Wir sind jetzt auch „QuaSte“ – Qualifizierte Stelle zur Überprüfung der Einhaltung des NIS-Gesetzes

news

SEC Consult steht seinen Kunden ab sofort auch als Qualifizierte Stelle („QuaSte“) für die Umsetzung des NIS-Gesetzes zur Verfügung. Unsere Audit-erfahrenen Mitarbeiter*innen unterstützen nachweispflichtige Unternehmen und Organisationen vollumfänglich bei der Erfüllung der Vorgaben in allen 11 im Gesetz angeführten Kategorien.

Die NIS-Richtlinie der EU aus dem Jahr 2016 wurde 2018 in Österreich in Form des NIS-Gesetzes zum Schutz kritischer Infrastruktur implementiert. Damit gibt es erstmals umfassende Regelungen im Bereich Cybersicherheit auf europäischer und nationaler Ebene, um ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu gewährleisten. Die aus dem NIS-Gesetz abgeleitete Verordnung regelt nun, welche Maßnahmen Betreiber wesentlicher Dienste, Anbieter digitaler Dienste und Einrichtungen der öffentlichen Verwaltung zum Schutz vor Cyberattacken ergreifen müssen.

Das Bundeskanzleramt (BKA) informiert per Bescheid jene Organisationen, die als sogenannte „Betreiber wesentlicher Dienste“ identifiziert wurden. Dies deckt die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastrukturen ab. Darüber hinaus sind auch sogenannte „Anbieter digitaler Dienste“ betroffen, also Unternehmen, die digitale Leistungen in den Kategorien Online-Marktplatz, Online-Suchmaschine oder Cloud-Computing-Dienste bereitstellen.

Die bisher angewandten Sicherheitsmaßnahmen müssen intern geprüft werden, ob sie den NIS-Anforderungen gerecht werden. Ergänzend dazu kommt die Evaluierung und Etablierung zusätzlicher Mittel und weiterer, notwendiger Schritte. Die Organisationen sind verpflichtet, mindestens alle drei Jahre die Effektivität der für ihre Netz- und Informationssysteme getroffenen technischen und organisatorischen Sicherheitsvorkehrungen beim Bundesministerium für Inneres (BMI) nachzuweisen und kritische Vorfälle unverzüglich zu melden.

Hier kommt nun die Qualifizierte Stelle (QuaSte) ins Spiel, die alle Maßnahmen auf ihre Angemessenheit und Verlässlichkeit hin überprüft. Was eine QuaSte ist, wie man eine QuaSte wird und was unsere QuaSte-Auditor*innen tun, um unsere Kunden bei der Absicherung ihrer Systeme zu unterstützen, finden Sie hier kurz zusammengefasst.

QuaSte-FAQ's

  • Was genau ist eine Qualifizierte Stelle?
    Eine Qualifizierte Stelle ist ein Unternehmen, das vom Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) ermächtigt wird, als externer Auditor alle Sicherheitsvorkehrungen zum Schutz kritischer Infrastruktur von Betreibern wesentlicher Dienste zu überprüfen.

 

  • Weshalb kann nicht jeder beliebige Dienstleister diese Aufgabe übernehmen?
    Die Bevölkerung muss sich darauf verlassen können, dass jene kritischen Systeme, die für das Funktionieren der Daseinsvorsorge und des Wirtschaftslebens wesentlich sind, vor Cyberattacken angemessen geschützt sind. Die Überprüfung dieser Sicherheitsvorkehrungen ist also eine höchst verantwortungsvolle Aufgabe, deren Ausführung großes Wissen, viel Erfahrung und absolute Vertrauenswürdigkeit erfordert. Den Nachweis, dafür qualifiziert zu sein, müssen Unternehmen, die eine QuaSte werden wollen, im Rahmen eines Akkreditierungsprozesses erbringen.

