NIS2 erweitert den bisherigen Geltungsbereich des Gesetzes zur Netz- und Informationssicherheit auf 18 Sektoren, die in „Sektoren mit hoher Kritikalität“ und „sonstige kritische Sektoren“ aufgeteilt sind.sein.
„QuaSte“ – Qualifizierte Stelle zur Überprüfung der Einhaltung des NIS-Gesetzes
news
Früher wurden die Unternehmen bzw. Organisationen aus den betroffenen Sektoren vom Bundeskanzleramt (BKA) informiert, nun müssen sie selbst überprüfen, ob sie in den Anwendungsbereich von NIS2 fallen, und sich bei der zuständigen Behörde registrieren lassen.
Neu ist auch, dass künftig die Einhaltung des Risikomanagements von Leitungsorganen überwacht werden muss und diese bei Verstößen verantwortlich gemacht werden können. Die Sanktionen für die Nichteinhaltung der Vorgaben sind durchaus heftig: Je nach Unternehmensform und Tätigkeitsbereich muss mit einer Geldstrafe von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes gerechnet werden. Außerdem kann die zuständige Behörde Anweisungen erteilen, um die Sicherheitsmängel zu beseitigen. Bei Zuwiderhandlung können Zertifizierungen und Genehmigungen für Dienste und Tätigkeiten der betroffenen Unternehmen ausgesetzt werden.
Im Gegensatz zu NIS fallen Unternehmen nicht mehr ausschließlich mit ihrem wesentlichen Dienst unter die gesetzlichen Regelungen, sondern die Risikomanagementmaßnahmen müssen im gesamten Unternehmen umgesetzt werden.
Auch die Kontrolle und Durchsetzung der Vorschriften wurden verschärft. Der Behörde stehen künftig eine Vielzahl an Aufsichts- und Durchsetzungsmaßnahmen zur Verfügung, um die Resilienz von Netz- und Informationssystemen der Unternehmen sicherzustellen.
Wesentliche Einrichtungen müssen regelmäßige und gezielte Sicherheitsüberprüfungen durchführen und sich Stichprobenkontrollen unterziehen, wichtige Einrichtungen müssen hingegen nur bei begründetem Verdacht überprüft werden.
Im Fall von Cybersicherheitsvorfällen muss ein dreistufiges Meldeverfahren berücksichtigt werden:
- Unverzügliche Frühwarnung: Sobald ein Problem erkannt wurde, muss binnen 24 Stundengemeldet werden, ob der Vorfall auf einer rechtswidrigen oder böswilligen Handlung beruht bzw. grenzübergreifende Auswirkungen haben kann.
- Unverzügliche Ersteinschätzung des Cybersicherheitsvorfalls binnen 72 Stunden
- Spätestens einen Monat nach der Frühwarnung muss ein Zwischen- bzw. Abschlussbericht mit einer ausführlichen Beschreibung des Cybersicherheitsvorfalls übermittelt werden.
Bei der Umsetzung all dieser Vorgaben kommt die Qualifizierte Stelle (QuaSte) ins Spiel, die alle Maßnahmen auf ihre Angemessenheit und Verlässlichkeit hin überprüft. Was eine QuaSte ist, wie man eine QuaSte wird und was unsere QuaSte-Auditor*innen tun, um unsere Kunden bei der Absicherung ihrer Systeme zu unterstützen, finden Sie hier kurz zusammengefasst.
QuaSte-FAQ's
- Was genau ist eine Qualifizierte Stelle?
Eine Qualifizierte Stelle ist ein Unternehmen, das vom Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) ermächtigt wird, als externer Auditor alle Sicherheitsvorkehrungen zum Schutz kritischer Infrastruktur von Betreibern wesentlicher Dienste zu überprüfen.
- Weshalb kann nicht jeder beliebige Dienstleister diese Aufgabe übernehmen?
Die Bevölkerung muss sich darauf verlassen können, dass jene kritischen Systeme, die für das Funktionieren der Daseinsvorsorge und des Wirtschaftslebens wesentlich sind, vor Cyberattacken angemessen geschützt sind. Die Überprüfung dieser Sicherheitsvorkehrungen ist also eine höchst verantwortungsvolle Aufgabe, deren Ausführung großes Wissen, viel Erfahrung und absolute Vertrauenswürdigkeit erfordert. Den Nachweis, dafür qualifiziert zu sein, müssen Unternehmen, die eine QuaSte werden wollen, im Rahmen eines Akkreditierungsprozesses erbringen.
- Wie läuft der Akkreditierungsprozess ab?
Nach Antragstellung erhält das Unternehmen eine einmalige Kennung, die künftig bei der Übermittlung der Nachweise verwendet werden muss. So wird die QuaSte eindeutig identifiziert und eine mögliche missbräuchliche Verwendung verhindert. Dann muss das Unternehmen unter anderem nachweisen, dass seine eigenen Netz- und Informationssysteme technisch und organisatorisch sicher sind, angeben, welche Werkzeuge es verwendet, und den zukünftigen Prüfprozess detailliert und aussagekräftig beschreiben. Nach sicherer Übermittlung der Nachweise an das BMI werden die Informationen geprüft und im Erfolgsfall erhält das Unternehmen die positive Nachricht, als QuaSte agieren zu können, per Bescheid.
