Die Netz- und Informationssicherheits-Richtlinie (NIS-RL) 2016 muss bis 09.05.2018 in nationales Recht umgesetzt sein. In Österreich wird daraus das Cyber-Sicherheitsgesetz.
Die Anforderungen aus der NIS-RL bzw. dem Cyber-Sicherheitsgesetz gelten sowohl für Mitgliedstaaten als auch für einzelne Unternehmen.

Anforderungen an Mitgliedsstaaten

Die Mitgliedstaaten gewährleisten damit eine hohe NIS in dem sie NIS-Behörden und IT-Notfallteams (Computer Security Incident Response Team („CSIRT“ bzw. CERT) einrichten.

Diese NIS-Behörde kann aus einer oder mehreren nationalen Behörden gebildet werden.
Ihre Aufgaben sind:

  • Monitoring zur Einhaltung der Richtlinie
  • Sicherheitsvorfälle an betroffene Mitgliedsstaaten melden
  • Sicherheitsvorfälle der Öffentlichkeit melden
  • Verbindungsstelle bilden zwischen Mitgliedsstaaten und CSIRTS

Das CSIRT/CERT wiederrum hat folgende Aufgaben:

  • Zusammenarbeit im CSIRTs-Netzwerk (EU-Cert)
  • Kann Meldestelle sein
  • Überwachung von Sicherheitsvorfällen auf nationaler Ebene
  • Frühwarnungen und Alarmmeldungen
  • Reaktion auf Sicherheitsvorfälle
  • Dynamische Analyse von Risiken, Vorfällen und Lagebeurteilung

Anforderungen an die Unternehmen

Die öffentliche Verwaltungen und Anbieter von kritischen Infrastrukturen und Dienste der Informationsgesellschaft müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme zu managen. Dies soll unter Berücksichtigung des Stand der Technik erfolgen.
Dabei müssen folgende Aspekte berücksichtigt werden:

  • Sicherheit der Systeme und Anlagen
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity Management (BCM)
  • Überwachung, Überprüfung und Erprobung
  • Einhaltung der internationalen Normen

Folgen für die Unternehmen

Alle Unternehmen (außer Kleinstunternehmen mit weniger als 10 Mio Umsatz und weniger als 2 Arbeitnehmern), welche kritische Infrastrukturen gemäß Anhang II NIS-RL oder Digitale Dienste gemäß Anhang III NIS-RL anbieten, müssen ein ISMS = Informationssicherheits-Managementsystem einrichten
Dies impliziert ein Riskomanagement als ein von dem CISO geleiteter Prozess

Anwendungsbereich

Betreiber kritischer Infrastrukturen (Anhang II NIS-RL)

  1. Energie – Strom, Kernkraft, Öl, Gas, Verteilersysteme, Speichersysteme, Raffinations- und Behandlungsanlagen
  2. Verkehr – Luftfahrtunternehmen, Eisenbahnen, Beförderungsunternehmen des Seeverkehrs, Häfen, Flughäfen, Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
  3. Bankwesen
  4. Finanzmarktinfrastrukturen, Börsen
  5. Gesundheitswesen

Kritische Infrastruktur-Liste

Wie kommt diese Liste zustande?
Die einzelnen Mitgliedstaaten müssen alle in frage kommenden Dienste bis 09.11.2018 ermitteln und nach 09.05.2018 alle 2 Jahre überprüfen und gegegebenfalls aktualisieren. Dabei gelten folgende Ermittlungskriterien:

  • Der Dienst ist wesentlich für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten
  • Der Dienst hängt von Netz- und Informationssystemen ab
  • Ein Sicherheitsvorfall hätte signifikante Auswirkungen auf die weitere Bereitstellung des Dienstes.

Anbieter von digitalen Diensten (Anhang III NIS-RL)

  1. Online Marktplätze (Verträge über Waren und Dienstleistungen, zB auch App-Stores)
  2. Suchmaschinen
  3. Cloud-Computing-Dienste
    Besonderheiten:

– Nicht bei natürlichen Personen bzw Kleinstunternehmen
– Anbieter außerhalb EU müssen einen Vertreter benennen

Quellen:

  • (http://intrapol.org/2016/09/05/die-neue-nis-rl-der-eu-wesentliche-eckpunkte-und-ein-vergleich-mit-den-nationalen-vorgaben-des-it-sig-inkl-einbeziehung-der-eu-dsgvo/)
  • http://intrapol.org/wp-content/uploads/2016/09/EU-NIS-RL-2016-1148-deutsch.pdf
  • https://www.wko.at/Content.Node/blogs/it-safe/NIS-Richtlinie-der-EU.html
  • https://www.cert.at/reports/report_2016_chap04/content.html
  • Unterlagen FH Hagenberg