In der Zeit, in der das Wohlergehen von Gesellschaft und Wirtschaft entscheidend von einer ununterbrochenen Versorgung mit Gütern und Dienstleistungen abhängt, hat die EU einen ersten strategischen Rahmen geschaffen, um ihre Bürger und Unternehmen vor Internetbedrohungen und Angriffen zu schützen. Die EU hat mit dem Erlassen der NIS-Richtlinie einen ersten Schritt hinsichtlich eines umfänglichen Schutzes und eines Mindeststandards für die Informationssicherheit gemacht. Auch wenn die Festlegung und Umsetzung verbindlicher Normen für technische Spezifikationen, die alle intelligenten Netze der EU erfüllen müssen, noch fehlt, stellt die NIS-Richtlinie einen wichtigen Schritt zur Verbesserung der Cyber-Sicherheit in der EU dar. Vertrauen, Zusammenarbeit und Austausch von Informationen sind hierfür Schlüsselelemente. Darüber hinaus wurde ein Rahmen für den Wissenstransfer von erfahrenen und fortgeschrittenen Mitgliedsstaaten zu weniger fortgeschrittene Staaten geschaffen.

Mit der österreichischen Umsetzung in Form des NIS-Gesetzes gibt es nun erstmals ein Gesetz, das sich mit dem Thema Cybersicherheit konkret auseinandersetzt und nicht nur als Teilaspekt von Datenschutz oder Cyberkriminalität behandelt wird. Kapitel 4 der vorliegenden Studie analysiert die rechtlichen Aspekte des NIS-Gesetzes in Österreich und präsentiert dem Leser einen verständlichen Überblick über die wichtigsten Punkte der Studie. Ein zentraler Aspekt ist die Umsetzung von Prozessen zum Informationssicherheits- und Risikomanagement in den betroffenen Unternehmen, um einen entsprechenden Schutz vor Cyber-Bedrohungen gewährleisten zu können. Weiters zählt die Meldepflicht von Zwischenfällen zu den wesentlichen Inhalten des Gesetzes, wodurch nun festgestellt werden kann, wie oft Cyber-Angriffe eintreten und wie man entsprechend darauf reagieren kann. Allerdings muss nun abgewartet werden, wie diese Meldepflicht angenommen wird und wie sehr sich der Schutz gegen Cyberangriffe durch die neuen Strukturen und die Meldepflicht verbessert. Die entsprechende Verordnung zum NIS-Gesetz, welche konkrete Vorgaben zur Umsetzung der einzelnen Punkte formuliert, war zu Redaktionsschluss der Studie noch nicht öffentlich verfügbar, wodurch die darin spezifizierten Vorgaben nicht berücksichtigt werden konnten.

Die NIS-Richtlinie enthält Bestimmungen zur Erreichung eines Cyber-Sicherheitsniveaus innerhalb der Union, doch differiert die Umsetzung in den nationalen Gesetzen der Mitgliedstaaten. Somit bleiben erhebliche Verantwortungen bei den einzelnen Mitgliedsstaaten bestehen, welche über die nationale Umsetzung der NIS-Richtlinie geregelt werden. In diesem Kontext wird in Kapitel 5 der Studie ein Überblick über die nationalen Umsetzungen der NIS Richtlinie in den einzelnen Mitgliedsstaaten geschaffen. Dieser Überblick umreißt die nationalen Cybersicherheitsstrategien und beschreibt den unterschiedlichen Reifegrad der einzelnen Umsetzungen in den Mitgliedsstaaten. Somit gestaltet sich dieses Kapitel komplementärer zum Kapitel 4 und der Leser kann sich daraus – zusätzlich zu den detaillierten Informationen aus dem österreichischen NIS-Gesetz – einen Überblick über Ansätze aus den anderen Mitgliedsstaaten verschaffen.

Als zentrales Ergebnis der Studie wurde in Kapitel 7 ein generisches Rahmenwerk sowohl für das Risikomanagement als auch für das Informationssicherheitsmanagement definiert, welches die zentralen Aspekte der NIS Richtlinie und des österreichischen NIS-Gesetzes umsetzt. Dieses Rahmenwerk baut dabei auf erprobte Vorgehensweisen und Best Practices aus Normen und Guidelines aus den Bereichen Informationssicherheit, Risikomanagement und Prozessmanagement auf und integriert diese in einen einheitlichen Prozess. Die dafür relevanten Normen und Guidelines sind in Kapitel 6 zusammengefasst, um dem interessierten Leser sowohl einen kurzen Abriss der wichtigsten Konzepte zu geben, also auch für detailliertere Fragen auf die entsprechenden Rahmenwerke zu verweisen. Im Bereich Risikomanagement gliedert sich der resultierende Prozess in acht Phasen, welche zentrale Konzepte von OCTAVE Allegro, der ISO 27005 und der ISO 31000 implementieren. Damit ist sichergestellt, dass alle wichtigen Schritte im Risikomanagement-Prozess abgedeckt sind; durch die Kombination mit der Workshop-orientierten Vorgehensweise aus OCTAVE-Allegro lässt sich eine effiziente Umsetzung in Unternehmen unterschiedlicher Größe erreichen. Für das Informationssicherheitsmanagement wurden die zehn Hauptthemen herausgegriffen und deren zentralen Konzepte in der Studie kurz beschrieben (zur weiteren Recherche finden sich für den interessierten Leser detaillierte Verweise zu den verwendeten Rahmenwerken). Bei den zugrundeliegenden Quellen wurde ein Hauptaugenmerk vor allem auf das Österreichische Sicherheitshandbuch, den deutschen IT Grundschutz sowie die ISO 27001 und ISO 27002 gelegt, da diese Rahmenwerke bei den meisten Unternehmen in Österreich bereits in der einen oder anderen Form in Verwendung sind.

Allgemein bietet die vorliegende Studie somit eine Guideline für die Umsetzung von Risikomanagement und Informationssicherheit auf Basis der im österreichischen NIS-Gesetz definierten Rahmenbedingungen. Das resultierende Rahmenwerk ist vor allem auf kleine und mittlere Unternehmen ausgerichtet, welche sich bislang kaum oder nur eingeschränkt dem Thema Risikomanagement gewidmet haben und sich an den Vorgaben des NIS-Gesetzes orientieren möchten. Gleichzeitig kann der definierte Prozess auch als Vorlage für große Unternehmen dienen, die einen Abgleich ihrer bestehenden Prozesse mit den Anforderungen aus dem NIS-Gesetz durchführen wollen.

• Partner:AIT Austrian Institute of Technology GmbH (Koordinator), Energieinstitut an der Johannes Kepler Universität Linz, BKA Österreich, BMI, Bundesministerium für Landesverteidigung
• Projektlaufzeit: 09/2017-06/2019
• Förderprogramm: KIRAS Sicherheitsforschung – Ausschreibung 2016/17, Schutz kritischer Infrastrukturen