06. Sep 2021

Was Betreiber wesentlicher Dienste und Dienstleister jetzt wissen müssen

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Der per Bescheid festgelegte Betreiber eines wesentlichen Dienstes (BwD) wird durch das Netz- und Informationssystemsicherheitsgesetz (NISG) verpflichtet, alle 3 Jahre die Erfüllung der Sicherheitsvorkehrungen gemäß Netz- und Informationssystemsicherheitsverordnung (NISV) nachzuweisen.

 

Der Bescheid benennt dabei den wesentlichen Dienst entsprechend der Definitionen in der NISV. Es verbleibt die Aufgabe des Unternehmens, eine organisatorische und technische Abgrenzung (den sogenannten Anwendungsbereich) des wesentlichen Dienstes im betroffenen Unternehmen durchzuführen. Diese Abgrenzung ist jedoch entscheidend, denn nur für technische Systeme und Organisationen, die dem wesentlichen Dienst zuzuordnen sind, ist ein Nachweis der Erfüllung der Sicherheitsvorkehrungen gegenüber dem Gesetzgeber notwendig. Was müssen Sie darüberhinaus wissen? Robert Jamnik, Head of Audit Services, Lead Auditor ISO 20000, ISO 27001 und NISV-Überprüfungen der CIS, hat einige Antworten!

 

Identifizierung relevanter Dienstleister

Die komplexen Systeme, Abhängigkeiten und Schnittstellen eines wesentlichen Dienstes können die Festlegung des Anwendungsbereichs zu einer herausfordernden Aufgabe machen. Ein nicht zu unterschätzender Aspekt dabei ist die Identifizierung aller relevanten Dienstleister, die für den sicheren Betrieb der Netz- und Informationssysteme des wesentlichen Dienstes relevant sind. Dabei sollte jedenfalls die Frage geklärt werden, ob der Betrieb von Teilaspekten des wesentlichen Dienstes an Dienstleister ausgelagert sind bzw. ob die Betriebsverantwortung für den wesentlichen Dienst ganz oder teilweise bei einem Dienstleister liegt. In diesem Fall fällt der Dienstleister mit seiner erbrachten Dienstleistung in den Anwendungsbereich des NISG. Der Betreiber eines wesentlichen Dienstes muss daher auch die Erfüllung der Sicherheitsvorkehrungen nach der NISV des Dienstleisters nachweisen. Die Verantwortung gegenüber der Behörde bleibt beim Betreiber des wesentlichen Dienstes und kann nicht „ausgelagert“ werden.

Für die Durchführung der Prüfung zum Nachweis der Umsetzung der Sicherheitsvorkehrungen durch eine Qualifizierte Stelle ergibt sich dadurch die Notwendigkeit auch alle Dienstleister mit Betriebsverantwortung explizit zu prüfen. Welche Sicherheitsmaßnahmen konkret zu prüfen sind, hängt von der Art und dem Umfang der Betriebsverantwortung für den wesentlichen Dienst ab und ist im Zuge der Vorbereitung zur Prüfung zu klären. Für Dienstleister die keine Betriebsverantwortung haben, werden im Zuge einer Prüfung durch die Qualifizierte Stelle die Maßnahmen zur Steuerung des Dienstleisters durch den Betreiber des wesentlichen Dienstes geprüft.

CIS ist qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz

Zum Schutz kritischer Infrastruktur in Bereichen wie Energie, Verkehr oder Finanzen trat im Juli 2019 das NIS-Gesetz für Netz- und Informationssystemsicherheit (NISG) als nationale Umsetzung der EU-NIS-Richtlinie in Kraft.

Per Bescheid durch das Bundesministerium für Inneres wurde die Zertifizierungsorganisation CIS im Februar 2020 bevollmächtigt, als qualifizierte Stelle für NISG-Überprüfungen zu fungieren.

Sie möchten mehr erfahren?

Dann kontaktieren Sie uns hier. Wir freuen uns auf Ihre Anfragen und stehen Ihnen bei konkreten Fragen sehr gerne jederzeit zur Verfügung!

Hier finden Sie unsere Produktgruppe "Überprüfung nach NISG"

Unternehmen, die bisher schon ein zertifiziertes Managementsystem nach ISO 27001 auf hohem Niveau betrieben haben, können mit relativ geringem Aufwand NISG-konform gemacht werden. Beide Regelwerke können in einem Kombi-Audit effizient geprüft werden.

Weitere News & Events

Immer topaktuell informiert

13. Nov 2023

TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

Wesentliche Neuerungen für Automobil-Industrie

Mehr erfahren
07. Nov 2023

Breaking News zur EN 50600 – Design für Rechenzentren

Vervollständigter Ausgabebestand 2

Mehr erfahren
06. Nov 2023

Neuerungen in puncto ISO 27001

Was kommt, was geht, was gilt?

Mehr erfahren
06. Nov 2023

EN 50600 – das 1×1 der Norm

Ihre Fragen – unsere Antworten

Mehr erfahren
10. Okt 2024

Event: CIS Compliance Summit 2024

Security | Privacy | Continuity

Mehr erfahren
25. Sep 2023

Auszeichnung „CISO of the Year“ zum zweiten Mal verliehen

Die besten Chief Information Security Officer

Mehr erfahren
22. Sep 2023

Neuer Trainingsfolder der CIS veröffentlicht

Zahlreiche Neuerungen am Puls der Zeit

Mehr erfahren
20. Sep 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Das war der CIS Compliance Summit 2023

Mehr erfahren
12. Sep 2023

Business Continuity rückt in den Fokus

Ein Schnittstellenthema mit Boost durch NIS und DORA

Mehr erfahren
01. Sep 2023

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

07. Aug 2023

Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken

Die aktuellen Themen der Cyber Security

Mehr erfahren
03. Aug 2023

Auf welches Know-how wir uns beim CIS Compliance Summit 2023 freuen dürfen

Die Vorfreude auf hochkarätige Vortragende steigt!

Mehr erfahren
+43 1 532 98 90