Betrifft mich das neue Netz- und Informationssystemsicherheitsgesetz (NISG) und erfordert es eine ISO 27001 Zertifizierung?

Sie sind hier:>, Blog>Betrifft mich das neue Netz- und Informationssystemsicherheitsgesetz (NISG) und erfordert es eine ISO 27001 Zertifizierung?

Betrifft mich das neue Netz- und Informationssystemsicherheitsgesetz (NISG) und erfordert es eine ISO 27001 Zertifizierung?

Das Netz- und Infor­ma­tion­ssys­tem­sicher­heits­ge­setz — NISG (siehe Veröf­fentlichung) bet­rifft nur definierte Branchen, die im §2 des Geset­zes definiert wer­den:
Energie, Verkehr, Bankwe­sen, Finanz­mark­t­in­fra­struk­turen, Gesund­heitswe­sen, Trinkwasserver­sorgung, Dig­i­tale Infra­struk­turen als Betreiber wesentlich­er Dien­ste. Darüber hin­aus auch Anbi­eter dig­i­taler Dien­ste wie zum Beispiel Online-Mark­t­plätze, Online-Such­maschi­nen und Cloud-Com­put­ing-Dien­ste sowie die Ein­rich­tun­gen der öffentlichen Ver­wal­tung.

Ob ein Unternehmen die Anforderun­gen des Netz- und Infor­ma­tion­ssys­tem­sicher­heits­ge­setz als Betreiber wesentlich­er Dien­ste erfüllen muss, wird vom Bun­deskan­zler fest­gelegt und den betrof­fe­nen Unternehmen voraus­sichtlich ab Q2 2019 per Bescheid zugestellt. Durch die Neube­set­zung der Öster­re­ichis­chen Bun­desregierung gehen wir jedoch von ein­er späteren Zustel­lung aus.

Als Anbi­eter dig­i­taler Dien­ste muss man selb­st tätig wer­den und prüfen, ob die Anforderun­gen des NISG erfüllt wer­den müssen.

Für Betreiber wesentlich­er Dien­ste in Öster­re­ich gibt es keine ISO 27001 Zer­ti­fizierungspflicht, jedoch die Verpflich­tung in den fest­gelegten Sparten

  1. Gov­er­nance und Risiko­man­age­ment
  2. Umgang mit Liefer­an­ten und Drit­ten
  3. Sicher­heit­sar­chitek­tur
  4. Sys­temad­min­is­tra­tion
  5. Iden­titäts- und Zugriff­s­man­age­ment
  6. Sys­temwartung und Betrieb
  7. Physis­che Sicher­heit
  8. Erken­nung von Vor­fällen
  9. Bewäl­ti­gung von Vor­fällen
  10. Betrieb­skon­ti­nu­ität
  11. Krisen­man­age­ment

entsprechende Maß­nah­men zu imple­men­tieren und inner­halb eines Zeitraumes von 3 Jahren den Nach­weis der oper­a­tiv­en Wirk­samkeit durch regelmäßige Audits zu erbrin­gen.

Obwohl es keine ISO 27001 Zer­ti­fizierungspflicht gibt, ist es unser­er Ansicht nach wesentlich eine struk­turi­erte Vor­gangsweise zu etablieren. Empfehlenswert ist hier das Map­pings der Sparten mit den Anforderun­gen der ISO 27001. Schlussge­fol­gert ist eine Nutzung der ISO 27001 sin­nvoll und empfehlenswert, da der KVP Prozess für die NISG Nach­weise genutzt wer­den kann. Natür­lich gibt es eine große Menge weit­er­er Vorteile ein­er ISO 27001 Zer­ti­fizierung, lesen Sie dazu auch unseren weit­eren Artikel “Soll ich mein Unternehmen nach ISO 27001 zer­ti­fizieren?”.

In unserem näch­sten Beitrag der ISO 27001 Serie wer­den wir beleucht­en wie wichtig die Ein­führung eines ISMS Sys­tems nach ISO 27001 für Liefer­an­ten großer Auf­tragge­ber ist und welche Vorteile das im Liefer­an­ten Man­age­ment hat.

Von | 2019-06-07T15:51:59+02:00 07.06.2019|Allgemein, Blog|

Über den Autor:

Andreas Schuster ist 47 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Seit 2015 unterstützt er das SEC4YOU Team. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte. Besuchen Sie auch seinen Blog zu Verschlüsselung & IoT unter https://verschlüsselt.IT