NIS-Richtlinie. und ihre Umsetzung in Österreich. Bundeskanzleramt/Präsidium Abt. I/11 Digitales und E-Government Recht, Strategie und Internationales

Transkript

1 NIS-Richtlinie und ihre Umsetzung in Österreich Bundeskanzleramt/Präsidium Abt. I/11 Digitales und E-Government Recht, Strategie und Internationales

2 Ziel: EU-weit ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen zu gewährleisten (1) Stärkung der Zusammenarbeit zwischen den MS (2) Verpflichtung zur Einführung angemessener IT- Sicherheitsmaßnahmen und der (2) Verpflichtung zur Meldung signifikanter Störfälle für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste ViS!T

3 Verpflichtungen für MS Annahme einer nationalen Strategie für die Sicherheit von Netz- und Informationssystemen Bildung nationaler CSIRTs Einrichtung einer/mehrerer NIS-Behörde(n) und eines SPOCs Teilnahme an der strategischen Kooperationsgruppe und des operativen CSIRT-Netzwerks Ermittlung von Betreibern wesentlicher Dienste Möglichkeit für freiwillige Meldungen schaffen Sanktionen festlegen ViS!T

4 Anwendungsbereich Betreiber wesentlicher Dienste: Öffentliche oder private Einrichtung aus den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung und -versorgung und digitale Infrastruktur Anbieter digitaler Dienste Bieten einen der drei in der RL genannten digitalen Dienste an: Online Marktplatz Online Suchmaschine Cloud-Computing-Dienst ViS!T

5 Verpflichtung für Betreiber und Anbieter (1) Pflicht angemessene technische und organisatorische Sicherheitsmaßnahmen zur Risikobewältigung zu ergreifen (2) Pflicht zur unverzüglichen Meldung von Störfällen, die erhebliche Auswirkungen (betroffene Nutzer, Dauer, geografische Ausbreitung) auf die Verfügbarkeit der bereitgestellten wesentlichen Dienste haben Meldungen können an Behörden oder CSIRTs gehen ViS!T

6 Nationale Einrichtungen Zuständige (NIS-) Behörden Überwachen der Anwendung der RL auf nationaler Ebene Prüfung der Sicherheitsmaßnahmen CSIRTs Von Betreibern wesentlicher Dienste (jederzeit) Von Anbietern digitaler Dienste (ex post) Kontinuierliche Risikoanalyse und Situationsbewusstsein Ausgabe von Frühwarnungen, Verbreitung von Informationen über Risiken und Vorfälle Monitoring und Handling von Störfällen SPOC Verbindungsstelle zwischen MS, Kooperationsgruppe und CSIRT- Netzwerk ViS!T

7 EU-Gremien Kooperationsgruppe (strategisch): Teilnehmer: Vertreter aus MS, EK und ENISA Beginn der Tätigkeit: 6 Monate nach Inkrafttreten der RL Aufgaben u.a.: Strategische Beratung des CSIRT-Netzwerks Unterstützung in der Identifikationsphase der Betreiber MS sollen einen kohärenten Ansatz finden Austausch von Informationen und bester Praktiken CSIRT-Netzwerk (operativ): Teilnehmer: Vertreter der nat. CSIRTs und CERT-EU (EK hat Beobachterrolle) Aufgaben u.a.: Allgemeiner Informationsaustausch über Störfälle Assistenz bei länderübergreifenden Vorfällen Erfahrungsaustausch nach NIS-Übungen ViS!T

8 NIS-RL Aktueller Status Ratsebene EU-Ministerrat (AGRIFISH) am (A-Punkt) - Annahme EU-Ministerrat (Telekommunikation) am (B-Punkt): Information der Präs. EP: Plenum wird den Kompromisstext voraussichtlich erst Anfang Juli annehmen Inkrafttreten der RL: ca. August 2016 (21 Monate Umsetzungsfrist - Mai 2018) NIS-Expertengruppe: 1. Sitzung (Vorbereitung Durchführungs-RA: Verfahrensregeln der Kooperationsgruppe, Meldepflichten und Sicherheitsanforderungen der Anbieter dig. Dienste) Komitologieausschuss: Einrichtung erst ab Inkrafttreten möglich beschließt die Durchführungs-RA; Expertengruppe endet Kooperationsgruppe: 1. informelle Sitzung am (Funktionsweise) Februar 2017: 1. formelle Sitzung geplant (gleiches gilt für CSIRT-Netzwerk) ViS!T

9 Umsetzung in Österreich ÖST. CYBER- SICHERHEITSGESETZ ViS!T

10 Arbeitsprogramm der Bundesregierung Schutz kritischer Infrastrukturen und Erhöhung der Sicherheit des Cyber-Raums und der Menschen im Cyber Space im Zusammenwirken von Staat, Wirtschaft, Wissenschaft und Gesellschaft Österreichische Strategie für Cyber-Sicherheit (ÖSCS) Koordination auf operativer Ebene im Bereich Cyber- Sicherheit Verhandlungen zur NIS-RL auf EU-Ebene Schaffung eines Bundesgesetzes zur Cyber- Sicherheit ViS!T

