DIGITAL Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union „NIS-RL“ Status Bundeskanzleramt – Abt. I/11/a [email protected] Stand: 21.12.2015 AUSTRIA Ziel der NIS-RL DIGITAL AUSTRIA − EU-weit ein hohes Level an Netzwerk- und Informationssicherheit zu erreichen − Durch (1) Stärkung der Zusammenarbeit zwischen den MS − Strategische Koordination der MS • innerhalb der Kooperationsgruppe − Operationelle Kooperation • Innerhalb des Netzwerkes der Computer Security Incident Response Teams (CSIRTs) − Durch (2) Verpflichtung zur Einführung eines angemessenen ITRisikomanagement und der Meldung signifikanter Störfälle NIS-RL 2| Anwendungsbereich (1.1.) (1) Betreiber wesentlicher Dienste – Öffentliche oder private Einrichtung – aus dem Bereich Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser und digitale Infrastrukturen (zB Internet Exchange Points) Kriterien: − Dienst ist wesentlich für die Aufrechterhaltung kritischer sozialer oder wirtschaftlicher Aktivitäten (Liste) − Dieser Dienst hängt von Netzwerk- und Informationssystemen ab − Ein Störfall hätte signifikante Auswirkungen auf die weitere Verfügbarkeit dieses Dienstes NIS-RL 3| DIGITAL AUSTRIA Anwendungsbereich (1.2.) Kriterien zur Bestimmung der Signifikanz eines Störfalls (die bei der Identifikation der Betreiber heranzuziehen sind): • Anzahl der Nutzer, die von dem Service abhängen • Abhängigkeit in Bezug auf andere Sektoren des Annex II • Mögliche Auswirkungen des Störfalls in Bezug auf Dauer und Schwere • Marktanteil • Geographische Verbreitungsmöglichkeit • Bedeutung des Betreibers / Alternativen • Weitere sektor-spezifische Kriterien (Anzahl der behandelten Patienten, Anzahl der betroffenen Reisenden etc) NIS-RL 4| Anwendungsbereich (2) (2) Digitale Diensteanbieter (DSP) – Öffentliche oder private Einrichtungen • Online Marktplätze • Online Suchmaschinen • Cloud computing Diensteanbieter – Ausgenommen: • natürliche Personen • Klein- und Kleinstunternehmen NIS-RL 5| Verpflichtungen – (1) Pflicht angemessene technische und organisatorische Sicherheitsmaßnahmen zur Risikobewältigung zu ergreifen • DSP: Prüfung der Sicherheitsanforderungen nur ex-post bei einem konkreten Hinweis möglich • Betreiber wesentlicher Dienste: NIS-Behörde kann die Einhaltung der Sicherheitsanforderungen jederzeit mittels Audits prüfen − (2) Pflicht zu Meldung von Störfällen, die gröbere Auswirkungen auf die Aufrechterhaltung des Dienstes haben NIS-RL 6| DIGITAL AUSTRIA Einrichtung eine „NIS-Behörde“ (nationale Ebene) Auszug aus der Aufgabenliste: Monitoring (Einhalten der NIS-RL) Bestimmung möglicher grenzüberschreitende Auswirkungen und Kontaktaufnahme zu den betroffenen MS Überprüfung, ob Betreiber ihren IT-Verpflichtungen nachkommen; dazu kann die NIS-Behörden folgende Informationen einfordern: – Einen Nachweis der effektiven Umsetzung der Sicherheitspolicies, wie die Ergebnisse eines Sicherheitsaudits, das durch die NIS-Behörde oder einen qualifizierten Auditor durchgeführt wurde und – in letzterem Fall – dass die Ergebnisse einschließlich des zugrundeliegenden Nachweises der NIS-Behörde zur Verfügung gestellt werden. – Im Anschluss an die Überprüfung hat die NIS-Behörde die Möglichkeit, Betreibern bindende Anweisungen zur Verbesserung der IT-Sicherheit zu geben NIS-RL 7| DIGITAL AUSTRIA Einrichtung von SPOC und CSIRTs (nationale Ebene) Jeder MS soll weiters einen Single Point of Contact (SPOC) einrichten mit u.a. folgenden Aufgaben: • Verbindungsstelle zwischen MS, Kooperationsgruppe und CSIRT-Netzwerk • Nach Aufforderung durch die NIS-Behörde: Information von SPOCs in anderen MS über grenzüberschreitende, signifikante Störfälle • Erstellung eines Jahresberichts für die Kooperationsgruppe über erhaltene Störfallmeldungen mit grenzüberschreitenden Auswirkungen ein oder mehrere CSIRTs/CERTs zur Behandlung von Risiken und Störfällen; kann als Meldestelle eingerichtet werden NIS-RL 8| DIGITAL AUSTRIA Einrichten einer Kooperationsgruppe für strategische Aufgaben (EU-Ebene) Teilnehmer: Vertreter aus MS, EK und ENISA Aufgaben (auszugsweise): – Erstellung eines 2-jährigen Arbeitsprogramms – Strategische Beratung des CSIRT-Netzwerks – Erstellung von Leitlinien für sektorspezifische Kriterien zur Bestimmung der „Signifikanz“ eines Vorfalls – Austausch von Informationen und bester Praktiken • • • • NIS-RL Meldung von Störfällen Identifikation von Betreibern Bewusstseinsbildende Maßnahmen Forschung und Entwicklung im NIS-Bereich 9| DIGITAL AUSTRIA Einrichten eines CSIRT-Netzwerks für operationelle Aufgaben (EU-Ebene) Teilnehmer: Vertreter der nat. CSIRTs und CERT-EU. Aufgaben (auszugsweise) – – – – Vertrauensaufbau zwischen den MS Austausch von Informationen bzgl. CSIRT Leistungen etc. Austausch von Informationen zu aktuellen Risiken und Vorfällen Austausch und Veröffentlichung von anonymisierten Vorfallsinformationen – Diskussion weiterer operationeller Kooperationsmöglichkeiten wie einer koordinierten Reaktion oder Frühwarnsysteme – Assistenz bei länderübergreifenden Vorfällen auf freiwilliger Basis. NIS-RL 10 | DIGITAL AUSTRIA Nicht mehr im RL-Entwurf enthalten • Art 9: Secure information sharing system • Art 10: Early warnings • Art 11: Coordinated response • Art 12: Union NIS-cooperation plan 11 | HHM3 HHM4 Allgemeines/Zeitplan DIGITAL AUSTRIA − Weitere Schritte: − 18.12. Annahme eines Kompromisstextes im AStV − Jänner: Übersetzung des Textes in alle EU-Sprachen − Annanme des Textes im EU-Ministerrat – vermutlich am 26.5. im TTE-Rat oder schon früher in einer anderen Ratsformation − 21 Monate Zeit zur Umsetzung NIS-RL 12 | Folie 12 HHM3 HAVRANEK, Heidi Maria; 07.05.2015 HHM4 HAVRANEK, Heidi Maria; 07.05.2015 Danke!
© Copyright 2024 ExpyDoc
