Bereit für NISG & NISV? – Anforderungen an den Umgang mit Sicherheitsvorfällen

news

Es ist so weit – Österreich hat mit dem Beschluss der Netz- und Informationssystemsicherheitsverordnung (NISV) nun konkrete Netzwerk- und Informationssicherheitsanforderungen für Anbietern wesentlicher Dienste i.S.d. Netz- und Informationssystemsicherheitsgesetz (NISG) festgelegt.

Zusammen bilden das Netz- und Informationssystemsicherheitsgesetz (NISG) und die Netz- und Informationssystemsicherheitsverordnung (NISV) zukünftig einen umfassenden Rechtsrahmen, der die Cybersicherheit für Betreiber kritischer Dienste bzw. kritischer Infrastruktur in Österreich regeln soll – somit ein guter Anlass, sich mit einzelnen, darin enthaltenen Anforderungen näher auseinander zu setzen.

Grundlegende Fragestellungen

Betrachten wir in diesem Zusammenhang nun die Inhalte und Anforderungen des NISG, sowie die damit verbundenen Konkretisierungen der neuen NISV, aus der Perspektive der Informationssicherheit, etwas genauer. Neben zahlreichen Verwaltungsbestimmungen und sektorspezifischen Regelungen, stellt vor allem der angemessene Umgang mit (Cyber-)Sicherheitsvorfällen einen Kern des Gesamtinhaltes dar. Doch oftmals ist unklar, was für Themen diese Anforderung denn eigentlich beinhaltet, noch weniger wie in diesem Zusammenhang die Angemessenheit zu sehen ist.

Um sich einen besseren Eindruck über die daraus resultierenden konkreten Handlungsfelder zu verschaffen, sollte man zunächst auf die nachfolgenden Fragen eingehen:

Was sind Sicherheitsvorfälle i.S.d. NISG bzw. der NISV?

Das NISG bzw. die NISV verstehen unter Sicherheitsvorfällen „…eine Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen, die zu einer Einschränkung der Verfügbarkeit oder zu einem Ausfall des betriebenen Dienstes mit erheblichen Auswirkungen…“ führt. In anderen Worten: Sicherheitsvorfälle im Sinne der NISG/NISV beschreiben schwerwiegende Cyber-Sicherheitsvorfälle, die Auswirkungen auf kritische Dienste haben.

Welche Anforderungen an den Umgang mit Sicherheitsvorfällen sind umfasst?

Gemäß NISG §3 Z 2 wird die „Netz- und Informationssystemsicherheit (NIS)“, welche es zu erreichen gilt, als „die Fähigkeit, Sicherheitsvorfällen vorzubeugen, diese zu erkennen, abzuwehren und zu beseitigen“ beschrieben. Betroffene Anbieter müssen somit sicherstellen, dass sie Cyber-Sicherheitsvorfälle nicht nur verhindern, sondern auch erkennen, auf diese reagieren und diese in der Folge auch beseitigen können.

Welche grundlegenden Pflichten treffen Anbieter bzgl. auftretender Sicherheitsvorfälle?

Anbieter wesentlicher Dienste werden zukünftig folgende Pflichten auferlegt:

  1. Umsetzung angemessener technischer und organisatorischer Schutzmaßnahmen für deren Netzwerke und IT-Systeme, um Sicherheitsvorfällen vorzubeugen.
  2. Umsetzung geeigneter Maßnahmen für die korrekte Handhabung auftretender Sicherheitsvorfälle.
  3. Erstatten von fristgerechten Meldungen an nationale oder sektorspezifische Notfallteams (z.B. CERT.atEnergyCERT) bei Sicherheitsvorfällen.
  4. Regelmäßige Kontrolle der eigenen Schutzmaßnahmen und ggf. Nachweis von entsprechenden Prüfberichten und Feststellungen gegenüber den Aufsichtsbehörden.

 

Maßnahmen für das Sicherheitsvorfall-Managemen

Eine der wohl am häufigsten auftretenden Fragen, ist die nach konkreten Schutzmaßnahmen, die es nun unter dem NISG umzusetzen gilt. Bisher fiel die Antwort hierauf jedoch meist sehr vage bzw. meist mit einem Verweis auf andere Standardwerke (z.B. ISO 27001) aus. Mit der Anlage 1 der NISV ändert sich dies nun jedoch, da mit dieser seitens des Gesetzgebers konkrete Anforderungen an umzusetzende Sicherheitsmaßnahmen definiert wurden.

