Netz- und Informationssystemsicherheitsgesetz, kurz „NISG“

​

Mit der fortschreitenden Digitalisierung unserer Gesellschaft steigt gleichzeitig auch das Risiko hinsichtlich möglicher Angriffe auf die Netz- und Informationssicherheit. Ziel des NIS-Gesetzes ist die Prävention gegen Sicherheitsvorfälle, die Netz- und Informationssysteme betreffen und deren Störung oder Zerstörung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das wirtschaftliche und soziale Wohl der Bevölkerung haben würde.

​

Zielsetzung

Der Gesetzgeber sieht für "Betreiber wesentlicher Dienste" (sog. kritische Infrastruktur), also Unternehmen aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren wie z.B. Energie-, Transport-, Gesundheits-, Trinkwasserversorger sowie einige Finanzdienstleister und in geringerem Umfang auch Anbieter von digitalen Diensten vor, dass eine Informationssicherheitsorganisation etabliert wird, welche Sicherheitsmaßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen und Sicherheitsririsken vorgibt und umsetzt.

​

​

 

 

Vorgehen

 

 

1. ISMS GAP-Analyse zur Identifikation fehlender Prozesse nach ISO 27001:2013 und ggf. weiterer branchenspezifischen Standards (z.B. ISO 27019 für EVU)

2. Analyse der Unternehmensorganisation sowie Erhebung der IT-Systeme und Komponenten durch eine methodische Struktur- und Komponentenanalyse, welche für den Betrieb des wesentlichen Dienstes (Stromnetzsteuerung, Akutversorgung in Landeskrankenanstalten, Wassergewinnung und -versorgung etc.) maßgeblich sind

3. Definition des sachlichen und räumlichen ISMS-Geltungsbereichs (Scope) und Aufbau der ISMS Organisation. Definition von Rollen und Verantwortlichkeiten

4. Erstellung der durch die ISO 27001 geforderten Leitlinien und Verfahrensbeschreibungen zur Informationssicherheit - erweitert um weitere branchenspezifischen Sicherheitsvorschriften und Vorgaben laut Anlage 1 der NIS-Verordnung

5. Erstellung von Sicherheitsleitlinien für den Umgang mit prozesssteuerungsrelevanten Komponenten (Leitstelle, Warte, Übergabestationen, Notfallaufnahme, Kraftwerke etc.)

6. Durchführen einer Risikoanalyse zur Identifikation und Behandlung​ von Informationssicherheitsrisiken auf Basis von Gefährdungen, Schwachstellen und Controls auf Basis von ISO-Standards

7. Prozessgestaltung für Sicherheitsvorfall-Management und Umsetzung der gesetzlichen Meldepflichten hinsichtlich Sicherheitsvorfällen an die europaweit agierenden Computer Security Incident Response Teams

8. Effektive Umsetzung der Vorgaben aus Sicherheitsleitlinien (Integration in bestehende Unternehmensprozesse) sowie Sicherstellung der erforderlichen Betriebsdokumentation

9. Durchführen von Schulungen der Mitarbeiter im Scope (insb. Mitarbeiter mit prozessrelevanten Funktionen) sowie Sensibilisierung des Managements und Durchführung von Zertifizierungsvorbereitungsschulungen

10. Umsetzung eines kontinuierlichen Verbesserungsprozesses sowie einer Reportingstruktur (als Teil des Managementsystems)

11. Durchführen eines internen Audits zur Vorbereitung auf die Zertifizierung

12. Begleitung und Unterstützung des Kunden beim Zertifizierungsaudit, welches durch eine akkreditierte Zertifizierungstelle durchgeführt wird.

​

​

​