Bereits ab Anfang 2019 informierte der österreichische Staat rund 100 öffentliche und private Organisationen über ihren systemrelevanten Status. Diese Systemrelevanz bedingt, dass sie Sicherheitsvorkehrungen für ihre Netz- und Informationssysteme treffen und darüber alle drei Jahre Nachweise erbringen müssen.
In Österreich ist die staatlich akkreditierte Zertifizierungsinstanz CIS als qualifizierte Stelle für NISG-Prüfungen zugelassen. Laut Geschäftsführer Klaus Veselko haben einige Unternehmen bereits vorbildlich gehandelt, andere lassen sich noch Zeit bei der Umsetzung. „Säumigen Organisationen drohen hohe Strafen. Zudem laufen bereits Verhandlungen, um künftig noch mehr Branchen in die Pflicht zu nehmen“, warnt Veselko.
Das österreichische Netz- und Informationssystemsicherheitsgesetz (NISG) beruht auf der NIS-Richtlinie der EU und wurde bereits Ende 2018 in nationales Recht umgesetzt. In Österreich zählen rund 100 Organisationen zur kritischen Infrastruktur. Sie stammen aus den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur.
Klaus Veselko, Geschäftsführer der Zertifizierungsinstanz CIS. (Bild: FotoWeinwurm)
„Der Aufwand und die Komplexität der Umsetzung werden teilweise deutlich unterschätzt. Dadurch besteht die Gefahr, dass die Nachweise nicht zeitgerecht erbracht werden können“, erklärt CIS-Geschäftsführer Veselko. „Von der Beauftragung der Auditoren bis zur Ausfertigung des Berichts und der Bestätigung muss man mit rund vier bis fünf Monaten rechnen.“
Im Zuge der Sicherheitsüberprüfungen werden eine Reihe von Security Checks wie etwa Schwachstellen-Scans durchgeführt, die Aufschluss darüber geben, ob Angreifer in ein System eindringen können ohne über die jeweiligen Passwörter oder sonstigen Zugriffsberechtigungen zu verfügen. Bei Verfehlungen drohen bis zu 50.000 Euro Strafe, im Wiederholungsfall sogar bis zu 100.000 Euro. Derzeit laufen bereits Verhandlungen über eine Weiterentwicklung des NISG.
„Wir gehen aufgrund der aktuellen Entwürfe davon aus, dass ab 2023 oder 2024 neben großen Supermarktketten auch gewisse Produktionsbetriebe unter die NIS-Regelung fallen werden. Die Pandemie hat uns unter anderem vor Augen geführt, wie wichtig eine reibungslose Lebensmittelversorgung in Krisenzeiten ist“, erklärt Veselko.„In letzter Zeit wurden auch gehäuft Blackout-Szenarien in der Öffentlichkeit thematisiert. Allerdings gehörten die großen Energieversorger und Netzbetreiber zu den ersten, die bereits proaktiv gehandelt haben.“. Vorzeigeunternehmen wie die Verbund AG haben bereits ein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem implementiert.