Netz- und Informationssystemsicherheitsgesetz, kurz „NISG“ und NIS2-Richtlinie

​

Mit der fortschreitenden Digitalisierung unserer Gesellschaft steigt gleichzeitig auch das Risiko hinsichtlich möglicher Angriffe auf die Netz- und Informationssicherheit. Ziel des NIS-Gesetzes als auch der neuen NIS-Richtlinie ist die Prävention gegen Sicherheitsvorfälle, die Netz- und Informationssysteme betreffen und deren Störung oder Zerstörung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das wirtschaftliche und soziale Wohl der Bevölkerung haben würde.

​

Wir haben unser Projektvorgehen mit den Anforderungen von NIS2 aktualisiert!

​

Zielsetzung

Der Gesetzgeber sieht für "Betreiber wesentlicher oder wichtiger Dienste" (sog. kritische Infrastruktur), also Unternehmen aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren wie z.B. Energie-, Transport-, Gesundheits-, Trinkwasserversorger, Anbieter digitaler Dienste, Lebensmittelhersteller, Finanzdienstleister, Öffentliche Einrichtungen etc. vor, dass eine Informationssicherheits-Governance etabliert wird, welche Sicherheitsmaßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen und Sicherheitsrisiken vorgibt und umsetzt.

​

​

 

 

Vorgehen

 

 

1. NIS GAP-Analyse zur Identifikation fehlender Prozesse auf Basis der NIS-Verordnung und good practices wie ISO 27001 und ggf. weiterer branchenspezifischen Standards (z.B. ISO 27019 für EVU)

2. Analyse der Unternehmensorganisation sowie Erhebung der IT-Systeme und Komponenten durch eine methodische Struktur- und Komponentenanalyse, welche für den Betrieb des wesentlichen Dienstes (Stromnetzsteuerung, Akutversorgung in Landeskrankenanstalten, Wassergewinnung und -versorgung etc.) maßgeblich sind

3. Definition des technischen, organisatorischen und geografischen ISMS-Geltungsbereichs (Scope) und Aufbau der ISMS Organisation. Definition von Rollen und Verantwortlichkeiten

4. Erstellung der durch die good practices von ISO 27001 geforderten Leitlinien und Verfahrensbeschreibungen zur Informationssicherheit - erweitert um weitere branchenspezifischen Sicherheitsvorschriften und Vorgaben laut Anlage 1 der NIS-Verordnung

5. Erstellung von Sicherheitsleitlinien für den Umgang mit prozesssteuerungsrelevanten Komponenten (Leitstelle, Warte, Übergabestationen, Notfallaufnahme, Kraftwerke etc.)

6. Durchführen einer Risikoanalyse zur Identifikation und Behandlung​ von Informationssicherheitsrisiken auf Basis von Gefährdungen, Schwachstellen und Controls auf Basis von ISO-Standards

7. Prozessgestaltung für Sicherheitsvorfall-Management und Umsetzung der gesetzlichen Meldepflichten hinsichtlich Sicherheitsvorfällen an die europaweit agierenden Computer Security Incident Response Teams

8. Effektive Umsetzung der Vorgaben aus Sicherheitsleitlinien (Integration in bestehende Unternehmensprozesse) sowie Sicherstellung der erforderlichen Betriebsdokumentation

9. Durchführen von Schulungen der Mitarbeiter im Scope (insb. Mitarbeiter mit prozessrelevanten Funktionen) sowie Sensibilisierung des Managements und Durchführung von Zertifizierungsvorbereitungsschulungen

10. Umsetzung eines kontinuierlichen Verbesserungsprozesses sowie einer Reportingstruktur (als Teil des Managementsystems)

11. Durchführen eines internen Audits zur Vorbereitung auf die Zertifizierung

12. Begleitung und Unterstützung des Kunden beim Zertifizierungsaudit, welches durch eine akkreditierte Zertifizierungstelle durchgeführt wird.

​

​

​