Akkreditierte
NIS-Prüfer

Pflichten von Betreibern wesentlicher Dienste

Kontaktstelle bekanntgeben

Betreiber wesentlicher Dienste haben dem Bundeskanzler innerhalb von zwei Wochen nach Zustellung des Bescheids eine Kontaktstelle für die Kommunikation mit dem Bundeskanzler, dem Bundesministerium für Inneres und den Computer-Notfallteams zu nennen. Hinsichtlich der Erreichbarkeit gibt das NISG vor, dass der Betreiber über die Kontaktstelle jedenfalls in jenem Zeitraum erreichbar zu sein hat, in dem der Betreiber den wesentlichen Dienst zur Verfügung stellt. Als wesentlicher Dienstleister sind jene Betreiber anzusehen, die für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässliche Dienste erbringen

 

Technische und organisatorische Sicherheitsvorkehrungen treffen (ISMS)

Betreiber haben in Hinblick auf die Netz- und Informationssysteme, die sie für die Bereitstellung des wesentlichen Dienstes nutzen, geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen, welche dem Stand der Technik entsprechen. Diese müssen ein dem bestehenden Risiko angemessenes Sicherheitsniveau gewährleisten und sicherstellen, dass den Auswirkungen von Sicherheitsvorfällen vorgebeugt bzw. diese so gering wie möglich gehalten werden, um die Verfügbarkeit der Dienste zu gewährleisten.

 

Meldepflicht

Ist ein wesentlicher Dienst von einem Sicherheitsvorfall betroffen, so hat der Betreiber des wesentlichen Dienstes dies unverzüglich an das zuständige Computer-Notfallteam zu melden. Hier gilt der Grundsatz, dass einer möglichst frühzeitigen Meldung Vorrang gegenüber ihrer Vollständigkeit zu geben ist. Die Meldung muss Angaben zum Sicherheitsvorfall und den technischen Rahmenbedingungen, die zum Zeitpunkt der Erstmeldung bekannt sind, enthalten.

Bei einem Sicherheitsvorfall handelt es sich um eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen, die zur Einschränkung von Verfügbarkeit oder zu einem Ausfall des wesentlichen Dienstes geführt hat. Diese Meldepflicht besteht unabhängig davon, ob die IT an einen externen Dienstleister ausgelagert wurde oder vom Betreiber selbst betrieben wird. In Österreich besteht eine Pflicht zur Meldung von Sicherheitsvorfällen mit tatsächlichen (in anderen Ländern auch möglichen) erheblichen Auswirkungen auf die Verfügbarkeit der wesentlichen Dienste. In diesem Zusammenhang sind sektorspezifische Erheblichkeitsschwellen und Kriterien für die Parameter eines Sicherheitsvorfalls zu berücksichtigen.

 

Nachweis der Erfüllung der Anforderungen an die Sicherheitsvorkehrungen

Nach Zustellung des Bescheids haben Betreiber wesentlicher Dienste mindestens alle drei Jahre die Erfüllung der Anforderungen an die Sicherheitsvorkehrungen gegenüber dem Bundesminister für Inneres nachzuweisen. Zu diesem Zweck wird eine Aufstellung der vorhandenen Sicherheitsvorkehrungen durch den Nachweis durchgeführter Überprüfungen durch eine qualifizierte Stelle übermittelt. Dabei müssen im Zuge der Prüfung aufgedeckte Sicherheitsmängel ebenso kommuniziert werden.

Sicherheitsmaßnahmen

Sicherheitsvorkehrungen, die geeignet sind und den Stand der Technik berücksichtigen, sowie zur Gewährleistung der Netz- und Informationssystemsicherheit zu treffen sind, umfassen die Sicherheitsmaßnahmen zu folgenden Kategorien, deren angemessene Umsetzung im Zuge einer NIS-Prüfung durch eine qualifizierte Stelle unter anderem evaluiert wird:

Governance und Risikomanagement

Risikoanalyse
Eine Risikoanalyse der Netz- und Informationssysteme ist durchzuführen. Dabei sind spezifische Risiken auf Grundlage einer Analyse der betrieblichen Auswirkungen von Sicherheitsvorfällen zu ermitteln und hinsichtlich der hohen Bedeutung des Betreibers wesentlicher Dienste für das Funktionieren des Gemeinwesens zu bewerten.

Sicherheitsrichtlinie
Eine Sicherheitsrichtlinie ist zu erstellen und periodisch zu aktualisieren.

Überprüfungsplan der Netz- und Informationssysteme
Die Durchführung der periodischen Überprüfung der Netz- und Informationssystemsicherheit ist zu planen und festzulegen.

Ressourcenmanagement
Alle Ressourcen, die erforderlich sind, um die Funktionsfähigkeit der Netz- und Informationssysteme zu gewährleisten, sind im Hinblick auf kurz-, mittel- und langfristige Kapazitätsanforderungen einzuplanen und sicherzustellen.

Informationssicherheits-Management-Systemprüfung
Die periodische Überprüfung des Informationssicherheits-Management-Systems ist festzulegen und durchzuführen.

Personalwesen
Sicherheitsrelevante Aspekte sind in den Prozessen des Personalwesens zu berücksichtigen und umzusetzen.

Umgang mit Dienstleistern, Lieferanten und Dritten

Beziehungen
Anforderungen an Dienstleistern, Lieferanten und Dritte für den Betrieb von, einen sicheren Zugang zu und Zugriff auf Netz- und Informationssysteme sind festzulegen und periodisch zu überprüfen.

Leistungsvereinbarungen
Die Leistungsvereinbarungen mit Dienstleistern und Lieferanten sind periodisch zu überprüfen und zu überwachen.

