Das Netz- und Infor­ma­tion­ssys­tem­sicher­heits­ge­setz — NISG (siehe Veröf­fentlichung) bet­rifft nur definierte Branchen, die im §2 des Geset­zes definiert wer­den:
Energie, Verkehr, Bankwe­sen, Finanz­mark­t­in­fra­struk­turen, Gesund­heitswe­sen, Trinkwasserver­sorgung, Dig­i­tale Infra­struk­turen als Betreiber wesentlich­er Dien­ste. Darüber hin­aus auch Anbi­eter dig­i­taler Dien­ste wie zum Beispiel Online-Mark­t­plätze, Online-Such­maschi­nen und Cloud-Com­put­ing-Dien­ste sowie die Ein­rich­tun­gen der öffentlichen Ver­wal­tung.

Ob ein Unternehmen die Anforderun­gen des Netz- und Infor­ma­tion­ssys­tem­sicher­heits­ge­setz als Betreiber wesentlich­er Dien­ste erfüllen muss, wird vom Bun­deskan­zler fest­gelegt und den betrof­fe­nen Unternehmen voraus­sichtlich ab Q2 2019 per Bescheid zugestellt. Durch die Neube­set­zung der Öster­re­ichis­chen Bun­desregierung gehen wir jedoch von ein­er späteren Zustel­lung aus.

Als Anbi­eter dig­i­taler Dien­ste muss man selb­st tätig wer­den und prüfen, ob die Anforderun­gen des NISG erfüllt wer­den müssen.

Für Betreiber wesentlich­er Dien­ste in Öster­re­ich gibt es keine ISO 27001 Zer­ti­fizierungspflicht, jedoch die Verpflich­tung in den fest­gelegten Sparten

  1. Gov­er­nance und Risiko­man­age­ment
  2. Umgang mit Liefer­an­ten und Drit­ten
  3. Sicher­heit­sar­chitek­tur
  4. Sys­temad­min­is­tra­tion
  5. Iden­titäts- und Zugriff­s­man­age­ment
  6. Sys­temwartung und Betrieb
  7. Physis­che Sicher­heit
  8. Erken­nung von Vor­fällen
  9. Bewäl­ti­gung von Vor­fällen
  10. Betrieb­skon­ti­nu­ität
  11. Krisen­man­age­ment

entsprechende Maß­nah­men zu imple­men­tieren und inner­halb eines Zeitraumes von 3 Jahren den Nach­weis der oper­a­tiv­en Wirk­samkeit durch regelmäßige Audits zu erbrin­gen.

Obwohl es keine ISO 27001 Zer­ti­fizierungspflicht gibt, ist es unser­er Ansicht nach wesentlich eine struk­turi­erte Vor­gangsweise zu etablieren. Empfehlenswert ist hier das Map­pings der Sparten mit den Anforderun­gen der ISO 27001. Schlussge­fol­gert ist eine Nutzung der ISO 27001 sin­nvoll und empfehlenswert, da der KVP Prozess für die NISG Nach­weise genutzt wer­den kann. Natür­lich gibt es eine große Menge weit­er­er Vorteile ein­er ISO 27001 Zer­ti­fizierung, lesen Sie dazu auch unseren weit­eren Artikel “Soll ich mein Unternehmen nach ISO 27001 zer­ti­fizieren?”.

In unserem näch­sten Beitrag der ISO 27001 Serie wer­den wir beleucht­en wie wichtig die Ein­führung eines ISMS Sys­tems nach ISO 27001 für Liefer­an­ten großer Auf­tragge­ber ist und welche Vorteile das im Liefer­an­ten Man­age­ment hat.