NIS – Muss man IT-Sicherheit durch Gesetze vorschreiben?
Haben Sie schon von der NIS-Richtlinie bzw. dem NIS-Gesetz gehört? Wenn Sie in einem Unternehmen arbeiten, das als Betreiber wesentlicher Dienste in den Sektoren Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitaler Infrastruktur tätig ist, so haben Sie vermutlich schon damit zu tun gehabt. Im Kern will dieses seit 2018 in Kraft getretene Bundesgesetz dafür sorgen, dass derartige Betreiber sogenannter „kritischer Infrastruktur“ für ein hohes Sicherheitsniveau Ihrer IT-Systeme sorgen müssen. Damit will man zum Beispiel Cyberangriffen vorbeugen – ein Thema, das heute leider aktueller ist, denn je.
Im Wesentlichen betrifft dieses Gesetz erst einmal große Betriebe wie Energieversorger, Öl- und Gaskonzerne, Trinkwasserverbände, Banken und ähnliche Institutionen. Man möchte meinen, dass all diese Betriebe schon vor 2018 alles daran gesetzt haben um die IT-Sicherheit Ihrer Systeme und Anlagen so hoch wie möglich zu halten. Ist es daher wirklich notwendig gewesen ein Gesetz zu erlassen und diese Betriebe mit zusätzlichen Auflagen und Verpflichtungen zu belasten?
Ich richte mich mit einer Frage an alle IT/OT Verantwortlichen in den betroffenen Betrieben – ist Ihnen aufgefallen, dass Sie vor 2018 mehr um Ressourcen und Budgets kämpfen mussten, um die IT-Sicherheit in Ihrem Betrieb zu gewährleisten? Sind Ihnen im Zuge Ihrer ersten Audits bzw. der Auseinandersetzung mit dem Thema NIS vielleicht hier und da Verbesserungsmöglichkeiten aufgefallen, die Sie bis dahin so nicht am Radar hatten?
Unsere Erfahrung zeigt – bei fast allen Kunden gab es Verbesserungen, die durch NIS herbeigeführt wurden. Ja, es wurde wie immer in solchen Fällen auch viel Papier produziert (das vermutlich nie jemand wirklich gelesen hat). Und es ist oft übers Ziel hinausgeschossen worden und man hätte mit gesundem Menschenverstand oftmals hastiges Systembefriedigen vermeiden können. Aber am Ende können viele Betriebe auf mehr Sicherheit für Ihren IT-Betrieb vertrauen. Und das Management hat jetzt auch mehr Bewußtsein für das Thema.
War dazu ein Gesetz notwendig? Diese Frage kann ich nicht beantworten – aber ich sage es mal so: geschadet hat es vermutlich nicht!
Wenn Sie mehr darüber wissen möchten, wie wir bei banet_OT so etwas umsetzen, senden Sie uns eine E-Mail mit „Ich will mehr wissen“ an office@banet-ot.at oder rufen Sie uns an unter +43 2236 31 20 50 - 0.
Comments