Die Umsetzung des NIS Gesetzes

Das NIS Gesetz – was kommt auf Betroffene zu?
Datum: 
Montag, 06.05.2019, 17:00
Ort: 

OCG
Wollzeile 1
1010 Wien

Thema: 
Umsetzung des NIS Gesetzes
Ende 2018 wurde in Österreich das NIS-Gesetz verabschiedet, das den Kern der nationalen Umsetzung der NIS-Richtlinie der EU bildet.
 
Der 5. Abschnitt (§16-§23) befasst sich mit den Verpflichtungen, die von Betreibern wesentlicher Dienste, Anbietern digitale Dienste sowie Einrichtungen der öffentlichen Verwaltung zu erfüllen sind. Neben administrativen Anforderungen und Meldeverpflichtungen, befasst sich das Gesetz im §17 mit den Sicherheitsvorkehrungen, die Betreiber wesentlicher Dienste zu erfüllen haben.
 
Dabei müssen diese geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen, die den Stand der Technik berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen sind.
Außerdem ist eine Zertifizierung innerhalb von 3 Jahren durch sogenannte „Qualifizierte Stellen“ vorgeschrieben.
 
Die OCG bemüht sich, neben ihrer bestehenden Akkreditierung für ISMS-Zertifizierungen auch „Qualifizierte Stelle “ für Betreiber wesentlicher Dienste zu werden.
 
In der Veranstaltung sollen einerseits durch Vertreter der ISMS-Zertifizierungsstelle in der OCG und andererseits des BMI/BVT/BKA die neuen Anforderungen, die durch das NIS-Gesetz an Betreiber wesentlicher Dienste, Anbieter digitaler Dienste sowie Einrichtungen der öffentlichen Verwaltung gestellt werden, erläutert werden. Es soll auch aufgezeigt werden, wie in Teilsektoren (etwa der Elektrizitätserzeugung) branchenspezifische Sicherheitsstandards erarbeitet und zu Umsetzung gebracht werden können. Die OCG wird ausgehend von den Anforderungen der ISO/IEC 27001 Norm auf die notwendigen Zusatzaspekte eingehen, die eine Zertifizierung gemäß den Anforderungen des §17 Abs. 3 NIS-G ermöglichen würde. Der Fokus liegt hier neben den klassischen Anforderungen an die Informationssicherheit vor allem beim Business Continuity Management und bei der Behandlung und Meldung von Vorfällen. Ziel ist es ja eine höhere Resilienz und langfristige Verfügbarkeit im Bereich der kritischen Infrastruktur zu erreichen.
 

Begrüßung:

17:00 Uhr Ronald Bieber (OCG Generalsekretär)

 

Impulsreferate: 

17:05 Gernot Goluch (BMI/BVT)

17:20 Thomas Pfeiffer (Linz Strom GmbH)

17:35 Joachim Pöttinger (Austro Control)

 

bis 18.30 Paneldiskussion mit den Vortragenden sowie

Thema: "Führt Zertifizierung der kritischen Infrastruktur im NIS-Bereich zu mehr Resilienz?"

Moderation: Edgar Weippl, SBA Research


Das NIS-Gesetz aus der Sicht eines zukünftigen Betreibers wesentlicher Dienste.
Was ist derzeit bekannt, worauf kann man sich vorbereiten und wo liegen die Herausforderungen. Wie man die Zeit des Wartens auf die Verordnungen am besten überbrückt.
 
Über Joachim Pöttinger:
Joachim Pöttinger, MMSc MA ist IT Security Officer der Austro Control - Österreichische Gesellschaft für Zivilluftfahrt mit beschränkter Haftung. Er hat an der FH Hagenberg Informationssicherheit und an der FH Campus Wien Corporate Security & Risk Management studiert. Er lehrt als Lektor an der Fachhochschule Hagenberg die Themen Risikomanagement, Informationssicherheitsmanagement und Audits. Als Mitglied der Arbeitsgruppen 001/27 IT-Sicherheit, K246 Business Continuity Management und K252 Risk Management des Austrian Standards Institutes arbeitet er seit Jahren aktiv an der Gestaltung von Normen mit. Er ist zudem Vorstandsmitglied der Österreichischen Computergesellschaft (OCG) und Lead Auditor für Zertifizierungen nach ISO/IEC 27001.
 

Die Energiebranche ist bekannt als Vorreiter für das Thema Informationssicherheit. Das Einrichten eines eigenem Branchen-CERTs zeigt, wie wichtig dieser Sektor die Security in der Digitalisierung nimmt. Das NIS-Gesetz stellt jetzt noch zusätzlich einen Rahmen für verbindliche Umsetzungen bei Betreiber wesentlicher Dienste und Anbieter digitaler Dienste dar. Im Zuge dieses Gesetzes werden derzeit Mindestsicherheitsstandards für den Sektor definiert, welche auch nicht betroffene Unternehmen unterstützen können Haftungsrisiken zu minimieren.

