Das Netz- und Infor­ma­ti­ons­sys­tem­si­cher­heits­ge­setz — NISG (sie­he Ver­öf­fent­li­chung) betrifft nur defi­nier­te Bran­chen, die im §2 des Geset­zes defi­niert werden:
Ener­gie, Ver­kehr, Bank­we­sen, Finanz­markt­in­fra­struk­tu­ren, Gesund­heits­we­sen, Trink­was­ser­ver­sor­gung, Digi­ta­le Infra­struk­tu­ren als Betrei­ber wesent­li­cher Diens­te. Dar­über hin­aus auch Anbie­ter digi­ta­ler Diens­te wie zum Bei­spiel Online-Markt­plät­ze, Online-Such­ma­schi­nen und Cloud-Com­pu­ting-Diens­te sowie die Ein­rich­tun­gen der öffent­li­chen Verwaltung.

Ob ein Unter­neh­men die Anfor­de­run­gen des Netz- und Infor­ma­ti­ons­sys­tem­si­cher­heits­ge­setz als Betrei­ber wesent­li­cher Diens­te erfül­len muss, wird vom Bun­des­kanz­ler fest­ge­legt und den betrof­fe­nen Unter­neh­men vor­aus­sicht­lich ab Q2 2019 per Bescheid zuge­stellt. Durch die Neu­be­set­zung der Öster­rei­chi­schen Bun­des­re­gie­rung gehen wir jedoch von einer spä­te­ren Zustel­lung aus.

Als Anbie­ter digi­ta­ler Diens­te muss man selbst tätig wer­den und prü­fen, ob die Anfor­de­run­gen des NISG erfüllt wer­den müssen.

Für Betrei­ber wesent­li­cher Diens­te in Öster­reich gibt es kei­ne ISO 27001 Zer­ti­fi­zie­rungs­pflicht, jedoch die Ver­pflich­tung in den fest­ge­leg­ten Sparten

  1. Gover­nan­ce und Risikomanagement
  2. Umgang mit Lie­fe­ran­ten und Dritten
  3. Sicher­heits­ar­chi­tek­tur
  4. Sys­tem­ad­mi­nis­tra­ti­on
  5. Iden­ti­täts- und Zugriffsmanagement
  6. Sys­tem­war­tung und Betrieb
  7. Phy­si­sche Sicherheit
  8. Erken­nung von Vorfällen
  9. Bewäl­ti­gung von Vorfällen
  10. Betriebs­kon­ti­nui­tät
  11. Kri­sen­ma­nage­ment

ent­spre­chen­de Maß­nah­men zu imple­men­tie­ren und inner­halb eines Zeit­rau­mes von 3 Jah­ren den Nach­weis der ope­ra­ti­ven Wirk­sam­keit durch regel­mä­ßi­ge Audits zu erbringen.

Obwohl es kei­ne ISO 27001 Zer­ti­fi­zie­rungs­pflicht gibt, ist es unse­rer Ansicht nach wesent­lich eine struk­tu­rier­te Vor­gangs­wei­se zu eta­blie­ren. Emp­feh­lens­wert ist hier das Map­pings der Spar­ten mit den Anfor­de­run­gen der ISO 27001. Schluss­ge­fol­gert ist eine Nut­zung der ISO 27001 sinn­voll und emp­feh­lens­wert, da der KVP Pro­zess für die NISG Nach­wei­se genutzt wer­den kann. Natür­lich gibt es eine gro­ße Men­ge wei­te­rer Vor­tei­le einer ISO 27001 Zer­ti­fi­zie­rung, lesen Sie dazu auch unse­ren wei­te­ren Arti­kel “Soll ich mein Unter­neh­men nach ISO 27001 zer­ti­fi­zie­ren?”.

In unse­rem nächs­ten Bei­trag der ISO 27001 Serie wer­den wir beleuch­ten wie wich­tig die Ein­füh­rung eines ISMS Sys­tems nach ISO 27001 für Lie­fe­ran­ten gro­ßer Auf­trag­ge­ber ist und wel­che Vor­tei­le das im Lie­fe­ran­ten Manage­ment hat.