So sieht das BMI die NIS2 Risikomanagementmaßnahmen

Kürz­lich hat das öster­rei­chi­sche Bun­des­mi­nis­te­ri­um für Inne­res (BMI) einen Vor­trag zu den NIS2 Risi­ko­ma­nage­ment­maß­nah­men ver­öf­fent­licht. Inter­es­san­ter­wei­se hat der sehr gute Vor­tra­gen­de Sieg­fried Hol­le­rer nicht die 10 Risi­ko­ma­nage­ment­maß­nah­men aus Arti­kel 21 der EU-Richt­li­nie 2555/2022 (NIS-2-Richt­li­nie) refe­ren­ziert, son­dern hat die­se sehr struk­tu­riert in 13 Berei­che gegliedert.

Hier die Abschrift aus sei­nem Vortrag:

Die gesetz­lich ver­an­ker­ten Risi­ko­ma­nage­ment­maß­nah­men die­nen dazu ein adäqua­tes Schutz­ni­veau gegen Cyber­si­cher­heits­vor­fäl­le, bei­spiels­wei­se aus­ge­löst durch Cyber­an­grif­fe, gewähr­leis­ten zu können.

Die­se Risi­ko­ma­nage­ment­maß­nah­men sind in Berei­che geglie­dert, wel­che deren inhalt­li­che Aus­rich­tung ange­ben. Die Berei­che haben Über­schnei­dungs­punk­te und kön­nen nicht von­ein­an­der iso­liert betrach­tet wer­den. Bei­spiels­wei­se ist die Sicher­heit von Lie­fer­ket­ten im Risi­ko­ma­nage­ment eben­falls zu berück­sich­ti­gen. The­ma­tisch stel­len sich die­se 13 Berei­che wie folgt dar:

1. Lei­tungs­or­ga­ne
2. Sicher­heits­richt­li­ni­en
3. Risi­ko­ma­nage­ment
4. Ver­wal­tung von Vermögenswerten
5. Per­so­nal­we­sen
6. Grund­le­gen­de Cyber­hy­gie­ne­maß­nah­men und Cybersicherheitsschulungen
7. Sicher­heit von Lieferketten
8. Zugangs­steue­rung
9. Sicher­heit bei Beschaf­fung, Ent­wick­lung, Betrieb und Wartung
10. Kryp­to­gra­phie
11. Umgang mit Cybersicherheitsvorfällen
12. Betriebs­kon­ti­nui­tät- und Krisenmanagement
13. Umge­bungs­be­zo­ge­ne und phy­si­sche Sicherheit

Risi­ko­ma­nage­ment­maß­nah­men sind mit pro­ak­ti­ven Vor­keh­run­gen und reak­ti­ven Reak­ti­ons­maß­nah­men umsetz­bar. Durch Vor­keh­run­gen wir die Ein­tritts­wahr­schein­lich­keit eines erfolg­rei­chen Angriffs redu­ziert. Durch Reak­ti­ons­maß­nah­men wird die Aus­wir­kung eines Angriffs ver­rin­gert. In Sum­me sinkt so das Risi­ko einer Cyber­si­cher­heits­vor­falls. Jede Risi­ko­ma­nage­ment­maß­nah­me beinhal­tet orga­ni­sa­to­ri­sche, tech­ni­sche und ope­ra­ti­ve Aspek­te. Bei­spiels­wei­se fal­len unter „2.a Sicher­heits­richt­li­ni­en“ unter ande­rem fol­gen­de Vor­keh­run­gen: Die doku­men­tier­te Pass­wort-Richt­li­nie als orga­ni­sa­to­ri­sche, deren tech­ni­sche Umset­zung auf sämt­li­chen Sys­tem­kom­po­nen­ten als tech­ni­sche und der Umgang der Benut­zer mit Pass­wör­tern als ope­ra­ti­ve Vorkehrung.

Somit ist das zugrun­de­lie­gen­de Doku­ment der Pass­wort-Richt­li­nie aus­rei­chend umfang­reich und prä­zi­se zu for­mu­lie­ren, auf Sys­tem­kom­po­nen­ten je nach Iden­ti­täts­ma­nage­ment zen­tral oder dezen­tral in deren Sys­tem­kon­fi­gu­ra­ti­on sowohl auf Betriebs­sys­tem- als auch auf Appli­ka­ti­ons­ebe­ne umzu­set­zen und das Nie­der­schrei­ben und Auf­be­wah­ren von Pass­wör­tern am Arbeits­platz des Mit­ar­bei­ters zu unter­sa­gen. Die gesetz­li­chen Vor­ga­ben zur kon­kre­ten Umset­zung von Risi­ko­ma­nage­ment­maß­nah­men kön­nen abhän­gig von der Grö­ße (groß oder mit­tel) oder Kate­go­ri­sie­rung der Ein­rich­tung (wesent­lich oder wich­tig) dif­fe­ren­ziert aus­ge­stal­tet sein.