- Welche Voraussetzungen müssen die Auditor*innen einer QuaSte erfüllen?
Jede Auditorin, jeder Auditor muss eine Sicherheitsüberprüfung durchlaufen. Dabei wird ihre/seine Vertrauenswürdigkeit anhand personenbezogener Daten beurteilt, die Aufschluss darüber geben, ob Anhaltspunkte vorhanden sind, dass sie oder er selbst Cyberattacken durchführen würde. Dazu kommt noch der Nachweis der fachlichen Kenntnisse und einer einschlägigen Berufserfahrung (z.B. durch Dienstzeugnisse) sowie allfälliger zusätzlicher Ausbildungen oder Zertifizierungen.
- Was geschieht, wenn Sicherheitsmängel entdeckt werden?
In dem Fall machen die Expert*innen von SEC Consult das, was sie auch sonst tun, wenn sie Schwachstellen entdecken. Sie schlagen entsprechende Maßnahmen vor, die geeignet sind die Schwachstellen nachhaltig zu schließen. Unsere Mitarbeiter*innen bringen Erfahrung aus unzähligen Sicherheitsüberprüfungen und Assessments ein. Ausgestattet mit erprobten Analysetools und immer up to date, was die neuesten Bedrohungen betrifft, sind sie unser wichtigstes Asset, um unseren Kunden ein verlässlicher Partner zu sein.
- Viele Organisationen wollen, ohne gesetzlich verpflichtet zu sein, ihren Kunden auch aus eigener Initiative beweisen, dass sie vertrauenswürdige Partner in Sachen Cybersicherheit sind. Dies betrifft Betriebe aller Größen. Was können Unternehmen tun, die sich freiwillig selbst dazu verpflichten wollen, ihre Sorgfalt und ihr Verantwortungsbewusstsein zu dokumentieren?
Wir von SEC Consult stehen unseren Kunden natürlich nicht nur zur Seite, wenn akute Gefahr oder Sanktionen drohen. Unsere Security-Expert*innen unterstützen Unternehmen kontinuierlich in ihrem Bemühen, ihre Netzwerke und Systeme sicherer zu machen. Ein Gütesiegel, das zeigt, dass essenzielle Mindestsicherheitsmaßnahmen für Cybersicherheit umgesetzt worden sind und, dass das Thema einen entsprechenden Stellenwert in der jeweiligen Organisation hat, kann einen entscheidenden Wettbewerbsvorteil bieten.
Wie läuft eine Überprüfung durch SEC Consult ab?
Bei der Überprüfung geht SEC Consult - in Anlehnung an ISO 19011 - in fünf Phasen vor. Alles beginnt mit der Initialisierung der Prüfung. Hier wird der Erstkontakt mit der nachweispflichtigen Organisation hergestellt und die Machbarkeit der Prüfung bestätigt. So wird beispielsweise darauf geachtet, dass wir ausreichend Informationen für die Durchführung der Prüfung erhalten bzw. der Scope festgelegt wird.
In der zweiten Phase wird die Prüfung vorbereitet und im Prüfplan dokumentiert. Ein genauer Prüfplan ist die Basis, um auch die späteren Schritte effizient abwickeln und sich mit allen Beteiligten laufend abstimmen zu können. Da SEC Consult auch in der Standardisierung tätig ist, verfügen wir bei der Festlegung der entsprechenden Prüfkataloge über Kenntnisse aus erster Hand.
Die SEC Consult-Auditor*innen überprüfen in der dritten Phase gemeinsam mit den Mitarbeiter*innen der Organisation, ob die technischen und organisatorischen Sicherheitsmaßnahmen angemessen und auch wirksam sind.
Die Ergebnisse werden anschließend in der vierten Phase in einem Prüfbericht dokumentiert. Im Prüfbericht legen wir den Schwerpunkt vor allem auf die Nachvollziehbarkeit der Darstellung der geprüften Bereiche und die verwendete Methodik. Mit der Beurteilung des Berichts durch eine zweite, nicht beteiligte Prüfer*in gewährleistet SEC Consult einen objektiven Blick auf die Erfüllung der Vorgaben. Dieser Abschlussbericht ergeht an die geprüfte Organisation und muss von diesem an das BMI übermittelt werden. Im Zuge dieser Phase erfolgt auch die Ergebnispräsentation, in deren Rahmen wir die Resultate präsentieren und mit den Mitarbeiter*innen der Organisation besprechen bzw. mögliche Handlungsempfehlungen ableiten.
Die fünfte und letzte Phase ist die Nachbehandlung. In der Nachbehandlung behebt die geprüfte Organisation etwaige Sicherheitsmängel. Die Behebung wird anschließend von SEC Consult verifiziert und – falls zufriedenstellend – bestätigt.