Zum Inhalt springen Barrierefreiheit auf wien.gv.at
Wien Digital (MA 01) Leistungsbericht 2024
1. Innovationen und Sicherheit

1.2 NISG

Die NIS2-Richtlinie (Netz- und Informationssystem-Sicherheit) ist eine wichtige europäische Vorgabe, die die Cybersicherheit innerhalb der Europäischen Union stärken soll. Sie verpflichtet Organisationen, höhere Sicherheitsstandards zu befolgen, um vor allem kritische

Infrastruktur zu schützen. Dies betrifft insbesondere Einrichtungen oder Systeme, deren Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Sicherheit, die Versorgung der Bevölkerung oder andere wesentliche Funktionen hätte.

Wien Digital ist vorrangig Dienstleisterin für kritische Infrastruktur und daher von der Richtlinie betroffen, die Maßnahmen festlegt, um digitale Systeme vor Bedrohungen zu schützen sowie auf potenzielle Cyber-Angriffe schneller und besser reagieren zu können.

Eine Operationalisierung der Richtlinie durch ein entsprechendes NIS-Gesetz ist in Österreich noch nicht erfolgt, weshalb einige Meilensteine und Anforderungen noch nicht final definiert sind. Dennoch sind genügend Eckdaten aus den EU-Vorgaben und internen Vorgaben wie dem aktuellen IKT-Sicherheitserlass und dem Operational Technology (OT)-Security-Konzept der Stadt Wien bekannt, um proaktiv wichtige Sicherheitsmaßnahmen setzen zu können, die Wien Digital den NIS-Zielen näher bringt.

Umgesetzte essenzielle Schritte waren neben technischen Anpassungen beispielsweise:

  • Änderungen bei der Nutzung von privaten, nicht durch Wien Digital verwalteten Mobiltelefonen für den dienstlichen Gebrauch. Auf diesen ist die Datensynchronisierung aus Sicherheitsgründen seit Juli 2024 nicht mehr möglich.

  • Die verpflichtende Einrichtung einer Zwei-Faktor-Authentifizierung (2FA) für den Zugriff auf Webapplikationen der Stadt Wien von außerhalb. Neben Benutzernamen und Passwort ist nun auch stets ein Einmalcode einzugeben, der per SMS versendet wird. So werden die Daten der Stadt Wien noch effektiver vor unbefugten Zugriffen und Cyber-Kriminalität geschützt, auch bei Verlust des Passworts.

NIS2 definiert technische, operative und organisatorische Risikomanagement-Bereiche, in denen es besonders wichtig ist, vorbeugende Maßnahmen zu setzen, wie zum Beispiel Sicherheitsrichtlinien und -vorgaben, Cybersicherheitskompetenzen und -schulungen, Zugangssteuerung, Beschaffung und Lieferketten, physische Sicherheitsmaßnahmen und vieles mehr. In Wien Digital läuft in diesem Zusammenhang bereits seit 2022 ein umfangreiches Projekt zur Segmentierung des Rechenzentrums in „Sicherheitszonen“ (siehe auch nächstes Kapitel).

Die NIS2-Richtlinie betrifft jedoch nicht nur Wien Digital, sondern insbesondere auch weitere Dienststellen in kritischen Sektoren, die bei der Umsetzung technischer Sicherheitsmaßnahmen durch Wien Digital unterstützt werden.

OT-Security: Gesamtheit von Hardware und Software, die zur Überwachung, Erkennung und Kontrolle von Änderungen an Geräten, Prozessen und Ereignissen eingesetzt wird.