Die EU hat mit der NIS-Richtlinie Vorgaben für die Cybersicherheit kritischer Infrastruktur festgelegt. In Österreich ist diese Richtlinie im Netz- und Informations-Systemsicherheitsgesetz (NISG) umgesetzt. Alle davon betroffenen Unternehmen und Einrichtungen müssen eine NISG-Zertifizierung durchlaufen. Diese ist jetzt auch durch die OCG (Österreichische Computer Gesellschaft) möglich, die jetzt die NISG-Zertifizierung und ISO/IEC 27001 anbietet.
Treffen konzertierte Hackerangriffe die staatliche Energie- oder Wasserversorgung, das Gesundheitswesen, die Verkehrsinfrastruktur oder das Bankwesen, können die Auswirkungen katastrophal sein. Dass diese Attacken kommen werden, steht für Cybersecurity-Expertin Ingrid Schaumüller-Bichl, Vizepräsidentin der OCG, fest. „Diese Cyber-Attacken werden kommen und sie werden unerwartet kommen. Das NISG sorgt dafür, dass angemessenen Sicherheitsmaßnahmen ergriffen und erheblicher Störfälle gemeldet werden“, erklärt Schaumüller-Bichl, die an der FH Oberösterreich das Information Security Compliance Center leitet.
Seit Anfang Februar ist die OCG laut Bescheid des Bundesministeriums für Inneres (BMI) offiziell Qualifizierte Stelle (QuaSte), d. h. sie kann Betreiber wesentlicher Dienste (BwD) im Bereich der kritischen Infrastruktur gemäß NISG überprüfen und zertifizieren. Die EU hat dazu schon 2016 die NIS Richtlinie erlassen, auf die nationale Gesetzgebungen gefolgt sind. In der NIS-Verordnung wurden dann die wesentlichen Dienste folgenden Sektoren identifiziert: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur.
Die BwD müssen, falls sie die in der Verordnung angeführten Kriterien erfüllen bzw. Schwellwerte überschreiten, als Betroffene nachweisen, dass sie entsprechende Sicherheitsvorkehrungen im Sinne des NISG getroffen haben. Diese technischen und organisatorischen Sicherheitsvorkehrungen müssen für die Bereitstellung des wesentlichen Dienstes geeignete sein, dem Stand der Technik entsprechen und dem Risiko angemessen sein. Das BMI hat die OCG als QuaSte für technische und organisatorische Sicherheitsmaßnahmen aller Kategorien bestätigt. Schon seit 2013 ist die OCG staatlich akkreditierte Zertifizierungsstelle für die ISO/IEC 27001 Norm und zertifiziert damit, dass Unternehmen ein wirkungsvolles Managementsystem für ihre Informationssicherheit implementiert haben.