11 ÖSCS - AG Ordnungspolitischer Rahmen Parallel zu Verhandlungen der NIS-RL Interministerielle Zusammensetzung Ziel: den bestehenden ordnungspolitischen Rahmen sowie darauf aufbauend notwendige Änderungen zu untersuchen Übergang in eine interministerielle AG zur Erarbeitung eines BG für Cybersicherheit (Kick-Off Februar 2016) Querschnittsmaterie! ViS!T

12 Umsetzungsoptionen zur NIS-RL Spielraum bei nationaler Umsetzung der NIS-RL insb. in Bezug auf einzurichtende Behörden/Strukturen (1) Meldefluss/Freiwillige Meldungen (2) Anwendung auf öffentl. Verwaltung (3) Einbeziehung anderer Sektoren (4) ViS!T

13 Umsetzungsoptionen zur NIS-RL (1) Behörden: Drei zuständige Behörden in Österreich Aufgabenaufteilung nach strategischen und operativen Gesichtspunkten Bereits bestehende Strukturen/Organisationen nutzen (2) Meldefluss und freiwillige Meldung: Verpflichtende und freiwillige Meldungen gehen an die CSIRTs CSIRTs geben diese unverzüglich an Behörden weiter Freiwillige Meldungen nur in anonymisierter Form ViS!T

14 Umsetzungsoptionen zur NIS-RL (3) Optionen zur Anwendung auf öffentliche Verwaltung Keine Einbeziehung Nur Bundesverwaltung Bundes- u. Landesverwaltung Einbeziehung der gesamten öffentlichen Verwaltung ViS!T

15 Umsetzungsoptionen zur NIS-RL (4) Einbeziehung anderer Sektoren Wesentliche Teile des Telekommunikationssektors (insb. ISPs) sind vom Anwendungsbereich der RL explizit ausgenommen Ebenso: Vertrauensdiensteanbieter nach eidas-vo Bestehen sektorspezifische Rechtsakte mit gleichwertigen Verpflichtungen für Betreiber oder digitale Diensteanbieter, so gehen diese der NIS-RL vor Ziel: Parallel bestehende Meldepflichten zusammenführen und Synergien erzeugen ViS!T

16 Regelungsnotwendigkeiten Organisation der Cybersicherheits-Struktur(en) in Ö Informationsaustausch + Informationsgewinnung Zwischen Privaten Zwischen Behörden zwischen Behörden und Privaten Meldeverpflichtung und Melderecht (freiwillige Meldungen) Verpflichtende IT-Sicherheitsmaßnahmen Sanktionen (Strafmaß? - vgl. EU-DSGV) ViS!T

17 operativ strategisch politisch Cybersicherheits-Struktur(en) in Österreich Bundesregierung Formulierung politischer Rahmenbedingungen und Zielvorgaben Cyber Sicherheit Steuerungsgruppe Strategische Lagebilder Cyber Security Plattform (KSÖ, ATC, ) BKA/BMI/ BMLVS/ BMVIT,etc. SKKM Krisenunterstützung CKM/ CERT.at CD BM.I/ BMLVS GovCERT Cyber Security Center BVT CIICerts E-CERT Cyber Defence- Zentrum HNaA Innerer Kreis MilCERT C4 Operative Koordinierungsstruktur Branchen-CERTs Äußerer Kreis IKT Sicherheits portal BKA/ BMF ViS!T

18 Operative Koordinierungsstruktur Ziele: Rascher Informationsaustausch + Cyber Lagebild Österreich Empfehlungen für proaktive, österreichweite Cyber Sicherheitsmaßnahmen Unterstützung und Koordination staatlicher Notfallmaßnahmen im Falle eines schweren Cybervorfalls oder einer Cyber Krise in Österreich Nutzen: Klar definierte Aufgaben und Verantwortlichkeiten zwischen Sektor-spezifischen Incident-Meldestellen (Branchen-CERTs) Zentralisierter Koordinationsplattform (CSC) Kommunikation auf Augenhöhe zwischen allen staatlichen Stellen Kurze Reaktionszeit im Falle eines schweren Cybervorfalls, und Ergreifen koordinierter Gegenmaßnahmen ViS!T

19 Eskalationspyramide: Vom Vorfall zur Cyber Krise Cyber Krise (österreichweit) Akteure: Cyber Krisenmanagement Cyber Defense zivil militärisch +CKM +CD Unterstützung durch operative Koordinierungsstruktur Selbsthilfe schwerer Vorfall Verpflichtende Meldungen Vorfall +OpKoord Sektor Freiwillige Meldungen ViS!T

20 Danke für Ihre Aufmerksamkeit! Fragen? Bundeskanzleramt Österreich/Präsidium Abt. I/11: Digitales und E-Government - Recht, Strategie und Internationales Mag. Gregor Schmied Ballhausplatz 1, 1014 Wien Tel.: gregor.schmied@bka.gv.at