Bei einer Horizonte Spezial Veranstaltung der OCG am 6. Mai wurde unter der sachkundigen Moderation von OCG Vorstandsmitglied Edgar Weippl über die Verpflichtungen gesprochen, die mit dem NIS-Gesetz auf die Betreiber wesentlicher Dienste zukommen.
Betroffene und Berater warten gleichermaßen gespannt auf die Veröffentlichung der NIS-Verordnungen – wahrscheinlich sollen sie nun doch noch im Mai kommen. Bis dahin heißt es noch „Bitte warten“.
Umso neugieriger waren die Gäste in der OCG auf die Ausführungen von Gernot Goluch aus dem BMI. Er enttäuschte das Publikum auch nicht und erläuterte im Speziellen die Sicherheitsanforderungen und Meldepflichten, die auf Betreiber wesentlicher Dienste und Anbieter digitaler Dienste zukommen. Auf großes Interesse stieß bei den Zuhörern auch die Ausführung zu den “Qualifizierten Stellen”, die mit der Zertifizierung betraut sein werden und zu deren AuditorInnen.
G. Goluch, BMI
Thomas Pfeiffer ist CISO der LINZ NETZ GmbH und führte als Betroffener sowie als Experte für Informationssicherheit durch den Branchen Standard für die E-Wirtschaft, an dessen Entwicklung er federführend beteiligt ist. Die Energiebranche ist Vorreiter für das Thema Informationssicherheit, was ich auch in der Einrichtung eines eigenen Branchen-CERTs zeigt.
T. Pfeiffer, LINZ NETZ GmbH
Joachim Pöttinger von der Austro Control betrachtete in seinem Referat das NIS-Gesetz mit seinen zu erwartenden Konsequenzen aus der Sicht eines zukünftigen Betreibers wesentlicher Dienste. Da es für die Austro Control als einzigen Anbieter in Österreich keine „Branche“ gibt und sie schon sehr vielen anderen Regulierungen unterliegt, stellen sich für sie besondere Probleme bezüglich der Umsetzung des NIS-Gesetzes. Schließlich müsse gerade in der Luftsicherheit immer gelten: Safety vor Security.
J. Pöttinger, Austro Control
Bei der anschließenden Podiumsdiskussion zum Thema „Führt Zertifizierung der kritischen Infrastruktur im NIS-Bereich zu mehr Resilienz“ standen die Vortragenden gemeinsam mit Ingrid Schaumüller (FH OÖ), Walter Hötzendorfer (Research Institute) und Wolfgang Resch (OCG), alle drei diesmal in ihrer Funktion als Mitglieder des OCG-Zertifizierungskomitees für ISO/IEC 27001 dem Publikum für Fragen zur Verfügung. Vor allem das Problem sachkundiger AuditorInnen sowie fehlende klare Audit-Anforderungen wurden lebhaft diskutiert. Die OCG wird sich bemühen, neben ihrer bestehenden Akkreditierung für ISMS-Zertifizierungen auch „Qualifizierte Stelle“ im Sinne des NIS-Gesetzes zu werden.
v.l.n.r.: E. Weippl (stehend), J. Pöttinger, G. Goluch, T. Pfeiffer, I. Schaumüller-Bichl, W. Hötzendorfer, W. Resch
Bei allen Schwierigkeiten, die bei der Umsetzung auf die Betroffenen, von den Betreibern über die BeraterInnen zu den AuditorInnen und schließlich auch das BMI, zukommen werden, sollte doch das Ziel im Auge behalten werden, dass das NIS-Gesetz dazu dient, Österreich sicherer zu machen.
EDU/days 2024
