Was Betreiber wesentlicher Dienste und Dienstleister jetzt wissen müssen
NISG und NISV: Nachweis der Erfüllung von Sicherheitsvorkehrungen
Der per Bescheid festgelegte Betreiber eines wesentlichen Dienstes (BwD) wird durch das Netz- und Informationssystemsicherheitsgesetz (NISG) verpflichtet, alle 3 Jahre die Erfüllung der Sicherheitsvorkehrungen gemäß Netz- und Informationssystemsicherheitsverordnung (NISV) nachzuweisen.
Der Bescheid benennt dabei den wesentlichen Dienst entsprechend der Definitionen in der NISV. Es verbleibt die Aufgabe des Unternehmens, eine organisatorische und technische Abgrenzung (den sogenannten Anwendungsbereich) des wesentlichen Dienstes im betroffenen Unternehmen durchzuführen. Diese Abgrenzung ist jedoch entscheidend, denn nur für technische Systeme und Organisationen, die dem wesentlichen Dienst zuzuordnen sind, ist ein Nachweis der Erfüllung der Sicherheitsvorkehrungen gegenüber dem Gesetzgeber notwendig. Was müssen Sie darüberhinaus wissen? Robert Jamnik, Head of Audit Services, Lead Auditor ISO 20000, ISO 27001 und NISV-Überprüfungen der CIS, hat einige Antworten!
Identifizierung relevanter Dienstleister
Die komplexen Systeme, Abhängigkeiten und Schnittstellen eines wesentlichen Dienstes können die Festlegung des Anwendungsbereichs zu einer herausfordernden Aufgabe machen. Ein nicht zu unterschätzender Aspekt dabei ist die Identifizierung aller relevanten Dienstleister, die für den sicheren Betrieb der Netz- und Informationssysteme des wesentlichen Dienstes relevant sind. Dabei sollte jedenfalls die Frage geklärt werden, ob der Betrieb von Teilaspekten des wesentlichen Dienstes an Dienstleister ausgelagert sind bzw. ob die Betriebsverantwortung für den wesentlichen Dienst ganz oder teilweise bei einem Dienstleister liegt. In diesem Fall fällt der Dienstleister mit seiner erbrachten Dienstleistung in den Anwendungsbereich des NISG. Der Betreiber eines wesentlichen Dienstes muss daher auch die Erfüllung der Sicherheitsvorkehrungen nach der NISV des Dienstleisters nachweisen. Die Verantwortung gegenüber der Behörde bleibt beim Betreiber des wesentlichen Dienstes und kann nicht „ausgelagert“ werden.
Für die Durchführung der Prüfung zum Nachweis der Umsetzung der Sicherheitsvorkehrungen durch eine Qualifizierte Stelle ergibt sich dadurch die Notwendigkeit auch alle Dienstleister mit Betriebsverantwortung explizit zu prüfen. Welche Sicherheitsmaßnahmen konkret zu prüfen sind, hängt von der Art und dem Umfang der Betriebsverantwortung für den wesentlichen Dienst ab und ist im Zuge der Vorbereitung zur Prüfung zu klären. Für Dienstleister die keine Betriebsverantwortung haben, werden im Zuge einer Prüfung durch die Qualifizierte Stelle die Maßnahmen zur Steuerung des Dienstleisters durch den Betreiber des wesentlichen Dienstes geprüft.
CIS ist qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz
Zum Schutz kritischer Infrastruktur in Bereichen wie Energie, Verkehr oder Finanzen trat im Juli 2019 das NIS-Gesetz für Netz- und Informationssystemsicherheit (NISG) als nationale Umsetzung der EU-NIS-Richtlinie in Kraft.
Per Bescheid durch das Bundesministerium für Inneres wurde die Zertifizierungsorganisation CIS im Februar 2020 bevollmächtigt, als qualifizierte Stelle für NISG-Überprüfungen zu fungieren.
Sie möchten mehr erfahren?
Dann kontaktieren Sie uns hier. Wir freuen uns auf Ihre Anfragen und stehen Ihnen bei konkreten Fragen sehr gerne jederzeit zur Verfügung!
Hier finden Sie unsere Produktgruppe "Überprüfung nach NISG"
Unternehmen, die bisher schon ein zertifiziertes Managementsystem nach ISO 27001 auf hohem Niveau betrieben haben, können mit relativ geringem Aufwand NISG-konform gemacht werden. Beide Regelwerke können in einem Kombi-Audit effizient geprüft werden.