Artikel

NIS-2 – die nächste Stufe des Cybercrime Widerstands

Der Schutz kritischer Einrichtungen und die Erhöhung deren Widerstandsfähigkeit gegen Cybercrime ist auch der EU ein hohes Anliegen. Um diesen Schutz und zugehörige Standardisierungen voranzutreiben, wurde auf Basis der Cybersicherheitsstrategie 2013 im Jahr 2016 eine EU-weite Regelung zur Cybersicherheit in Form der „NIS-Richtlinie“ erlassen, welche ein möglichst hohes Sicherheitsniveau von Netz- und Informationssystemen fokussiert.

Gerade die jüngsten, erfolgreichen Cyber­attacken im In- und Ausland zeigen, wie abhängig unsere Gesellschaft von kritischen Einrichtungen zur Grundversorgung und wie wichtig deren Schutz vor Cybercrime Angriffen ist. Der Bogen der Attacken spannt sich von Stillstand von Gas-Pipelines über eingeschränkt handlungsfähige Krankenhäuser bis hin zum Stillstand von Großmolkereien.

Netz- und Informationssicherheit: Worum geht es?

Der Kern der NIS-Richtlinie zur Netz- und Informationssicherheit zielt auf die Fähigkeit, Sicherheits­vorfällen vorzubeugen, im Anlassfall diese als solche zu erkennen, abzuwehren und zu beseitigen. Sie steht damit auch in engem Zusammenhang mit den Belangen der Datenschutz-Gesetzgebung bzw. der DSGVO zum Schutz personenbezogener Daten.

Die wichtigsten Ziele sind

  • die Stärkung der Zusammenarbeit zwischen den Mitgliedsstaaten, die Einrichtung nationaler Behörden und nationaler Computer-Notfallteams zur Unterstützung Betroffener im Anlassfall,
  • die Verpflichtung bestimmter, für das Gemeinwohl wichtiger privater und öffentlicher Anbieter zu angemessenen Sicherheitsmaßnahmen und
  • die Verpflichtung zur umgehenden Meldung erheblicher Störfälle.

Die Richtlinie gilt für wichtige Unternehmen in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarkt­infrastrukturen, Gesundheits­wesen, Trinkwasser­versorgung sowie digitale Infrastrukturen.

In Österreich bilden das NIS-Gesetz (NISG) aus dem Jahr 2018 bzw. zugehörige NIS-Verordnung (2019) und Branchenstandards die Basis für die nationale Umsetzung der Richtlinie.

Betroffen sind

  1. Betreiber wesentlicher Dienste.

Dies sind private oder öffentliche Einrichtungen, die einen Dienst bereitstellen, der für die Aufrechterhaltung kritischer Tätigkeiten unerlässlich ist und bei denen ein Sicherheitsvorfall eine erhebliche Störung bei der Bereitstellung dieses Dienstes bewirkt.

Auf Basis eines definierten Kriterienkatalogs bzw. der Erreichung verschiedener Schwellenwerte sind österreichweit etwa 150 Unternehmen betroffen. Sie wurden durch Bescheid des Bundeskanzleramts informiert, haben bestimmte Mindestsicherheitsmaßnahmen auf Basis (inter-)nationaler IKT Sicherheits­standards und Cyber Security Best Practices (zusammengefasst in einer „Mapping Tabelle“) zu treffen. Sie müssen alle 3 Jahre definierte Nachweise in Form von Zertifizierungen über durchgeführte Sicherheitsvorkehrungen ihrer Netz- und Informations­systeme erbringen oder Überprüfungen durch qualifizierte Stellen bestehen. Das BMI hat jederzeit die Berechtigung zu entsprechenden Überprüfungen und Aussprache von Empfehlungen.

Die betroffenen Einrichtungen sind zur unverzüglichen Meldung von Sicherheitsvorfällen an das zuständige Computer-Notfallteam verpflichtet (in Österreich: CERT).

  1. Anbieter digitaler Dienste in den Kategorien Online-Marktplatz, Online-Suchmaschine und Cloud-Computing Dienste mit mehr als 50 Mitarbeitern und über 10 Mio. EUR Jahresumsatz.

Sie werden nicht durch Bescheide zur Durchführung behördlich angeordneter Maßnahmen angewiesen, sondern müssen selbständig geeignete und verhältnismäßige technische und organisatorische Maßnahmen (TOM) bzw. Sicherheitsvorkehrungen setzen. Eine Überprüfung durch das BMI erfolgt nur im Anlassfall, das BMI kann Empfehlungen aussprechen.

Anbieter digitaler Dienste sind zur unverzüglichen Meldung verpflichtet, wenn Zugang zu Informationen, die benötigt werden um die Auswirkungen eines Sicherheitsvorfalls zu bewerten, vorliegt.

Darüber hinaus können Risiken bzw. Vorfälle auch freiwillig gemeldet werden.

