Ende Juli wurden die wesentlichen Durchführungsverordnungen zum NISG erlassen. Erst durch sie wird geregelt, wer vom NISG tatsächlich betroffen ist.

Mit dem NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz) setzt Österreich eine EU-Richtline um, die ein hohes Sicherheitsniveau der Netz- und Informationssysteme in der gesamten Union gewährleisten soll. Unternehmen aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren haben adäquate Cyber-Sicherheitsmaßnahmen einzuführen und gröberer Störfälle umgehend zu melden. Ende Juli wurden nun die wesentlichen Durchführungsverordnungen erlassen, die das NISG konkretisieren und festlegen, wen die Verpflichtungen tatsächlich treffen.

 

Betroffene Unternehmen

Betroffen sind Betreiber wesentlicher Dienste aus den Sektoren Energie, Verkehr, Finanzmarkt, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitaler Infrastruktur, Anbieter digitaler Dienste (z.B. Cloud-Computing-Dienste, Suchmaschinen oder Online-Marktplätze) sowie Einrichtungen des Bundes. Diese Dienste spielen als kritische Infrastrukturen eine immer wichtigere Rolle und ihre Verfügbarkeit und ihr Funktionieren werden heutzutage durch Cyberangriffe und Cyberkriminalität bedroht. Die nun kundgemachte Verordnung enthält konkrete Schwellwerte, die zeigen, ob ein Unternehmen das NISG anzuwenden hat und Schwellwerte, die einen Sicherheitsvorfall definieren. Sämtliche betroffene Unternehmen müssen entsprechende Sicherheitsvorkehrungen treffen und unterliegen speziellen Meldepflichten.

 

Meldepflichten

Cybervorfälle können aufgrund des NISG nicht mehr verschwiegen werden, sondern müssen unverzüglich an ein sektorspezifisches Computer Emergency Response Team (CERT) gemeldet werden, welches wiederum an das Bundesministerium für Inneres berichtet. Werden Vorfälle nicht gemeldet oder Sicherheitsvorkehrungen nicht getroffen drohen Verwaltungsstrafen bis zu 50.000€, im Wiederholungsfall bis zu 100.000€.

 

Umsetzung der NIS Richtlinie

avedos unterstützt Sie in Kooperation mit T-Systems bei der Umsetzung der Vorgaben der NIS-Richtlinie - wahlweise als eigenständiger Prozess oder als Teil eines risiko- und chancenorientierten Informationssicherheitssystems. Weitere Infos zur NIS-Richtlinie finden Sie in unserem Webinar "Ready for NIS?" gemeinsam mit T-Systems: bit.ly/niswebinar

 

Die Links zu den Verordnungen:

bit.ly/nisverordnung1

bit.ly/nisverordnung2

 

avedos präsentiert: risk2value.library