Cyber Security

NISG-Zertifizierung und ISO/IEC 27001 aus einer Hand

Die Österreichische Computer Gesellschaft bietet ab sofort die NISG-Zertifizierung und ISO/IEC 27001 aus einer Hand für Unternehmen an.

Cyber Security ISO/IEC 27001 Österreichische Computer Gesellschaft OCG

Die EU hat mit der NIS-Richtlinie Vorgaben für die Cybersicherheit kritischer Infrastruktur festgelegt. In Österreich ist diese Richtlinie im Netz- und Informations-Systemsicherheitsgesetz (NISG) umgesetzt. Alle davon betroffenen Unternehmen und Einrichtungen müssen eine NISG-Zertifizierung durchlaufen. Diese ist jetzt auch durch die OCG möglich. Die OCG bietet damit die NISG-Zertifizierung und ISO/IEC 27001 aus einer Hand an. Dass Hacker auch staatliche Infrastruktur-Einrichtungen attackieren werden, ist für Cybersecurity-Expertin und Vizepräsidentin der Österreichischen Computer Gesellschaft (OCG) Ingrid Schaumüller-Bichl, keine Frage. „Diese Cyber-Attacken werden kommen und sie werden unerwartet kommen. Wir wissen weder wann noch wo.“ Jederzeit bestmöglich darauf vorbereitet zu sein, ist daher Pflicht für alle Betreiber kritischer Infrastruktureinrichtungen. „Das NISG sorgt dafür, dass angemessenen Sicherheitsmaßnahmen ergriffen und erheblicher Störfälle gemeldet werden“, erklärt die OCG-Vizepräsidentin, die an der FH Oberösterreich das Information Security Compliance Center leitet. „Dass jetzt auch die OCG eine Zertifizierungsstelle für NISG ist, unterstreicht die Bedeutung dieser unentbehrlichen Präventivmaßnahme.“

Zertifizierung ab sofort über OCG möglich

Seit 6. Februar ist die OCG laut Bescheid des Bundesministeriums für Inneres (BMI) offiziell Qualifizierte Stelle (QuaSte), d. h. sie kann Betreiber wesentlicher Dienste (BwD) im Bereich der kritischen Infrastruktur gemäß NISG überprüfen und zertifizieren. Die EU hat dazu schon 2016 die NIS Richtlinie erlassen, auf die nationale Gesetzgebungen gefolgt sind. In der NIS-Verordnung wurden dann die wesentlichen Dienste folgenden Sektoren identifiziert: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur. Die BwD müssen – falls sie die in der Verordnung angeführten Kriterien erfüllen bzw. Schwellwerte überschreiten – als Betroffene nachweisen, dass sie entsprechende Sicherheitsvorkehrungen im Sinne des NISG getroffen haben. Diese technischen und organisatorischen Sicherheitsvorkehrungen müssen für die Bereitstellung des wesentlichen Dienstes geeignete sein, dem Stand der Technik entsprechen und dem Risiko angemessen sein. Das BMI hat die OCG als QuaSte für technische und organisatorische Sicherheitsmaßnahmen aller Kategorien bestätigt. Mit der Feststellung als QuaSte wurde der OCG bescheinigt, dass sie über entsprechende Expertinnen und Experten mit den notwendigen Kompetenzen als Prüfer verfügt und auch alle anderen vorgesehenen Kriterien erfüllt. Schon seit 2013 ist die OCG staatlich akkreditierte Zertifizierungsstelle für die ISO/IEC 27001 Norm und zertifiziert damit, dass Unternehmen ein wirkungsvolles Managementsystem für ihre Informationssicherheit implementiert haben. Da die Anforderungen der ISO 27001 einen großen Teil der Anforderungen lt. NISG schon abdecken, kann die OCG als Qualifizierte Stelle den Betreibern wesentlicher Dienste die NIS-Zertifizierungen auch in Kombination mit einer ISO 27001 Zertifizierung anbieten.