anfang 2019 informierte der österreichische Staat rund 100 öffentliche und private Organisationen über ihren systemrelevanten Status. Diese Systemrelevanz bedingt, dass sie Sicherheitsvorkehrungen für ihre Netz- und Informationssysteme treffen und darüber alle 3 Jahre Nachweise erbringen müssen. In Österreich ist die staatlich akkreditierte Zertifizierungsinstanz CIS als qualifizierte Stelle für NISG-Prüfungen zugelassen. Laut Geschäftsführer Klaus Veselko haben einige Unternehmen bereits vorbildlich gehandelt, andere lassen sich noch Zeit bei der Umsetzung. „Säumigen Organisationen drohen hohe Strafen. Zudem laufen bereits Verhandlungen, um künftig noch mehr Branchen in die Pflicht zu nehmen“, warnt Veselko.

Das österreichische Netz- und Informationssystemsicherheitsgesetz (NISG) beruht auf der NIS-Richtlinie der EU und wurde bereits Ende 2018 in nationales Recht umgesetzt. Ab Anfang 2019 wurden sukzessive rund 100 Organisationen per Bescheid informiert, dass sie zur kritischen Infrastruktur Österreichs zählen. Sie stammen im Wesentlichen aus den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur. Diese Organisationen wurden nicht nur dazu verpflichtet, Sicherheitsvorfälle zu melden. Sie haben auch Sicherheitsvorkehrungen zu treffen und müssen alle 3 Jahre ab Zustellung des Bescheides durch Überprüfung seitens qualifizierter Stellen Nachweise über diese Präventivmaßnahmen erbringen.

Mindestens 4 bis 5 Monate Vorlaufzeit

„Einige Unternehmen sind in der Umsetzung schon sehr weit, andere Unternehmen haben erheblich später begonnen. Der Aufwand und die Komplexität der Umsetzung werden teilweise deutlich unterschätzt. Dadurch besteht die Gefahr, dass die Nachweise nicht zeitgerecht erbracht werden können“, erklärt Klaus Veselko, Geschäftsführer der staatlich akkreditierten Zertifizierungsstelle CIS - Certification & Information Security Services. „Von der Beauftragung der Auditoren bis zur Ausfertigung des Berichts und der Bestätigung muss man mit rund 4 bis 5 Monaten rechnen. Zudem sind oft noch umfangreiche interne Vorarbeiten in den Unternehmen notwendig“, rechnet Veselko vor. Wie unter Abschnitt 7 des NIS-Gesetzes nachzulesen ist, drohen bei Verfehlungen bis zu 50.000 Euro Strafe, im Wiederholungsfall sogar bis zu 100.000 Euro. „Ich würde nicht empfehlen, die Sache auf die leichte Schulter zu nehmen“, so der Experte.

Im Zuge der Sicherheitsüberprüfungen werden eine Reihe von Security Checks wie etwa Schwachstellen-Scans durchgeführt, die Aufschluss darüber geben, ob Angreifer in ein System eindringen können ohne über die jeweiligen Passwörter oder sonstigen Zugriffsberechtigungen zu verfügen.

Auch Lebensmitteleinzelhandel künftig systemrelevant

Obwohl einige Unternehmen noch mit der Umsetzung des NIS-Gesetzes beschäftigt sind, laufen derzeit bereits Verhandlungen über die Weiterentwicklung des NISG. „Wir gehen aufgrund der aktuellen Entwürfe davon aus, dass ab 2023 oder 2024 neben großen Supermarktketten auch gewisse Produktionsbetriebe unter die NIS-Regelung fallen werden. Die Pandemie hat uns unter anderem vor Augen geführt, wie wichtig eine reibungslose Lebensmittelversorgung auch in Krisenzeiten ist“, erklärt Veselko.

Gerüstet für den Blackout

„In letzter Zeit wurden gehäuft Blackout-Szenarien in der Öffentlichkeit thematisiert. Allerdings gehörten die großen Energieversorger und Netzbetreiber zu den ersten, die mittels Bescheid darüber informiert wurden, dass sie unter das NIS-Gesetz fallen – und viele unter ihnen haben bereits proaktiv gehandelt“, erklärt Veselko. Einige Vorzeigeunternehmen wie der VERBUND haben somit bereits ein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem implementiert – erweitert um die ISO 27019 (Informationssicherheit für Netzbetreiber), um die Anforderungen des NISG möglichst effizient und nachhaltig im Unternehmen zu etablieren.

Nähere Informationen zur Überprüfung nach NISG finden Sie hier.
Wir freuen uns, von Ihnen hören zu dürfen!

Weitere News & Events

Immer topaktuell informiert

28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
26. Mrz 2024

Verlängerte Einreichfrist: jetzt bis 30. April 2024 anmelden!

Österreichs “CISO of the Year 2024” gesucht

Mehr erfahren
29. Feb 2024

Die Zukunft von KI und Data Ownership

KI und Datenschutz: Neue Unsicherheiten

Mehr erfahren
27. Feb 2024

Verlieren wir durch Künstliche Intelligenz (KI) die Kontrolle über unsere Daten?

Ein Balanceakt zwischen KI, Informationssicherheit und Data Ownership

Mehr erfahren
15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
26. Jan 2024

CISO of the Year: Außergewöhnliche Leistungen, außergewöhnliche Auszeichnung

Sonderpreisträger Lifetime Achievement Award Thomas Schober

Mehr erfahren
24. Jan 2024

CISO of the Year: Erfolgreiche Projekte auf die Bühne

CISO of the Year 2023 Bettina Thurnher

Mehr erfahren
22. Jan 2024

Cyberattacken weltweit Nummer 1 Risiko

Neue Daten im Zuge des „Risk Barometer“ veröffentlicht

Mehr erfahren
+43 1 532 98 90