06. Sep 2021

Was Betreiber wesentlicher Dienste und Dienstleister jetzt wissen müssen

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Der per Bescheid festgelegte Betreiber eines wesentlichen Dienstes (BwD) wird durch das Netz- und Informationssystemsicherheitsgesetz (NISG) verpflichtet, alle 3 Jahre die Erfüllung der Sicherheitsvorkehrungen gemäß Netz- und Informationssystemsicherheitsverordnung (NISV) nachzuweisen.

 

Der Bescheid benennt dabei den wesentlichen Dienst entsprechend der Definitionen in der NISV. Es verbleibt die Aufgabe des Unternehmens, eine organisatorische und technische Abgrenzung (den sogenannten Anwendungsbereich) des wesentlichen Dienstes im betroffenen Unternehmen durchzuführen. Diese Abgrenzung ist jedoch entscheidend, denn nur für technische Systeme und Organisationen, die dem wesentlichen Dienst zuzuordnen sind, ist ein Nachweis der Erfüllung der Sicherheitsvorkehrungen gegenüber dem Gesetzgeber notwendig. Was müssen Sie darüberhinaus wissen? Robert Jamnik, Head of Audit Services, Lead Auditor ISO 20000, ISO 27001 und NISV-Überprüfungen der CIS, hat einige Antworten!

 

Identifizierung relevanter Dienstleister

Die komplexen Systeme, Abhängigkeiten und Schnittstellen eines wesentlichen Dienstes können die Festlegung des Anwendungsbereichs zu einer herausfordernden Aufgabe machen. Ein nicht zu unterschätzender Aspekt dabei ist die Identifizierung aller relevanten Dienstleister, die für den sicheren Betrieb der Netz- und Informationssysteme des wesentlichen Dienstes relevant sind. Dabei sollte jedenfalls die Frage geklärt werden, ob der Betrieb von Teilaspekten des wesentlichen Dienstes an Dienstleister ausgelagert sind bzw. ob die Betriebsverantwortung für den wesentlichen Dienst ganz oder teilweise bei einem Dienstleister liegt. In diesem Fall fällt der Dienstleister mit seiner erbrachten Dienstleistung in den Anwendungsbereich des NISG. Der Betreiber eines wesentlichen Dienstes muss daher auch die Erfüllung der Sicherheitsvorkehrungen nach der NISV des Dienstleisters nachweisen. Die Verantwortung gegenüber der Behörde bleibt beim Betreiber des wesentlichen Dienstes und kann nicht „ausgelagert“ werden.

Für die Durchführung der Prüfung zum Nachweis der Umsetzung der Sicherheitsvorkehrungen durch eine Qualifizierte Stelle ergibt sich dadurch die Notwendigkeit auch alle Dienstleister mit Betriebsverantwortung explizit zu prüfen. Welche Sicherheitsmaßnahmen konkret zu prüfen sind, hängt von der Art und dem Umfang der Betriebsverantwortung für den wesentlichen Dienst ab und ist im Zuge der Vorbereitung zur Prüfung zu klären. Für Dienstleister die keine Betriebsverantwortung haben, werden im Zuge einer Prüfung durch die Qualifizierte Stelle die Maßnahmen zur Steuerung des Dienstleisters durch den Betreiber des wesentlichen Dienstes geprüft.

CIS ist qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz

Zum Schutz kritischer Infrastruktur in Bereichen wie Energie, Verkehr oder Finanzen trat im Juli 2019 das NIS-Gesetz für Netz- und Informationssystemsicherheit (NISG) als nationale Umsetzung der EU-NIS-Richtlinie in Kraft.

Per Bescheid durch das Bundesministerium für Inneres wurde die Zertifizierungsorganisation CIS im Februar 2020 bevollmächtigt, als qualifizierte Stelle für NISG-Überprüfungen zu fungieren.

Sie möchten mehr erfahren?

Dann kontaktieren Sie uns hier. Wir freuen uns auf Ihre Anfragen und stehen Ihnen bei konkreten Fragen sehr gerne jederzeit zur Verfügung!

Hier finden Sie unsere Produktgruppe "Überprüfung nach NISG"

Unternehmen, die bisher schon ein zertifiziertes Managementsystem nach ISO 27001 auf hohem Niveau betrieben haben, können mit relativ geringem Aufwand NISG-konform gemacht werden. Beide Regelwerke können in einem Kombi-Audit effizient geprüft werden.

Weitere News & Events

Immer topaktuell informiert

23. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
20. Sep 2022

Event: CIS Compliance Summit 2022

Security | Privacy | Continuity

Mehr erfahren
30. Nov 2021

Wir machen Sie fit für die Zukunft der Digitalisierung!

Warum wir gerade jetzt Information Security Manager benötigen

Mehr erfahren
25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
+43 732 34 23 22