Staatlich verordneter Cyber-Schutz: CIS ist qualifizierte Stelle für NIS-Überprüfung

Zum Schutz kritischer Infrastruktur in Bereichen wie Energie, Verkehr oder Finanzen trat im Juli 2019 die NIS-Verordnung für Netz- und Informationssystemsicherheit (NISV) als nationale Umsetzung des EU-NIS-Gesetzes in Kraft. [...]

Die Anzahl von Cyber-Angriffen, ebenso wie die Schutzanforderungen, werden weiter steigen. Entsprechend umfassend fordert die NISV Sicherheitsmaßnahmen, die aufgrund von Risikoanalysen einzuführen und mittels kontinuierlicher Verbesserung auf dem neuesten Stand zu halten sind. (c) sikov - stock.adobe.com

Mit alarmierenden Ergebnissen ließ kürzlich der russische Antiviren-Softwarehersteller Kaspersky aufhorchen: In einer Kraftwerkssteuerung hatten die Experten mehr als 50 Sicherheitslücken aufgedeckt. Das Cyberattacken auf strategische Ziele bereits tägliche Wirklichkeit sind, veranschaulicht auch der Hacker-Angriff auf das österreichische Außenministerium vor wenigen Wochen.

Fast 20 Jahre Zertifizierungserfahrung

Zum Schutz kritischer Infrastruktur in Bereichen wie Energie, Verkehr oder Finanzen trat im Juli 2019 die NIS-Verordnung für Netz- und Informationssystemsicherheit (NISV) als nationale Umsetzung des EU-NIS-Gesetzes in Kraft. Durch das Bundesministerium für Inneres wurde die Zertifizierungsorganisation CIS nun im Februar bevollmächtigt, als qualifizierte Stelle für NISV-Überprüfungen zu fungieren.

„Die CIS blickt auf fast 20 Jahre Erfahrung mit Zertifizierungen in der Informationssicherheit – unsere Auditoren bringen Praxis- und Normwissen gezielt in die Audits ein, zum Mehrwert für die überprüften Organisationen“, betont CIS-Geschäftsführer Erich Scheiber. Betroffen sind Betreiber wesentlicher Dienste (BwD) aus Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung sowie Betreiber digitaler Infrastruktur, die per BMI-Bescheid zuvor informiert wurden.

Strategische Ziele der Cyber-Angreifer

„Weltweit vermuten Experten hinter Cyber-Angriffen auf strategische Ziele ausländische Regierungen, die wirtschaftliche oder militärische Absichten verfolgen“, erklärt Erich Scheiber. Die Anzahl von Cyber-Angriffen, ebenso wie die Schutzanforderungen, werden weiter steigen. Entsprechend umfassend fordert die NISV Sicherheitsmaßnahmen, die aufgrund von Risikoanalysen einzuführen und mittels kontinuierlicher Verbesserung auf dem neuesten Stand zu halten sind. Inhaltlich fordert die NISV zu mehr als 80 Prozent deckungsgleiche Sicherheitsmaßnahmen wie die internationale Norm für Informationssicherheit ISO 27001.

„Grundsätzlich sind alle Forderungen der NISV durch ISO 27001 abgedeckt, allerdings geht die Verordnung stellenweise tiefer ins Detail“, erklärt CIS-Auditor Robert Jamnik. Das BMI hat hierzu NIS Fact Sheets herausgebracht, die als Hilfestellung dienen.

Delta-Audit gibt Sicherheit vor NISV-Prüfung

Das erste Unternehmen, ein prominenter Betreiber wesentlicher Dienste mit langjähriger ISO-27001-Zertifizierung, wurde bereits von CIS nach den NISV-Anforderungen auditiert. „Unternehmen, die bisher schon auf hohem Niveau nach ISO 27001 zertifiziert waren, können mit relativ geringem Aufwand NISV-konform werden“, betont der CIS-Experte. Beide Regelwerke können in einem Kombi-Audit effizient geprüft werden. Ebenso wie bei ISO 27001 gibt es auch bei der NISV alle drei Jahre ein Re-Zertifizierungsaudit.

Robert Jamnik ergänzt: „Für Organisationen, die auf Nummer sicher gehen wollen führt die CIS auf Wunsch zuvor Delta-Audits durch, die einen notwendigen Lückenschluss zwischen ISO 27001 und NISV detailliert aufzeigen“.


Mehr Artikel

Der Autor Franz Kögl ist Vorstand bei IntraFind in München, einem Spezialisten für Enterprise Search und KI mit Kunden aller Unternehmensgrößen. (c) IntraFind
Kommentar

KI in KMU – so klappt’s nachhaltig und sicher

Generative KI, oder auf Neudeutsch GenAI, ist – unter den richtigen Voraussetzungen – auch für kleine und mittelständische Unternehmen von Vorteil. Anders als große Konzerne benötigen sie aufgrund ihrer eingeschränkten Ressourcen allerdings einen guten Plan. Ein exklusiver Beitrag von Franz Kögl, Vorstand bei IntraFind. […]

News

Die große Cloud-Lüge

Die moderne IT-Welt wird von der scheinbar grenzenlosen Leistungsfähigkeit der Cloud begeistert – einem Versprechen von Skalierbarkeit, Flexibilität und ständiger Innovation. Hinter diesem verführerischen Image verbergen sich jedoch erhebliche wirtschaftliche Risiken, die den Fortschritt in eine teure Falle verwandeln können. […]

Kommentar

Responsible AI durch Vertrauen, Security und Governance

Responsible KI-Praktiken sind unerlässlich, um sicherzustellen, dass KI-Systeme hochwertig, sicher und gut verwaltet sind. Qualitätsaspekte sollten bei der KI-Entwicklung im Vordergrund stehen, damit sichergestellt ist, dass KI-Systeme nicht voreingenommen sind und auf ihre Anwendbarkeit und Angemessenheit in den vorgesehenen Anwendungsfällen überprüft werden. […]

News

IT-Kostenoptimierung als Innovationsmotor

Unternehmen, die ihre IT-Kosten optimiert haben, verfügen über genügend Budget für Innovation, so die Kernaussage einer neuen Studie von SoftwareOne, die Best Practices für IT-Kostenmanagement und Innovation in mittelständischen Unternehmen analysiert. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*