Mit der von der EU verabschiedeten NIS-Richtlinie gibt es erstmals umfassende Regelungen für Cybersicherheit im Bereich der kritischen Infrastruktur. In Österreich wurden diese Vorgaben 2018 durch das Netz- und Informationssystemsicherheitsgesetz (NISG) geregelt. Das NISG verpflichtet Betreiber wesentlicher Dienste zur Errichtung umfangreicher Sicherheitsmaßnahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen. Die Überprüfung sowie Bestätigung kann ab sofort durch KPMG erfolgen.
Welche Unternehmen trifft das NIS Gesetz?
Ausgewählte Unternehmen aus folgenden Branchen sind nach derzeitigem Stand als sogenannte Betreiber wesentlicher Dienste definiert und werden in Form eines Bescheids bei Zutreffen informiert:
- § 4. Sektor Energie
- § 5. Sektor Verkehr
- § 6. Sektor Bankwesen
- § 7. Sektor Finanzmarktinfrastrukturen
- § 8. Sektor Gesundheitswesen
- § 9. Sektor Trinkwasserversorgung
- § 10. Sektor Digitale Infrastruktur
Weiters fallen ausgewählte Anbieter digitaler Dienste sowie Einrichtungen der öffentlichen Verwaltung in den Geltungsbereich des NIS Gesetzes.
Welche Sicherheitsvorkehrungen sind von Betreibern wesentlicher Dienste zu treffen?
Innerhalb der NIS-Verordnung (NISV) sind die folgenden elf Kategorien von Sicherheitsvorkehrungen definiert, welche von Betreibern wesentlicher Dienste unter Berücksichtigung des Stands der Technik abgedeckt werden müssen:
- Governance und Risikomanagement
- Umgang mit Dienstleistern, Lieferanten und Dritten
- Sicherheitsarchitektur
- Systemadministration
- Identitäts- und Zugriffsmanagement
- Systemwartung und Betrieb
- Physische Sicherheit
- Erkennung von Vorfällen
- Bewältigung von Vorfällen
- Betriebskontinuität
- Krisenmanagement
Welche Verantwortungen und Pflichten haben betroffene Unternehmen?
- Betroffene Unternehmen sind verpflichtet, eine unverzügliche Meldung von Sicherheitsvorfällen an das zuständige Computer-Notfallteam zu tätigen.
- Sie müssen mindestens alle drei Jahre nach Zustellung des Bescheides einen Nachweis erbringen, dass geeignete Sicherheitsvorkehrungen (sowohl technisch als auch organisatorisch) getroffen wurden. Dies hat durch die Übermittlung einer Aufstellung vorhandener Sicherheitsvorkehrungen, durch Nachweise von Zertifizierungen und/oder durch einen externen Prüfer zu erfolgen, der eine entsprechende Qualifikation als sogenannte qualifizierte Stelle vorweisen kann. Identifizierte Sicherheitsmängel müssen in der Übermittlung entsprechend mit einbezogen werden.
Als qualifizierte Stelle…
- …verfügt KPMG über 15 Prüfer:innen, die für die Verarbeitung von als „geheim“ klassifizierte Informationen nach §55 SPG (Sicherheitspolizeigesetz) geprüft sind und mehr als fünf Jahre bewertete Berufserfahrung für die Beurteilung der relevanten Sicherheitsvorkehrungen (sowohl technisch als auch organisatorisch) gemäß NIS Gesetz vorweisen können.
- …sorgen wir für die laufende Fortbildung unserer Prüfer:innen.
- …haben wir technische und organisatorische Sicherheitsvorkehrungen hinsichtlich unserer Netz- und Informationssysteme getroffen, um die Sicherheit der Prüfdaten zu gewährleisten. Dies beinhaltet unter anderem die Zertifizierung des internen Informationssicherheits-Managementsystems nach ISO 27001:2013.
- …setzen wir innerhalb unseres Prüfprozesses geeignete Werkzeuge (Soft- und Hardware) für die Überprüfungen Ihrer kritischen Netz- und Informationssysteme ein.
Wie unterstützt Sie KPMG?
- Wir übernehmen die Prüfung der vorgeschriebenen Sicherheitsvorkehrungen und stellen eine detaillierte Auflistung identifizierter Sicherheitsmängel in einem abschließenden Bericht zur Verfügung.
- Wir übernehmen die qualitätssichernde Begleitung zur Implementierung von organisatorischen sowie technischen Sicherheitsvorkehrungen gemäß NISV.
- KPMG erhebt die bereits vorhandenen Maßnahmen und überführt diese in die innerhalb der NISV geforderten Sicherheitsvorkehrungen.
- KPMG kann die qualitätssichernde Begleitung bei der Behebung der identifizierten Sicherheitsmängel auf Wunsch übernehmen.