11. Jan 2022

Experte Klaus Veselko warnt vor Strafen bis zu 100.000 Euro

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Bereits ab Anfang 2019 informierte der österreichische Staat rund 100 öffentliche und private Organisationen über ihren systemrelevanten Status. Diese Systemrelevanz bedingt, dass sie Sicherheitsvorkehrungen für ihre Netz- und Informationssysteme treffen und darüber alle 3 Jahre Nachweise erbringen müssen. In Österreich ist die staatlich akkreditierte Zertifizierungsinstanz CIS als qualifizierte Stelle für NISG-Prüfungen zugelassen. Laut Geschäftsführer Klaus Veselko haben einige Unternehmen bereits vorbildlich gehandelt, andere lassen sich noch Zeit bei der Umsetzung. „Säumigen Organisationen drohen hohe Strafen. Zudem laufen bereits Verhandlungen, um künftig noch mehr Branchen in die Pflicht zu nehmen“, warnt Veselko.

Das österreichische Netz- und Informationssystemsicherheitsgesetz (NISG) beruht auf der NIS-Richtlinie der EU und wurde bereits Ende 2018 in nationales Recht umgesetzt. Ab Anfang 2019 wurden sukzessive rund 100 Organisationen per Bescheid informiert, dass sie zur kritischen Infrastruktur Österreichs zählen. Sie stammen im Wesentlichen aus den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur. Diese Organisationen wurden nicht nur dazu verpflichtet, Sicherheitsvorfälle zu melden. Sie haben auch Sicherheitsvorkehrungen zu treffen und müssen alle 3 Jahre ab Zustellung des Bescheides durch Überprüfung seitens qualifizierter Stellen Nachweise über diese Präventivmaßnahmen erbringen.

Mindestens 4 bis 5 Monate Vorlaufzeit

„Einige Unternehmen sind in der Umsetzung schon sehr weit, andere Unternehmen haben erheblich später begonnen. Der Aufwand und die Komplexität der Umsetzung werden teilweise deutlich unterschätzt. Dadurch besteht die Gefahr, dass die Nachweise nicht zeitgerecht erbracht werden können“, erklärt Klaus Veselko, Geschäftsführer der staatlich akkreditierten Zertifizierungsstelle CIS - Certification & Information Security Services. „Von der Beauftragung der Auditoren bis zur Ausfertigung des Berichts und der Bestätigung muss man mit rund 4 bis 5 Monaten rechnen. Zudem sind oft noch umfangreiche interne Vorarbeiten in den Unternehmen notwendig“, rechnet Veselko vor. Wie unter Abschnitt 7 des NIS-Gesetzes nachzulesen ist, drohen bei Verfehlungen bis zu 50.000 Euro Strafe, im Wiederholungsfall sogar bis zu 100.000 Euro. „Ich würde nicht empfehlen, die Sache auf die leichte Schulter zu nehmen“, so der Experte.

Im Zuge der Sicherheitsüberprüfungen werden eine Reihe von Security Checks wie etwa Schwachstellen-Scans durchgeführt, die Aufschluss darüber geben, ob Angreifer in ein System eindringen können ohne über die jeweiligen Passwörter oder sonstigen Zugriffsberechtigungen zu verfügen.

Auch Lebensmitteleinzelhandel künftig systemrelevant

Obwohl einige Unternehmen noch mit der Umsetzung des NIS-Gesetzes beschäftigt sind, laufen derzeit bereits Verhandlungen über die Weiterentwicklung des NISG. „Wir gehen aufgrund der aktuellen Entwürfe davon aus, dass ab 2023 oder 2024 neben großen Supermarktketten auch gewisse Produktionsbetriebe unter die NIS-Regelung fallen werden. Die Pandemie hat uns unter anderem vor Augen geführt, wie wichtig eine reibungslose Lebensmittelversorgung auch in Krisenzeiten ist“, erklärt Veselko.

Gerüstet für den Blackout

„In letzter Zeit wurden gehäuft Blackout-Szenarien in der Öffentlichkeit thematisiert. Allerdings gehörten die großen Energieversorger und Netzbetreiber zu den ersten, die mittels Bescheid darüber informiert wurden, dass sie unter das NIS-Gesetz fallen – und viele unter ihnen haben bereits proaktiv gehandelt“, erklärt Veselko. Einige Vorzeigeunternehmen wie der VERBUND haben somit bereits ein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem implementiert – erweitert um die ISO 27019 (Informationssicherheit für Netzbetreiber), um die Anforderungen des NISG möglichst effizient und nachhaltig im Unternehmen zu etablieren.

Nähere Informationen zur Überprüfung nach NISG finden Sie hier.
Wir freuen uns, von Ihnen hören zu dürfen!

Weitere News & Events

Immer topaktuell informiert

23. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
20. Sep 2022

Event: CIS Compliance Summit 2022

Security | Privacy | Continuity

Mehr erfahren
30. Nov 2021

Wir machen Sie fit für die Zukunft der Digitalisierung!

Warum wir gerade jetzt Information Security Manager benötigen

Mehr erfahren
25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
+43 732 34 23 22