Über Thomas Pfeiffer:
Thomas Pfeiffer, B.Sc. M.Sc. ist Chief Information Security Officer (CISO) der LINZ NETZ GmbH, eines österreichischen Verteilnetzbetreibers für Strom und Gas. Er arbeitete an der nationalen IKT-Strategie des Bundeskanzleramtes mit und ist derzeit Ansprechpartner und Mitglied der nationalen Cyber Security Plattform, als Bindeglied für Private-Public-Partnerships. Als Vice-Chairman vom Arbeitskreis IKT-Sicherheit bei Österreichs Energie versucht er gerade Branchen Standards in Verbindung mit dem NIS-Gesetz zu erstellen, welche als Stand der Technik in der Energie etabliert werden sollen. Sein Ziel ist es, dass Bewusstsein für die Informationssicherheit zu stärken und dadurch die Risiken für juristische und natürliche Personen zu senken. Er lehrt als Lektor an der Fachhochschule Hagenberg im Department Informationssicherheit den Schutz der kritischen Infrastrukturen. Des Weiteren ist er Lead Auditor für Zertifizierungen nach ISO/IEC 27001. Er studierte an der Oberösterreichischen Fachhochschule Hagenberg drei Studienrichtungen für Informationssicherheit, Recht und Management. Sein Slogan: “Sag niemals nie, zur Informationssicherheit.“


Operative Umsetzung des NIS-Gesetzes bzgl. zu implementierender Mindestsicherheitsmaßnahmen für Betreiber wesentlicher Dienste.

Das im Dezember 2018 In-Kraft getretene NIS Gesetz bestimmt Maßnahmen, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen erreicht werden soll. Insbesondere durch (a) Nationale Strategie für die Sicherheit von Netz- und Informationssystemen, (b) Einrichtung nationaler Organisations- und Koordinationsstrukturen, (c) Sicherheitsanforderungen und Meldepflichten, (d) Aufgaben und Anforderungen für Computer-Notfallteams, (e) Datenschutz  sowie (f) Sanktionen. Der Impulsvortrag wird auf die Punkte (c) sowie (d) eingehen und die operative Umsetzung ebendieser gesetzlichen Maßnahmen, sowie die Konsequenzen für die Adressaten des Gesetzes (insbesondere Anbieter digitaler Dienste, Betreiber wesentlicher Dienste, qualifizierte Stellen), erläutern.

Über Gernot Goluch: 


Gernot Goluch ist in der Abteilung für Cyber-Sicherheit (im Bundesamt für Verfassungsschutz und Terrorismusbekämpfung) mit den Aufgabenbereichen der operativen NIS-Behörde betraut. Sein beruflicher Werdegang befindet sich seit seinem Studium an der TU Wien in der Informationssicherheitsbranche.

Über Wolfgang Prentner
Wolfang Prenter hat an der TU Wien Informatik studiert, promovierte im Fachbereich IT-Security. Er ist staatlich beeideter IT-Ziviltechniker und Gerichtssachverständiger.



„Beachtet man drei wesentliche Voraussetzungen, dann wird eine ISO-27001-Zertifizierung zum zentralen Instrument, um die Einhaltung der Sicherheitsvorkehrungen nach § 17 NISG nachzuweisen.“

Über Walter Hötzendorf

Dipl.-Ing. Dr. Walter Hötzendorfer ist Senior Researcher und Senior Consultant im Research Institute. Er hat an der TU Wien Wirtschaftsinformatik und an den Universitäten Wien und Sheffield Rechtswissenschaften studiert und zum Thema „Datenschutz und Privacy by Design im Identitätsmanagement“ promoviert. Nach Stationen in Rechtsberatung und Software Engineering war er von 2011 bis 2016 in der Arbeitsgruppe Rechtsinformatik der Universität Wien wissenschaftlich tätig. Dr. Hötzendorfer berät Organisationen verschiedenster Art und Größe bei der Umsetzung der DSGVO, ist Vortragender an Universitäten im In- und Ausland und Autor zahlreicher Veröffentlichungen zum Datenschutzrecht, zu Privacy Engineering, Netz- und Informationssicherheit (NIS) und verwandten Themen. Er ist zudem Vorstandsmitglied der Österreichischen Computergesellschaft (OCG), Co-Leiter des OCG Forum Privacy und Mitglied des Zertifizierungskomitees der OCG.



Über Ingrid Schaumüller

Ingrid Schaumüller-Bichl ist seit 2006 Professorin an der FH Oberösterreich, Campus Hagen-berg, seit 2015 Leiterin des Information Security Compliance Centers (ISCC) der FH Oberöster¬reich mit Lehr- und Forschungstätigkeit in den Bereichen Informationssicherheit, Risiko¬mana¬ge¬ment, Sicherheits¬zertifizierungen und Datenschutz. Dr. Schaumüller-Bichl ist Leiterin des OCG-Arbeitskreises IT-Sicherheit und des OCG-Zertifizierungskomitees für ISO/IEC 27001, österreichische Repräsentantin in IFIP TC11 "Security and Privacy Protection", sowie Mitglied der Arbeitsgruppen 001/18 Datenschutz und 001/27 IT-Sicherheit des Austrian Standards Institutes.