Kritische Infrastrukturen

Die Umsetzung des IT-Sicherheitsgesetzes in kritischen Infrastrukturen

Mit dem IT-Sicherheitsgesetz werden Betreiber kritischer Infrastrukturen (KRITIS) dazu verpflichtet, ihren IT-Sicherheits-Mindeststandard zur Vermeidung entsprechender Vorfälle einzuhalten. Die davon betroffenen Unternehmen (KRITIS-Unternehmen) müssen sich bei Störungen der IT-Infrastruktur an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wenden und selbst einen Ansprechpartner für das BSI benennen.

Anspruch des IT-Sicherheitsgesetzes ist:

  • Die IT-Sicherheit von Unternehmen zu verbessern,
  • Die Bürgerinnen und Bürger im Internet zu schützen,
  • Das Bundesamt für Sicherheit in der Informationstechnik und das Bundeskriminalamt (BKA) in die Lage zu stärken.

Ergänzend zu den neuen Regelungen für kritische Infrastrukturen im Gesetz (BSIG), wurden ebenfalls gesetzliche Änderungen im

  • Atomgesetz (AtomG),
  • Energiewirtschaftsgesetz (EnWiG),
  • Telemediengesetz (TMG),
  • Telekommunikationsgesetz (TKG)

vorgenommen.

Die Meldebereitschaft der Sicherheitsvorfälle muss nach einem halben Jahr nach dem in Inkrafttreten der Verordnung erfolgen. Nach zwei Jahren ab dem Inkrafttreten der Verordnung müssen die Betreiber kritischer Infrastrukturen die Erfüllung der Maßnahmen gemäß dem aktuellen Stand der Technik in ihrem Unternehmen gegenüber dem BSI nachweisen.Die Bewertung der IT-Sicherheit beruht auf einer Risikoanalyse und Risikobewertung. Für die KRITIS-Betreiber bedeutet dies, dass sie alle 2 Jahre durch ein Audit nachweisen müssen, dass sie die aus der Risikobewertung abgeleiteten Anforderungen erfüllen.

Welche KRITIS-Betreiber müssen diese Gesetze befolgen?

Kritische Infrastrukturen sind alle jene Infrastrukturen, deren Ausfall große Auswirkungen auf die öffentliche Sicherheit bzw. das staatliche Gemeinwesen haben kann. Folgende Sektoren sind betroffen:

  • Energienetzbetreiber
  • Wasserversorgung
  • Ernährung (Lebensmittelhandel)
  • Informationstechnik und Telekommunikation
  • Gesundheitswesen
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Medien und Kultur
  • Staat und Verwaltung

Nachweispflicht für KRITIS Betreiber Korb 2

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind.
2016 trat bereits der erste Teil („Korb 1“) der BSI-KritisV zur Umsetzung des IT-Sicherheitsgesetzes in Kraft, der die Bereiche Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung regelte.
Nun muss der zweite Teil („Korb 2“) umgesetzt werden. Betreiber Kritischer Infrastrukturen aus den Sektoren Logistik, Transport, Finanz- & Versicherungswesen und Gesundheit müssen bis zum 30.06.2019 einen Nachweis ihres Informationssicherheitsmanagementsystems (ISMS) erbringen.

Welche Handlungsempfehlungen lassen sich für die betroffenen Unternehmen ableiten?

Zuerst sollen die kritischen Stellen der IT-Infrastruktur im Unternehmen analysiert, dann den Schutzbedarf und das Angriffsrisiko und deren Qualitätsklasse festgelegt werden. Der Einsatz eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO/IEC 27001 oder des IT-Grundschutzes wird als nächster Schritt zwingend erforderlich sein.

Auch wenn die Umsetzung des Standes der Technik im ITSiG vorgegeben ist, lohnt sich ein Blick in die Handlungsempfehlungen unseres Partners Bundesverband für IT-Sicherheit TeleTrusT-e.V. als Orientierungshilfe. TeleTrusT beteiligt sich mit dem Arbeitskreis „Stand der Technik“ an der inhaltlichen Ausgestaltung der neuen Regelungen.

Unsere Leistung:

Die WMC Wüpper Management Consulting hilft KRITIS-Betreibern ihre IT-Infrastruktur zu analysieren und den Schutzbedarf zu identifizieren. Darüber hinaus definieren wir, welche besondere Maßnahmen Sie zur Erhöhung der Sicherheit ergreifen müssen. Unsere Spezialisten unterstützen Sie gerne bei der Umsetzung des IT-Sicherheitsgesetzes und garantieren die effiziente Einführung eines ISMS (nach dem PDCA-Vorgehensmodell).

Mehr Informationen erhalten Sie hier: ISMS-Einführung.

Als Hersteller einer GRC & ISMS Softwares gemäß ISO/IEC 27001, ISO/IEC 27005 und nach den Standards des Bundesamts für Sicherheit in der Informationstechnologie (BSI) bieten wir Ihnen eine Komplettlösung an, welche das IT-Sicherheitsniveau in Ihrem Unternehmen erhöht. qsec® wird seitens des BSI als alternative zum GSTOOL genannt und eignet sich somit zur Umsetzung der BSI Standards und IT-Grundschutzkataloge.

Was ist das Besondere an WMC GmbH und den qsec®-Varianten?

  • 16 jährige Erfahrung in der Planung eines Information Security Management Systems, über Analyse, Konzept, Einführung bis zum Audit und zur Zertifizierung.
  • qsec® ist eine flexible webbasierte Software, die in kurzer Zeit implementiert werden kann –
    bei exakter Zeit-/ und Kostenplanung.
  • Die in qsec® integrierten Methoden und Prozesse für das ISMS-, Risiko-, BIA-, BCM- und Maßnahmen- und Dokumentenmanagement basieren auf praxiserprobten Best-Practice-Standards.
  • In qsec® sind Normen und Standards mit Fragenkatalogen, einschließlich Bedrohungs- und Schwachstellenkatalogen sowie Maßnahmenvorschlägen komplett vorhanden und erleichtern die Einführung eines ISMS erheblich.
  • Über Schnittstellen können Daten aus Mail-Systemen, Active Directory, Asset Management Systeme und Ticket-Systemen in qsec® übernommen werden – auch in Form von dynamischen Schnittstellen.
  • In qsec® ist der Grundschutzkatalog (100-1) integriert. Die Besonderheiten des IT-Grundschutzes sind in den QSEC® Produktvarianten u.a. mit der BSI-Erweiterung berücksichtigt.
  • qsec® ist eine Multi-Normen Lösung. Neben der ISO/IEC 27000er Reihe werden auch die Normen Qualitätsmanagement (9001), Umweltmanagement (14001) und viele weitere abgebildet. Individuelle Anforderungen (z.B. Verträge oder branchenspezifische Standards) mit eigenen Inhalten können erfasst werden.

Weitere Informationen zu qsec® lesen Sie hier:

Jetzt qsec® online testen!

qsec® Module

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen