Netz- und Informationssicherheit (NIS / NIS-2)

Was bedeutet NIS

NIS steht für „Sicherheit von Netz- und Informationssystemen“

Dadurch wird die die Fähigkeit von Netz- und Informationssystemen, beschrieben, um auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können.

von NIS zu NIS-2

NIS-2-Richtlinie:  Richtline (EU)
2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-1-Richtlinie).

Die NIS-1-RL hatte den Zweck eines unionsweiten Aufbaus von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die  Sicherstellung der Kontinuität solcher Dienste bei Vorfällen, um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen. 

Die NIS-1-RL wurde in Österreich mit dem Netz- und
Informationssystemsicherheitsgesetz – NISG (BGBl. I Nr. 111/2018 –
Inkrafttreten 29.12.2018) umgesetzt.

Vom NISG betroffene Unternehmen haben einen Bescheid erhalten. Die Überprüfung NIS-1-RL hat inhärente Mängel ergeben, die ein wirksames Vorgehen gegen aktuelle und neue Herausforderungen im Bereich Cybersicherheit verhindern.

Ziel der NIS-2-RL ist es, Unterschiede zwischen den Mitgliedstaaten zu beseitigen, Mindestvorschriften festzulegen, die umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.

Unsere Leistungen zum Thema NIS

1. Feststellung der Anwendbarkeit des NISG 2024 (NIS2)

  •  Erhebung Tätigkeitsbereich, Umsatz, Bilanzsumme, MA-Anzahl (Headcount)
  • Bewertung nach den Kriterien der Anlagen 1 & 2 sowie Unternehmensgröße
  • auf Unternehmens- / Konzern- und Beteiligungsebene
  • Identifikation der möglichen Anwendbarkeit durch Lieferketten

2. GAP-Analyse

Erhebung der bestehenden Maßnahmen, Strukturen, Prozesse und Abgleich zu den Anforderungen der Anlage 3* und der NISV*.

Ziel:

  • Standortbestimmung der Organisation (IS/Cybersicherheits-Reifegrad)
  • Identifikation von notwendigen Maßnahmen und Entscheidungen für die nächsten Schritte

(* nach Vorliegen der finalen Gesetzestexte)

3. Schulungen

Abgestufte und angepasste Durchführung von Schulungsmaßnahmen für

  • Das jeweilige TOP-Management (Verantwortung der Leitung)
  • Die Führungskräfte
  • IT und Informationssicherheit (IS)
  • operativ betroffene Ebene

4. Aufbau der Organisation

Definition der IS/NIS2/Risikomanagement – Aufbauorganisation

  • Definition der Rollen und Verantwortlichkeiten (RACI)
  • Dotierung mit personellen und finanziellen Ressourcen
  • Dokumentation und Kommunikation in der Organisation

Definition der notwendigen Prozesse wie zB

  • Behandlung von Cybersicherheitsvorfällen
  • Meldeprozess id Organisation und an die Behörde
  • Risikobewertung
  • Dokumentation und Dokumentenlenkung
  • Schwachstellenmonitoring
  • Betrieb eines SOC

5. Risikomanagement

  • Durchführung der Risikobewertung auf Basis der gesetzlichen Grundlagen und Industriestandards (BSI im Äquivalenzmodus zur ISO 27001)
  • Definition des Prozesses zur Identifikation von Risiken, deren kontinuierlichen Bewertung und Management der abgeleiteten Maßnahmen.

6. Kontinuierliche Prüfung

Definition der Bereiche, die einer kontinuierlichen Überprüfung unterzogen werden müssen, durch zB

  • Logfile-Konsolidierung und automatische Auswertung (SIEM: Security Information & Event Management)
  • Monitoring der Veröffentlichung von Schwachstellen und Prüfung gegen die eingesetzten Systeme und Assets
  • Penetration-Tests
  • Ethical Hacking / Social Engineering

Die Ergebnisse der oa Maßnahmen fließen in den Betrieb und das Risikomanagement oder KVP zurück.

7.    Maßnahmen konsolidieren und umsetzen

Einführung eines kontinuierlichen Verbesserungsprozesses (KVP), der alle Maßnahmen aus den Risikoanalysen und den kontinuierlichen Prüfungen zusammenführt, die Priorisierung steuert und den Umsetzungsfortschritt durch die Fachabteilungen überwacht.

8.    Evaluierung

Laufende Evaluierung der Prozesse, Risiken, Maßnahmen und deren Umsetzung im Rahmen des  Plan-Do-Check-Act (PDCA) Zyklus.