Vienna Legal Hackers – NIS-Richtlinie und Erfahrungen am Beispiel des Energiesektors

Spoiler alert: Es gibt sie noch immer nicht – die NIS-Verordnungen!

Spannend war es trotzdem beim Meetup der Vienna Legal Hackers am 8. Juli 2019. Stefan Eder führt als Gründer des Vienna Chapters der Legal Hackers durch die Veranstaltung im Dachgeschoß der Verbund AG am Platz am Hof.

Blick vom Dachgeschoß der Verbund AG am Platz am Hof

Schöner Ausblick vom von der Location Verbund AG/Foto: OCG

Auch ohne die NIS-Verordnungen werden natürlich schon Maßnahmen gesetzt: Gastgeber Walter Fraißler von der Verbund AG spricht über die Umsetzung des NIS-Gesetzes im Energiesektor und stellt das Austrian Energy CERT vor, das auch in Brüssel Anerkennung gefunden hat.

Stefan Lenzhofer vom Austrian Energy CERT stellt das Thema Vertrauen an oberste Stelle: „Vertrauen ist notwendig, damit das CERT an Informationen kommt, um Schadensminimierung zu ermöglichen.“

Gernot Goluch vom Bundesministerium für Inneres hat die undankbare Aufgabe (wieder einmal) die Verschiebung der NIS-Verordnungen zu erklären. Die Verordnung des BMI für qualifizierte Stellen kann erst nach der NIS-Verordnung kommen, da auf diese verwiesen wird.

PowerPoint Folie präsentiert von G-Goluch zu qualifizierten Stellen

Gernot Goluch bei seinem Vortrag/Foto: OCG

Durch den Regierungswechsel heißt es wieder – zurück zum Start mit neuer politischer Abstimmung. Das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (im BMI) arbeitet aber intensiv und hat z. B. zahlreiche Factsheets erstellt. Wo es keine sektorspezifischen Standards gibt, wird die Behörde entscheiden müssen, ob ein bestimmtes (Rest-)Risiko akzeptiert werden darf. In Österreich wartet man ja auf die Bescheide, welche die betroffenen Betreiber wesentlicher Dienste identifizieren werden. In Deutschland gibt es die sogenannte „Selbstidentifizierung“, was sich aber als nicht ganz unproblematisch herausgestellt hat. Herr Goluch betont auch, dass es für Unternehmen, die nicht die nötigen Sicherheitsvorkehrungen nachweisen bzw. bescheidmäßig ergangenen Anordnungen nicht nachkommen mit Geldstrafen bis zu 50.000,– Euro zu bestrafen sind – und das wiederholt, bis der Mangel behoben ist. Ebenso wird das Nicht-Nachkommen der Meldeverpflichtungen bestraft werden.

Bei der Fragerunde bemerkt Erik Gwehenberger vom Bundesamt für Verfassungsschutz und Terrorismusbekämpfung, dass die Anbieter digitaler Dienste nicht im Fokus der EU standen und vernachlässigt wurden. Diese müssen sich ja auch in Östereich selbst als betroffen identifizieren und erhalten also keine Bescheide. Dazu wird noch ein Factsheet kommen, das Licht ins Dunkel bringen soll.

Auch die ISO/IEC 27001 Zertifizierung ist im Zusammenhang mit NIS-Gesetz und NIS-Verordnung wieder ein Thema, da viele Punkte wie z. B. technische und organisatorische Maßnahmen dadurch abgedeckt werden.

Krankenhäuser stellen auch einen interessanten und zugleich problematischen Sektor dar. Es wird hier eventuell einen Health CERT oder sektorspezifische Standards geben.

Angesichtes der immer bedrohlicher werdenden Cyber-Kriminalität ist es – unabhängig von drohenden Strafzahlungen – zweifellos im Interesse der Unternehmen rechtzeitig geeignete Schritte zum Schutz der wesentlichen Dienste und anderer wichtiger Infrastrukturen zu treffen.

S. Eder, G. Goluch, W. Fraißler, S. Lenzhofer

S. Eder, G. Goluch, W. Fraißler, S. Lenzhofer/Foto: OCG

Stefan Eder lädt zur nächsten Veranstaltung der Vienna Legal Hackers ein:
Konferenz ReMeP  (Reseach Meets Practice), 23.-24. September 2019 an der WU in Wien.

Dieser Beitrag wurde unter Datenschutz, IT und Sicherheit, Rechtsinformatik, Themen abgelegt und mit , , , , verschlagwortet. Setzen Sie ein Lesezeichen auf den Permalink.

Die Kommentarfunktion ist geschlossen.