Sicherheitsarchitektur

Systemkonfiguration
Netz- und Informationssysteme sind sicher zu konfigurieren. Diese Konfiguration ist strukturiert zu dokumentieren. Die Dokumentation ist aktuell zu halten.

Vermögenswerte
Vermögenswerte, die im Zusammenhang mit Netz- und Informationssystemen stehen, sind strukturiert zu analysieren und zu dokumentieren.

Netzwerksegmentierung
Eine Segmentierung der Netzwerke ist innerhalb der Netz- und Informationssysteme abhängig vom Schutzbedarf vorzunehmen.

Netzwerksicherheit
Die Sicherheit innerhalb der Netzwerksegmente und der Schnittstellen zwischen den Netzwerksegmenten ist zu gewährleisten.

Kryptographie
Vertraulichkeit, Authentizität und Integrität von Informationen sind durch den angemessenen und wirksamen Einsatz kryptographischer Verfahren und Technologien sicherzustellen.

Systemadministration

Administrative Zugangsrechte
Administrative Zugangsrechte sind eingeschränkt nach dem Minimalrechtsprinzip zuzuweisen. Diese Zuweisungen sind periodisch zu überprüfen und gegebenenfalls anzupassen.

Systeme und Anwendungen zur Systemadministration
Systeme und Anwendungen zur Systemadministration sind ausschließlich für Tätigkeiten zum Zweck der Systemadministration zu verwenden. Die Sicherheit dieser Systeme und Anwendungen ist zu gewährleisten.

Identitäts- und Zugriffsmanagement

Identifikation und Authentifikation
Es sind Verfahren umzusetzen und Technologien einzusetzen, die die Identifikation und Authentifikation von Benutzern und Diensten gewährleisten.

Autorisierung
Es sind Verfahren umzusetzen und Technologien einzusetzen, die unautorisierte Zugriffe auf Netz- und Informationssysteme unterbinden.

Systemwartung und Betrieb

Systemwartung und Betrieb
Abläufe und Vorgänge zur Gewährleistung eines sicheren Systembetriebs von Netz- und Informationssystemen sind einzuführen und periodisch zu überprüfen.

Fernzugriff
Fernzugriff ist eingeschränkt nach dem Minimalrechtsprinzip und zeitlich beschränkt zu vergeben. Die Fernzugriffsrechte sind periodisch zu überprüfen und gegebenenfalls anzupassen. Die Sicherheit des Fernzugriffs ist zu gewährleisten.

Physische Sicherheit

Physische Sicherheit
Der physische Schutz der Netz- und Informationssysteme, insbesondere der physische Schutz vor unbefugtem Zutritt und Zugang, ist zu gewährleisten.

Erkennung von Vorfällen

Erkennung
Mechanismen zur Erkennung und Bewertung von Vorfällen sind umzusetzen.

Protokollierung und Monitoring
Mechanismen zu Protokollierung und Monitoring, insbesondere von für die Erbringung des wesentlichen Dienstes essentiellen Tätigkeiten und Vorgängen, sind umzusetzen.

Korrelation und Analyse
Mechanismen zur Erkennung und adäquaten Bewertung von Vorfällen durch die Korrelation und Analyse der ermittelten Protokolldaten sind umzusetzen.

Bewältigung von Vorfällen

Vorfallsreaktion
Prozesse zur Reaktion auf Vorfälle sind zu erstellen, aufrechtzuerhalten und zu erproben.

Vorfallsmeldung
Prozesse zur internen und externen Meldung von Vorfällen sind zu erstellen, aufrechtzuerhalten und zu erproben.

Vorfallsanalyse
Prozesse zur Analyse und Bewertung von Vorfällen und zur Sammlung relevanter Informationen sind zu erstellen, aufrechtzuerhalten und zu erproben, um den kontinuierlichen Verbesserungsprozess zu fördern.

Betriebskontinuität

Betriebskontinuitätsmanagement
Die Wiederherstellung der Erbringung des wesentlichen Dienstes auf einem zuvor festgelegten Qualitätsniveau nach einem Sicherheitsvorfall ist zu gewährleisten.

Notfallmanagement
Notfallpläne sind zu erstellen, anzuwenden, regelmäßig zu bewerten und zu erproben.

Krisenmanagement

Krisenmanagement
Rahmenbedingungen und Prozessabläufe des Krisenmanagements sind für die Aufrechterhaltung des wesentlichen Dienstes vor und während eines Sicherheitsvorfalls zu definieren, umzusetzen und zu erproben.

Bei sämtlichen Sicherheitsmaßnahmen ist bei der Umsetzung auf ein angemessenes Verhältnis zwischen dem feststellbaren Ausmaß einer Bedrohung und der wirtschaftlichen Belastung Wert zu legen. Wenn aus technischen oder betriebswirtschaftlichen Gründen die Umsetzung einzelner Sicherheitsmaßnahmen nicht gänzlich möglich ist, sind die dadurch bedingten Abweichungen bei der Umsetzung durch risikominimierende Maßnahmen und kompensatorische Kontrollen auszugleichen. Dabei ist zu empfehlen, dass die Umsetzung der Sicherheitsmaßnahmen auf Basis einer durchgeführten Risikoanalyse zu erfolgen hat.

 

 

Prüfprozess

Hier finden Sie Informationen zum Ablauf von NIS-Prüfungen.


Weitere Infos  

Industrie

OT-Security bzw. IACS-Security bezieht sich auf Sicherheit in industriellen Umgebungen.


Weitere Infos  

Beratung

Ob Prüfungsvorbereitung oder generelle Verbesserung Ihrer Sicherheit - hier sind Sie richtig.


Weitere Infos  

Publikationen

Hier finden Sie eine Auswahl wichtiger NIS-spezifischer Publikationen.


Weitere Infos