06. Sep 2021

Was Betreiber wesentlicher Dienste und Dienstleister jetzt wissen müssen

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Der per Bescheid festgelegte Betreiber eines wesentlichen Dienstes (BwD) wird durch das Netz- und Informationssystemsicherheitsgesetz (NISG) verpflichtet, alle 3 Jahre die Erfüllung der Sicherheitsvorkehrungen gemäß Netz- und Informationssystemsicherheitsverordnung (NISV) nachzuweisen.

 

Der Bescheid benennt dabei den wesentlichen Dienst entsprechend der Definitionen in der NISV. Es verbleibt die Aufgabe des Unternehmens, eine organisatorische und technische Abgrenzung (den sogenannten Anwendungsbereich) des wesentlichen Dienstes im betroffenen Unternehmen durchzuführen. Diese Abgrenzung ist jedoch entscheidend, denn nur für technische Systeme und Organisationen, die dem wesentlichen Dienst zuzuordnen sind, ist ein Nachweis der Erfüllung der Sicherheitsvorkehrungen gegenüber dem Gesetzgeber notwendig. Was müssen Sie darüberhinaus wissen? Robert Jamnik, Head of Audit Services, Lead Auditor ISO 20000, ISO 27001 und NISV-Überprüfungen der CIS, hat einige Antworten!

 

Identifizierung relevanter Dienstleister

Die komplexen Systeme, Abhängigkeiten und Schnittstellen eines wesentlichen Dienstes können die Festlegung des Anwendungsbereichs zu einer herausfordernden Aufgabe machen. Ein nicht zu unterschätzender Aspekt dabei ist die Identifizierung aller relevanten Dienstleister, die für den sicheren Betrieb der Netz- und Informationssysteme des wesentlichen Dienstes relevant sind. Dabei sollte jedenfalls die Frage geklärt werden, ob der Betrieb von Teilaspekten des wesentlichen Dienstes an Dienstleister ausgelagert sind bzw. ob die Betriebsverantwortung für den wesentlichen Dienst ganz oder teilweise bei einem Dienstleister liegt. In diesem Fall fällt der Dienstleister mit seiner erbrachten Dienstleistung in den Anwendungsbereich des NISG. Der Betreiber eines wesentlichen Dienstes muss daher auch die Erfüllung der Sicherheitsvorkehrungen nach der NISV des Dienstleisters nachweisen. Die Verantwortung gegenüber der Behörde bleibt beim Betreiber des wesentlichen Dienstes und kann nicht „ausgelagert“ werden.

Für die Durchführung der Prüfung zum Nachweis der Umsetzung der Sicherheitsvorkehrungen durch eine Qualifizierte Stelle ergibt sich dadurch die Notwendigkeit auch alle Dienstleister mit Betriebsverantwortung explizit zu prüfen. Welche Sicherheitsmaßnahmen konkret zu prüfen sind, hängt von der Art und dem Umfang der Betriebsverantwortung für den wesentlichen Dienst ab und ist im Zuge der Vorbereitung zur Prüfung zu klären. Für Dienstleister die keine Betriebsverantwortung haben, werden im Zuge einer Prüfung durch die Qualifizierte Stelle die Maßnahmen zur Steuerung des Dienstleisters durch den Betreiber des wesentlichen Dienstes geprüft.

CIS ist qualifizierte Stelle für Überprüfungen nach dem NIS-Gesetz

Zum Schutz kritischer Infrastruktur in Bereichen wie Energie, Verkehr oder Finanzen trat im Juli 2019 das NIS-Gesetz für Netz- und Informationssystemsicherheit (NISG) als nationale Umsetzung der EU-NIS-Richtlinie in Kraft.

Per Bescheid durch das Bundesministerium für Inneres wurde die Zertifizierungsorganisation CIS im Februar 2020 bevollmächtigt, als qualifizierte Stelle für NISG-Überprüfungen zu fungieren.

Sie möchten mehr erfahren?

Dann kontaktieren Sie uns hier. Wir freuen uns auf Ihre Anfragen und stehen Ihnen bei konkreten Fragen sehr gerne jederzeit zur Verfügung!

Hier finden Sie unsere Produktgruppe "Überprüfung nach NISG"

Unternehmen, die bisher schon ein zertifiziertes Managementsystem nach ISO 27001 auf hohem Niveau betrieben haben, können mit relativ geringem Aufwand NISG-konform gemacht werden. Beide Regelwerke können in einem Kombi-Audit effizient geprüft werden.

Weitere News & Events

Immer topaktuell informiert

25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
24. Nov 2021

TISAX® als Firewall

Prototypen- und Datenschutz in der Automotive Industrie.

Mehr erfahren
24. Nov 2021

IT-Sicherheit in Smart Factories stärken – gewusst, wie!

Von IT und OT

Mehr erfahren
22. Nov 2021

CIS auditiert ab sofort Cyber Trust Austria® Label Gold

Kooperation zur Unterstützung auf Ihrem Weg zum Cyber Trust Austria® Label Gold

Mehr erfahren
08. Nov 2021

Auf das Unerwartete vorbereitet sein

Siemens Digital Grid wurde als erste Einheit in der EU erfolgreich nach ISO 22301 zertifiziert.

Mehr erfahren
08. Okt 2021

Wie sieht IT Security im Spital 2.0 aus?

Cybersicherheit im Gesundheitswesen

Mehr erfahren
09. Sep 2021

Wie man sich mit Künstlicher Intelligenz (KI) vor KI-Bedrohungen schützt

Das war der CIS Compliance Summit 2021

Mehr erfahren
08. Sep 2021

Erfolgsrezept Integriertes Managementsystem

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe

Mehr erfahren
11. Aug 2021

Sommergespräch mit Klaus Veselko und Clemens Wasner

CIS Compliance Summit

Mehr erfahren
27. Jul 2021

Global Threat Report 2021

Die wichtigsten Cybersecurity-Trends und wie sich Unternehmen jetzt wappnen können

Mehr erfahren
26. Jul 2021

Dem Blackout entgehen

Informationssicherheit in der Energiewirtschaft

Mehr erfahren
+43 732 34 23 22