06. Sep 2021

Was Betreiber wesentlicher Dienste und Dienstleister jetzt wissen müssen

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Der per Bescheid festgelegte Betreiber eines wesentlichen Dienstes (BwD) wird durch das Netz- und Informationssystemsicherheitsgesetz (NISG) verpflichtet, alle 3 Jahre die Erfüllung der Sicherheitsvorkehrungen gemäß Netz- und Informationssystemsicherheitsverordnung (NISV) nachzuweisen.

 

Der Bescheid benennt dabei den wesentlichen Dienst entsprechend der Definitionen in der NISV. Es verbleibt die Aufgabe des Unternehmens, eine organisatorische und technische Abgrenzung (den sogenannten Anwendungsbereich) des wesentlichen Dienstes im betroffenen Unternehmen durchzuführen. Diese Abgrenzung ist jedoch entscheidend, denn nur für technische Systeme und Organisationen, die dem wesentlichen Dienst zuzuordnen sind, ist ein Nachweis der Erfüllung der Sicherheitsvorkehrungen gegenüber dem Gesetzgeber notwendig. Was müssen Sie darüberhinaus wissen? Robert Jamnik, Head of Audit Services, Lead Auditor ISO 20000, ISO 27001 und NISV-Überprüfungen der CIS, hat einige Antworten!

 

Identifizierung relevanter Dienstleister

Die komplexen Systeme, Abhängigkeiten und Schnittstellen eines wesentlichen Dienstes können die Festlegung des Anwendungsbereichs zu einer herausfordernden Aufgabe machen. Ein nicht zu unterschätzender Aspekt dabei ist die Identifizierung aller relevanten Dienstleister, die für den sicheren Betrieb der Netz- und Informationssysteme des wesentlichen Dienstes relevant sind. Dabei sollte jedenfalls die Frage geklärt werden, ob der Betrieb von Teilaspekten des wesentlichen Dienstes an Dienstleister ausgelagert sind bzw. ob die Betriebsverantwortung für den wesentlichen Dienst ganz oder teilweise bei einem Dienstleister liegt. In diesem Fall fällt der Dienstleister mit seiner erbrachten Dienstleistung in den Anwendungsbereich des NISG. Der Betreiber eines wesentlichen Dienstes muss daher auch die Erfüllung der Sicherheitsvorkehrungen nach der NISV des Dienstleisters nachweisen. Die Verantwortung gegenüber der Behörde bleibt beim Betreiber des wesentlichen Dienstes und kann nicht „ausgelagert“ werden.

Für die Durchführung der Prüfung zum Nachweis der Umsetzung der Sicherheitsvorkehrungen durch eine Qualifizierte Stelle ergibt sich dadurch die Notwendigkeit auch alle Dienstleister mit Betriebsverantwortung explizit zu prüfen. Welche Sicherheitsmaßnahmen konkret zu prüfen sind, hängt von der Art und dem Umfang der Betriebsverantwortung für den wesentlichen Dienst ab und ist im Zuge der Vorbereitung zur Prüfung zu klären. Für Dienstleister die keine Betriebsverantwortung haben, werden im Zuge einer Prüfung durch die Qualifizierte Stelle die Maßnahmen zur Steuerung des Dienstleisters durch den Betreiber des wesentlichen Dienstes geprüft.

CIS ist qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz

Zum Schutz kritischer Infrastruktur in Bereichen wie Energie, Verkehr oder Finanzen trat im Juli 2019 das NIS-Gesetz für Netz- und Informationssystemsicherheit (NISG) als nationale Umsetzung der EU-NIS-Richtlinie in Kraft.

Per Bescheid durch das Bundesministerium für Inneres wurde die Zertifizierungsorganisation CIS im Februar 2020 bevollmächtigt, als qualifizierte Stelle für NISG-Überprüfungen zu fungieren.

Sie möchten mehr erfahren?

Dann kontaktieren Sie uns hier. Wir freuen uns auf Ihre Anfragen und stehen Ihnen bei konkreten Fragen sehr gerne jederzeit zur Verfügung!

Hier finden Sie unsere Produktgruppe "Überprüfung nach NISG"

Unternehmen, die bisher schon ein zertifiziertes Managementsystem nach ISO 27001 auf hohem Niveau betrieben haben, können mit relativ geringem Aufwand NISG-konform gemacht werden. Beide Regelwerke können in einem Kombi-Audit effizient geprüft werden.

Weitere News & Events

Immer topaktuell informiert

17. Mai 2023

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Lassen Sie sich hacken!

Ethical Hacking als Trend in der Security Branche

Mehr erfahren
10. Mai 2023

Top-Secret-Strategien für mehr Informations­sicherheit

Mit ungewöhnlichen Maßnahmen Mitarbeitende sensibilisieren

Mehr erfahren
03. Mai 2023

Wie Sie Ihr Unternehmen vor Daten­missbrauch schützen

Ein effektives Managementsystem kann helfen, die Informationen und Daten des Unternehmens zu schützen und vor Cyber-Attacken zu sichern.

Mehr erfahren
11. Apr 2023

8 Tipps für mehr Security in der „New Work“ Arbeitswelt

Hier ein paar Tipps und Tricks für mehr Sicherheit in der „New Work“ Umgebung.

Mehr erfahren
03. Apr 2023

New Work – Provokation nutzen und Potenzial leben

Neue Wege in der Sicherheit sind gefragt, um eine sichere Arbeitsumgebung zu schaffen.

Mehr erfahren
14. Mrz 2023

Einreichfrist ver­längert: Österreichs beste und bester Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 21. April 2023 möglich

Mehr erfahren
01. Mrz 2023

ISO 27001 trifft Cyber Trust Austria® Label: Das i-Tüpfelchen der Security

Success Story am Beispiel von ACP

Mehr erfahren
07. Feb 2023

Sicherheits­maßnahmen für Unternehmen am Safer Internet Day

Ein sicheres Netz geht uns alle etwas an - inwiefern können auch Unternehmen und Organisationen zu einem sicheren Internet beitragen?

Mehr erfahren
31. Jan 2023

Wachsende Angriffsfläche durch Digitalisierungsschub

30. Jan 2023

Harald Erkinger ist neuer Geschäftsführer der CIS

Erfahrener IT- und Cybersicherheits-Experte neuer CEO

Mehr erfahren
05. Dez 2022

NIS 2.0 – was kommt auf uns zu?

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

+43 732 34 23 22