NEWS 10.09.2018
EU-Richtlinie zur Netz- und Informationssicherheit
(kurz: NIS-Richtlinie) ist seit Mai 2018 in Kraft
10. September 2018
Von 2016 bis 2018 dominierte die Einführung der DSGVO zum Schutz von personenbezogenen Daten die Medienlandschaft und dabei ging eine zweite, wichtige Neuerung beinahe unter: Am 9. Mai 2018 wurde die EU-Richtlinie zur Netz- und Informationssicherheit, kurz „NIS-Richtlinie“ verabschiedet. Das oberste Ziel der NIS-Richtlinie ist die Prävention gegen Sicherheitsvorfälle, die Netz- und Informationssysteme aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren betreffen. Es sollen einheitliche und verbindliche Ziele und Maßnahmen für alle EU-Mitgliedstaaten geschaffen werden, um ein hohes Cyber-Sicherheitsniveau innerhalb des EU-Raumes zu gewährleisten.
Mit der fortschreitenden Digitalisierung unserer Gesellschaft, steigt gleichzeitig auch das Risiko hinsichtlich möglicher Angriffe auf die Netz- und Informationssicherheit. Um diesem Umstand Rechnung zu tragen, hat sich die Europäische Union dazu entschlossen ein umfangreiches Cyber-Sicherheitsprogramm zu initiieren. Ein wichtiger Bestandteil dieses Programms ist die „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (EU 2016/1148), oder kurz NIS-Richtlinie.
Betreiber kritischer Infrastruktur müssen handeln
Betreiber kritischer Infrastrukturen, also Unternehmen aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren wie z.B. Energie-, Transport-, Gesundheits-, Trinkwasserversorger sowie einige Finanzdienstleister und in geringerem Umfang auch Anbieter von digitalen Diensten (Online-Marktplätze, Online-Suchmaschinen und Cloud-Service-Anbieter) werden verpflichtet „den neuesten Stand der Technik zu berücksichtigen“, um die Risiken für die Sicherheit der Netze und Informationssysteme, die zur Erbringung verwendet werden, zu beherrschen und geeignete Maßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen zu ergreifen. Aufgrund dessen werden in ganz Europa Maßnahmen zur Netzwerksicherheit hochgefahren und Cyberabteilungen verstärkt.
Die EU-Richtlinie verpflichtet alle Mitgliedstaaten,
-
nationale Cybersicherheitsstrategien zu definieren,
-
die zuständigen nationalen Behörden zu benennen und
-
ein oder mehrere CSIRTs (Computer Security Incident Response Teams) einzurichten, um Cybersicherheitsvorfälle und -risiken zu erkennen, und schnellstmöglich darauf reagieren zu können.
Die NIS-Richtlinie sieht auch eine Zusammenarbeit der einzelnen CSIRT vor. Dies soll eine schnelle und wirksame operative EU-weite Zusammenarbeit bei Bedrohungen und Zwischenfällen fördern. Zudem soll eine strategische „NIS-Kooperationsgruppe“ zur Unterstützung und Erleichterung der Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten eingerichtet werden.
Darüber hinaus definiert die NIS-Richtlinie Mindestanforderungen und Meldepflichten wobei Sicherheitsvorfälle ab einer bestimmten Größenordnung/ab einem gewissen Ausmaß den zuständigen nationalen Behörden gemeldet werden müssen.
Nutzen für BürgerInnen und Unternehmen
Für BürgerInnen und Unternehmen ist das Funktionieren der Strom- oder Trinkwasserversorgung, des Flug- und Straßenverkehrs oder der Gesundheitsversorgung essentiell. Angriffe auf diese IKT-Systeme können zu massiven und auch langwierigen Beeinträchtigungen führen.
Online-Marktplätze oder Suchmaschinen sind zwar nicht Teil der Grundversorgung, doch viele Unternehmen und BürgerInnen sind vom reibungslosen Funktionieren des Internets abhängig. Viele Unternehmen bieten ihre Dienste und Produkte via Internet an, der Ausfall von Online Marktplätzen oder Online Suchmaschinen kann zu erheblichen Gewinneinbußen führen. Auch im privaten Bereich würde es zu einer Beeinträchtigung des Alltagslebens kommen.
Unternehmen speichern Daten digital (ob in einer Cloud oder lokal) ab, ein Cyber Angriff kann hier massive Schäden anrichten und zudem – über das betroffene Unternehmen hinaus – das Vertrauen in IKT beeinträchtigen.
Was ist nun zu tun?
Um Sicherheitsmaßnahmen so umzusetzen, wie es die NIS-RL und daraus abgeleitet in Österreich das Cyber Sicherheitsgesetz (Anmerkung: ist noch nicht in Kraft, Stand August 2018) erfordern, muss ein entsprechendes Sicherheitsmanagement etabliert werden. Hier werden insbesondere internationale Sicherheitsstandards wie ISO 27001 empfohlen.
secriso Consulting ist Vorreiter beim Aufbau von Informationssicherheits-Managementsystemen nach ISO 27001 und
verfügt über jahrelange Erfahrung - auch in Bereichen der kritischen Infrastruktur, wie z.B. Energieversorger.
Das Know-How als Zertifizierungsauditor, umfangreiche Dokumentationsgrundlagen
(Richtlinien, Verfahrensbeschreibungen etc.) nach ISO 27001 und ein straffes Projektmanagement zeichnen uns aus",
so Thorsten Jost - Geschäftsführer der secriso Consulting GmbH.