Für den Fall der Nichteinhaltung von Meldepflichten, Sicherheitsvorkehrungen bzw. Mitwirkungspflichten sind Sanktionen in einer Größenordnung bis 50.000 EUR gesetzt.

Anmerkung: Unter „Sicherheitsvorfall“ ist eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von NIS zu verstehen, der den Ausfall bzw. die eingeschränkte Verfügbarkeit des Dienstes mit erheblichen Auswirkungen (betroffene Nutzer, Dauer, geografische Ausbreitung, Auswirkung auf Wirtschaft/Gesellschaft) nach sich zieht.

NIS-2: die Fortführung

Die seitens der EU im Dezember 2020 publizierte, neue NIS-2 Richtlinie soll auf Basis einer neuen Cybersicherheitsstrategie (welche auch die europäische Wirtschaft in der Entwicklung eigener Cyber­sicherheitslösungen unterstützt und damit die Abhängigkeit von außereuropäischen Anbietern verringern soll) die aktuelle NIS-Richtlinie ablösen. Sie baut auf den Erfahrungen der aktuellen NIS-Richtlinie auf, führt deren Inhalte fort und soll die Resilienz kritischer Infrastrukturen weiter steigern.

Betroffen sind die Sektoren Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesund­heit, Trinkwasser, Abwasser, digitale Infra­strukturen, öffentliche Verwaltung sowie Raum­fahrt.

Gegenüber der bestehenden NIS-Richtlinie stellt der aktuelle Entwurf eine deutliche Ausweitung des Anwendungsbereichs dar. Er stellt höhere Sicherheits­anforderungen an Unternehmen und widmet sich auch der Sicherheit von Liefer­ketten und Beziehungen zwischen den Anbietern. Im Entwurf sind tlw. straffere bzw. feinere Bericht­erstattungs­pflichten, aber auch strengere Aufsichts­maßnahmen und Verordnungen zur Durch­setzung vorgesehen.

In der vorliegenden Ausprägung hätte die neue Richtlinie deutliche Konsequenzen für Österreich: die Anzahl betroffener Unternehmen und Einrichtungen sowie deren Verpflichtungen (u.a. bzgl. Risiko­management-Maßnahmen, Meldungen, Zertifizierungen etc.) würden massiv steigen und auf Grund des damit verbundenen Aufwands insbesondere für Klein- und Kleinstunternehmen hohe wirtschaftliche Konsequenzen mit sich bringen.

Zur Zeit befindet sich der Entwurf der NIS-2 Richtlinie in intensiver Diskussion und Abstimmung mit den Mitgliedsstaaten. Auf Basis bereits vorliegender Rückmeldungen ist damit zu rechnen, dass die endgültige Richtlinie gegenüber dem Entwurf noch „entschärft“ wird. Klar ist aber auch, dass sie die Inhalte der aktuellen NIS Richtlinie in jedem Fall deutlich erweitern wird.

Was sollten Unternehmen jetzt tun?

Aus diesem Grund ist auch Unternehmen, die derzeit (noch) nicht von der NIS Richtlinie betroffen sind, dringend anzuraten, sich mit der Sicherheit ihrer Netz- und Informationssysteme auseinanderzusetzen! Eine Risikoanalyse, gerade in Hinblick auf die in der bestehenden NIS Verordnung genannten Schwer­punkte, stellt eine gute Grundlage für weiterführende Maßnahmen dar. Unternehmen, die diese Themenfelder gut gelöst haben, sind mit Sicherheit auch für zukünftige Anforderungen bereits zum jetzigen Zeitpunkt gut aufgestellt.

Die in der bereits bestehenden NIS-Verordnung von 2019 genannten Sicherheitsvorkehrungen zur Gewähr­leistung der Netz- und Informationssicherheit umfassen technische und organisatorische Maßnahmen in den Themenbereichen

  1. Governance und Risiko­management
  2. Umgang mit Dienstleistern, Lieferanten und Dritten
  3. Sicherheitsarchitektur
  4. Systemadministration
  5. Identitäts- und Zugriffs­management
  6. Systemwartung und Betrieb
  7. Physische Sicherheit
  8. Erkennung von Vorfällen
  9. Bewältigung von Vorfällen
  10. Betriebskontinuität
  11. Krisenmanagement

Basis für die zu setzenden Maßnahmen sind die Ergebnisse der im Rahmen des Risikomanagements durchzuführenden Risikoanalyse (Punkt 1).

ResultONE verfügt über umfangreiche Expertise, hat viel Erfahrung in den genannten Themen­schwer­punkten und kann Sie in den genannten Aufgabenbereichen hervorragend unterstützen. Darüber hinaus können wir – gemeinsam mit unseren hochkompetenten Partnern aus dem universitären Umfeld – auch umfangreiches, tiefgehendes und hochaktuelles Spezialwissen zu einer Vielzahl von Themengebieten bereitstellen!

Nehmen Sie noch heute Kontakt mit uns auf!

Fragen?

Rufen Sie uns an: +43 676 3456 340 oder +43 676 3456 342.