NIS2 – Risikomanagementmaßnahmen
Seit Anfang April 2024 ist der Entwurf des NIS2-Gesetzes verfügbar. Der Entwurf enthält im §32 wichtige Regelungen zur Umsetzung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit. [1]
Um den Text verständlicher und strukturierter zu gestalten, habe ich ihn in verschiedene Abschnitte gegliedert und die Formulierungen für eine klarere Darstellung angepasst. Hierbei wird zwischen unbedingt erforderlichen und nicht unbedingt erforderlichen Maßnahmen unterschieden, um die Prioritäten und Anforderungen deutlicher zu machen.
Erforderliche Risikomanagementmaßnahmen
Technische, operative und organisatorische Maßnahmen:
Wesentliche und wichtige Einrichtungen sind verpflichtet, technische, operative und organisatorische Maßnahmen zu ergreifen, die in Anlage 3 [2] beschrieben sind. Diese Maßnahmen sollen Risiken für Netz- und Informationssysteme sowie die Auswirkungen von Cybersicherheitsvorfällen adressieren.
Beispiele für Maßnahmen:
- Organisatorisch: Einführung von Richtlinien zur Netzwerksicherheit, die Prozesse und Vorgaben definieren. Diese können auch von übergeordneten Unternehmen innerhalb einer Unternehmensgruppe stammen und müssen ggf. angepasst werden.
- Technisch: Einsatz technischer Lösungen wie Firewalls zur Absicherung von Netzwerkbereichen.
- Operativ: Bereitstellung einer fachkundigen Betriebsmannschaft für den Betrieb technischer Lösungen.
Zusätzliche zu beachtende Aspekte
- Sicherheitsniveau: Einrichtungen müssen ein dem Risiko angemessenes Sicherheitsniveau gewährleisten, unter Berücksichtigung des Standes der Technik und relevanter Normen.
- Gefahrenübergreifender Ansatz: Maßnahmen müssen ein breites Spektrum von Gefahren abdecken, einschließlich physischer Sicherheitsrisiken.
- Lieferkettenrisiken: Einrichtungen müssen Risiken in ihrer Lieferkette bewerten, einschließlich der Sicherheit der Produkte und Dienstleistungen ihrer Lieferanten.
Bewertung der Risikomanagementmaßnahmen
Bei der Bewertung der Maßnahmen sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Wahrscheinlichkeit und Schwere von Cybersicherheitsvorfällen sowie deren gesellschaftliche und wirtschaftliche Auswirkungen zu berücksichtigen.
Regelungen durch den Bundesminister für Inneres
Der Bundesminister für Inneres wird spezifische technische, operative und organisatorische Anforderungen festlegen, um einen klaren Rahmen für die Umsetzung der Risikomanagementmaßnahmen zu bieten. Diese Regelungen berücksichtigen auch den Stand der Technik, relevante Normen, Best-Practices und die Kosten der Umsetzung.
Fazit
Die Umsetzung der NIS-2-Richtlinie erfordert eine umfassende Herangehensweise, die technische, operative und organisatorische Maßnahmen einschließt, um die Sicherheit von Netz- und Informationssystemen zu gewährleisten. Die Maßnahmen müssen sowohl interne Prozesse als auch externe Risiken, wie die Sicherheit der Lieferkette, berücksichtigen. Der Ansatz sollte flexibel sein, um auf die spezifischen Risiken und Bedürfnisse jeder Einrichtung eingehen zu können.
[1] Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und
Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird …, URL: https://www.ris.bka.gv.at/Dokumente/Begut/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9.pdf;
[2] Anlage 3, Risikomanagementmaßnahmen-Bereiche, https://www.ris.bka.gv.at/Dokumente/Begut/BEGUT_42FD65C8_76B7_40F0_97E3_BB29BDFC0CE9/Anlagen_0003_D56A07AA_EF31_4C27_9E37_AA634AB3BC6D.pdf;