IT-Sicherheit / Umsetzung der NIS-Richtlinie in Österreich (Anforderungen und Prüfungsansätze) (CPE 7)
Seminarthema
Am 8. August 2016 ist die EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) in Kraft getreten. Ziel der Richtlinie ist es, die kritischen Infrastrukturen und digitalen Dienste der Mitgliedsstaaten besser gegen Störungen und Cyber-Angriffe zu schützen. Die Mitgliedsstaaten sind verpflichtet diese EU-Richtlinie in nationales Recht umzusetzen und die erforderlichen Maßnahmen zur Überprüfung der Einhaltung und der Meldung von Sicherheitsvorfällen zu implementieren.
Betroffen sind Betreiber „wesentlicher Dienste“ wie zum Bespiel die Energie- und Wasserversorgung, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Verkehr, digitaler Infrastrukturen sowie Anbieter digitaler Dienste (Online-Marktplatz, Online-Suchmaschine, Cloud-Computing-Dienst). Diese sind verpflichtet geeignete und verhältnismäßige technische und organisatorische Sicherheitsmaßnahmen zu ergreifen und Sicherheitsvorfälle zu melden.
Das Seminar bietet einen Überblick über die Anforderungen der NIS-Richtlinie unter Berücksichtigung der nationalen Gesetzgebung in Österreich und stellt mögliche Lösungsansätze für die Implementierung der erforderlichen technischen und organisatorischen Maßnahmen sowie zur Prüfung der Umsetzung vor.
Zielgruppe
Das Seminar wendet sich an Mitarbeiter der Revision, der IT-Abteilung, aber auch an Führungskräfte und Geschäftsführer, die über die Anforderungen informiert sein wollen.
Methodik
- Vortrag
- praktische Fallbeispiele
- Diskussion
Seminarinhalte
- Aktuelle Bedrohungslage (z.B. Cyberangriffe)
- Grundbegriffe der IT- und Informationssicherheit
- Spezifische Anforderungen der NIS-Richtlinie / Gesetz
- Betreiber wesentlicher Dienste / Anbieter digitaler Dienste
- Durchführungsverordnung (EU) 2018/151 (Anbieter digitaler Dienste)
- Abgrenzung des Geltungsbereiches (Scoping) für NIS-Dienste
- Information Security Management System (ISMS)
- Anwendung von Standards und Normen (ISO 27000, IEC 62443, etc.)
- Nutzen und Bedeutung Zertifizierungen (z.B. 27001)
- Verfahren zur Risikobewertung
- Ableitung notwendiger technischer und organisatorischer Maßnahmen
- Unterscheidung Design Effektivität / Operative Wirksamkeit
- Strukturierte Vorgangsweise zur Entwicklung von Sicherheitskonzepten
- Anforderungen an sichere Steuerungs- und Telekommunikationssysteme (Whitepaper BDEW/Österreichs E-Wirtschaft)
- Planung und Durchführung von IT-Audits ( Anforderungen der Behörde)
- Meldepflichten bei Sicherheitsvorfällen
- Ausblick auf zukünftige Entwicklungen
Seminarzeit:
9.00 - 17.00
Mitglieder: € 540,- Nichtmitglieder: € 670,-
Referenten:
Ing. Manfred Scholz -
Geschäftsführer der SEC4YOU Advanced IT-Audit Services GmbH und seit mehr als 10 Jahren international in der IT-Revision und IT-Beratung tätig. Der Schwerpunkt seiner Beratungstätigkeit liegt in der Erfassung komplexer Compliance-Anforderungen im IT-Bereich und die Übertragung in die tägliche Praxis unter Berücksichtigung wirtschaftlicher Aspekte. Um diesen Herausforderungen gerecht zu werden ist er nicht nur aktiv in fachlichen Arbeitskreisen bzw. in Normungsgremien vertreten, sondern gibt diese Erfahrungen gerne als Autor von Fachartikeln oder als Vortragender bei Konferenzen und Seminaren weiter.