Als Anforderungen an Maßnahmen für das Management von Sicherheitsvorfällen beschreibt die NISV die nachfolgenden drei Punkte:

  1. Die Vorfallsreaktion. Anbieter müssen sicherstellen, dass Prozesse für die schnelle und effektive Reaktion auf auftretende Sicherheitsvorfälle etabliert sind.
  2. Die Vorfallsmeldung. Bei der Vorfallsmeldung muss sichergestellt werden, dass Anbieter Prozesse umgesetzt haben, die eine fristgerechte Meldung eines aufgetretenen Sicherheitsvorfalls zulassen.
  3. Die Vorfallsanalyse. Hierbei müssen Anbieter sicherstellen, dass angemessene Prozesse zur Analyse und Bewertung von Vorfällen umgesetzt sind, sodass die konkreten Eigenschaften eines Sicherheitsvorfalls rasch bestimmt und darauf basierend weitere Entscheidungen getroffen werden können.

 

Zusammengefasst werden Anbieter von wichtigen Diensten bzw. kritischer Infratruktur somit in Zukunft dafür sorgen müssen, dass im Unternehmen entsprechende Rahmenbedingungen für die Erkennung, Analyse, Meldung und Reaktion auf auftretenden Cyber-Sicherheitsvorfälle geschaffen werden. Da dies nur dann möglich ist, wenn sowohl die organisatorischen Strukturen wie Rollen und Prozesse, als auch die technischen Werkzeuge sowie fachlichen Kompetenzen im Unternehmen verfügbar sind, stellt die praktische Umsetzung dieser Aspekte eine Herausforderung dar.

Als Anbieter wesentlicher Dienste ist in einem ersten Schritt eine gründliche Evaluierung der eigenen Kapazitäten, Prozesse und Kompetenzen im Unternehmen vorzunehmen. Aus unserer Tätigkeit und der Unterstützung bei der Abwehr von Sicherheitsvorfällen wissen wir, dass diese immer zum schlechtesten Zeitpunkt auftreten und kurzzeitig eine deutlich höhere Kapazität,  Ressourcen, Cybersecurity Knowhow und Manpower erfordern als im Regelbetrieb vorhanden ist. Für viele Anbieter von wichtigen Diensten mach es Sinn, diese Kapazitäten und Manpower für den Ernstfall über Bereitstellungsverträge zu sichern und dadurch schnell und zielgerichtet reagieren zu können.

 

Unterstützung vom Profi

Sollten Sie selbst in der Situation sein, dass Sie als Anbieter eines wesentlichen Dienstes oder aus sonstigen Gründen den zukünftigen Regelungen des NISG bzw. der NISV unterliegen, kommen auf Sie zahlreiche spannende Herausforderungen zu. Alles in allem sind die neuen Rahmenbedingungen ein wesentlicher Schritt im Bereich der Cyber-Sicherheit in Österreich, insbesondere auch für den Schutz kritischer Infrastruktur.

Allerdings kann die Umsetzung der spezifischen Inhalte ein durchaus kompliziertes und langwieriges Unterfangen darstellen. Insbesondere wenn ein Unternehmen bisher noch kaum über Erfahrungen in diesem Bereich verfügt. Hierbei kann der Einsatz von und Zusammenarbeit mit externen Spezialisten ein guter Weg sein, diesen Schwierigkeiten entgegenzuwirken. Dannhaben Sie den Vorteil, bereits auf bestehender Expertise und einer umfassenden Wissensbasis aufbauen zu können.

Als langjährige Experten im Feld der Informationssicherheit und der Behandlung von Cyber-Sicherheitsvorfällen, stellt SEC Consult in diesem Zusammenhang einen zuverlässigen Partner da. Insbesondere mit den von uns angebotenen SEC Defence Partnerschaften, unterstützen wir als Experten für die Behandlung von Sicherheitsvorfällen und digitaler Forensik, bereits zahlreiche Unternehmen bei ihrem erfolgreichen Umgang mit auftretenden Vorfällen. Dabei stellen wir stets sicher, dass wir sämtlichen regulatorischen Anforderungen – wie bspw. dem NISG – Rechnung tragen und somit bereits zu Beginn ein hohes Maß an Compliance für unserer Partner sicherstellen können.

 

Haben Sie Interesse an einer Zusammenarbeit zu den Themen NISG bzw. der NISV?