 

  • Wie läuft der Akkreditierungsprozess ab?
    Nach Antragstellung erhält das Unternehmen eine einmalige Kennung, die künftig bei der Übermittlung der Nachweise verwendet werden muss. So wird die QuaSte eindeutig identifiziert und eine mögliche missbräuchliche Verwendung verhindert. Dann muss das Unternehmen unter anderem nachweisen, dass seine eigenen Netz- und Informationssysteme technisch und organisatorisch sicher sind, angeben, welche Werkzeuge es verwendet, und den zukünftigen Prüfprozess detailliert und aussagekräftig beschreiben. Nach sicherer Übermittlung der Nachweise an das BMI werden die Informationen geprüft und im Erfolgsfall erhält das Unternehmen die positive Nachricht, als QuaSte agieren zu können, per Bescheid.

 

  • Welche Voraussetzungen müssen die Auditor*innen einer QuaSte erfüllen?
    Jede Auditorin, jeder Auditor muss eine Sicherheitsüberprüfung durchlaufen. Dabei wird ihre/seine Vertrauenswürdigkeit anhand personenbezogener Daten beurteilt, die Aufschluss darüber geben, ob Anhaltspunkte vorhanden sind, dass sie oder er selbst Cyberattacken durchführen würde. Dazu kommt noch der Nachweis der fachlichen Kenntnisse und einer einschlägigen Berufserfahrung (z.B. durch Dienstzeugnisse) sowie allfälliger zusätzlicher Ausbildungen oder Zertifizierungen.

 

  • Was geschieht, wenn Sicherheitsmängel entdeckt werden?
    In dem Fall machen die Expert*innen von SEC Consult das, was sie auch sonst tun, wenn sie Schwachstellen entdecken. Sie schlagen entsprechende Maßnahmen vor, die geeignet sind die Schwachstellen nachhaltig zu schließen. Unsere Mitarbeiter*innen bringen Erfahrung aus unzähligen Sicherheitsüberprüfungen und Assessments ein. Ausgestattet mit erprobten Analysetools und immer up to date, was die neuesten Bedrohungen betrifft, sind sie unser wichtigstes Asset, um unseren Kunden ein verlässlicher Partner zu sein.

 

  • Viele Organisationen wollen, ohne gesetzlich verpflichtet zu sein, ihren Kunden auch aus eigener Initiative beweisen, dass sie vertrauenswürdige Partner in Sachen Cybersicherheit sind. Dies betrifft Betriebe aller Größen. Was können Unternehmen tun, die sich freiwillig selbst dazu verpflichten wollen, ihre Sorgfalt und ihr Verantwortungsbewusstsein zu dokumentieren?
    Wir von SEC Consult stehen unseren Kunden natürlich nicht nur zur Seite, wenn akute Gefahr oder Sanktionen drohen. Unsere Security-Expert*innen  unterstützen Unternehmen kontinuierlich in ihrem Bemühen, ihre Netzwerke und Systeme sicherer zu machen. Ein Gütesiegel, das zeigt, dass essenzielle Mindestsicherheitsmaßnahmen für Cybersicherheit umgesetzt worden sind und, dass das Thema einen entsprechenden Stellenwert in der jeweiligen Organisation hat, kann einen entscheidenden Wettbewerbsvorteil bieten.

 

 

Wie läuft eine Überprüfung durch SEC Consult ab?

Bei der Überprüfung geht SEC Consult - in Anlehnung an ISO 19011 - in fünf Phasen vor. Alles beginnt mit der Initialisierung der Prüfung. Hier wird der Erstkontakt mit der nachweispflichtigen Organisation hergestellt und die Machbarkeit der Prüfung bestätigt. So wird beispielsweise darauf geachtet, dass wir ausreichend Informationen für die Durchführung der Prüfung erhalten bzw. der Scope festgelegt wird.

In der zweiten Phase wird die Prüfung vorbereitet und im Prüfplan dokumentiert. Ein genauer Prüfplan ist die Basis, um auch die späteren Schritte effizient abwickeln und sich mit allen Beteiligten laufend abstimmen zu können. Da SEC Consult auch in der Standardisierung tätig ist, verfügen wir bei der Festlegung der entsprechenden Prüfkataloge über Kenntnisse aus erster Hand.

Die SEC Consult-Auditor*innen überprüfen in der dritten Phase gemeinsam mit den Mitarbeiter*innen der Organisation, ob die technischen und organisatorischen Sicherheitsmaßnahmen angemessen und auch wirksam sind.

Die Ergebnisse werden anschließend in der vierten Phase in einem Prüfbericht dokumentiert. Im Prüfbericht legen wir den Schwerpunkt vor allem auf die Nachvollziehbarkeit der Darstellung der geprüften Bereiche und die verwendete Methodik. Mit der Beurteilung des Berichts durch eine zweite, nicht beteiligte Prüfer*in gewährleistet SEC Consult einen objektiven Blick auf die Erfüllung der Vorgaben. Dieser Abschlussbericht ergeht an die geprüfte Organisation und muss von diesem an das BMI übermittelt werden. Im Zuge dieser Phase erfolgt auch die Ergebnispräsentation, in deren Rahmen wir die Resultate präsentieren und mit den Mitarbeiter*innen der Organisation besprechen bzw. mögliche Handlungsempfehlungen ableiten.

Die fünfte und letzte Phase ist die Nachbehandlung. In der Nachbehandlung behebt die geprüfte Organisation etwaige Sicherheitsmängel. Die Behebung wird anschließend von SEC Consult verifiziert und – falls zufriedenstellend – bestätigt.

Neues Label „Cyber Trust Austria“

Mit dem neuen Label „Cyber Trust Austria“ gibt es in Österreich ein Instrument, das bestimmte Sicherheitsmaßnahmen bewertet und Unternehmen sowie Organisationen eine kostengünstige und niederschwellige Möglichkeit der Ausschilderung bietet, um ihre Vertrauenswürdigkeit auch sichtbar zu dokumentieren.

Das jährlich zu erneuernde Cyber Trust Label basiert auf dem Cyber-Risk-Rating-Schema, das vom Kuratorium Sicheres Österreich (KSÖ) in Zusammenarbeit mit dem KSV1870 erarbeitet wurde. Es gibt zwei Stufen, wobei das Basis-Label auch für kleinere Unternehmen und Organisationen geeignet ist. Die 14 Basissicherheitskriterien sind für jedes Unternehmen mit einem überschaubaren Aufwand umsetzbar. Bewertet wird die Erfüllung der Anforderungen anhand einer validierten, von unabhängigen Fachleuten überprüften, Selbstdeklaration.

Das fortgeschrittene Gold-Label wendet sich an Unternehmen und Organisationen, die, beispielweise als Zulieferer von Betreibern wesentlicher Dienste gemäß §16 NIS-Gesetz in kritischeren Bereichen, ein höheres Sicherheitsniveau erfüllen müssen oder wollen. Sie können mit dem Gütesiegel ihre Position auf dem Markt stärken. Zusätzlich zu den oben erwähnten 14 Basisanforderungen sind noch 11 weitere Kriterien umzusetzen, die eine intensivere Vorbereitung benötigen. Da die Bewertung durch einen externen Audit erfolgt, nimmt dieser Prozess etwas mehr Zeit in Anspruch. Der Audit muss durch einen qualifizierten Prüfer mit QuaSte-Akkreditierung durchgeführt werden. Somit können wir auch jene Unternehmen unterstützen, die zwar selbst nicht unter das NIS-Gesetz fallen, aber mit nachweispflichtigen Organisationen im Sinne des NIS-Gesetzes Geschäftsbeziehungen pflegen.

Über den Autor

[Translate to German:]
Amir Salkic
SEC Consult
Principal Security Consultant

Amir ist studierter Informatiker mit über 13 Jahren Berufserfahrung und zugelassener NIS-Prüfer. Er verantwortet den Bereich „Information Security Management“ und berät nationale sowie internationale Unternehmen rund um das Thema organisatorische Informationssicherheit. Gemeinsam mit seinem Team hat er bereits über 350 Projekte in mehr als 20 Ländern auf drei Kontinenten für verschiedene Branchen und unterschiedliche Unternehmensgrößen umgesetzt.