IT-Sicherheitsgesetz – KRITIS

Das im Juni 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) definiert für Unternehmen aus dem Bereich der so genannten „Kritischen Infrastrukturen“ (KRITIS) Anforderungen an die Informationssicherheit.

   

Was sind Kritische Infrastrukturen (KRITIS)?

Als Kritische Infrastrukturen (KRITIS) werden die zentralen Bereiche der Gesellschaft betrachtet, die für die wirtschaftliche Entwicklung des Landes, für das Wohlergehen der Gesellschaft und für die politische Stabilität notwendig sind.

Die Unternehmen, die KRITIS zugerechnet werden, sind u. a. Unternehmen aus den Sektoren Energie (Elektrizität, Gas, Mineralöl), Informationstechnik und Telekommunikation, Transport und Verkehr (Luftfahrt, Schifffahrt, Logistik), Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasserversorgung und Abwasserentsorgung, Ernährung sowie Finanz- und Versicherungswesen. Aber auch Bundesbehörden werden auf Mindeststandards verpflichtet.

   

Seit wann gilt die KRITIS-Verordnung?

Der erste Teil der BSI-KRITIS-Verordnung trat im Mai 2016 in Kraft. Sie regelt, welche Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasserversorgung und Ernährung unter das IT-Sicherheitsgesetz fallen.

Der zweite Teil der KRITIS-Verordnung mit den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wurde im Juni 2017 veröffentlicht.

   

Mein Unternehmen fällt unter die KRITIS-Verordnung, was muss ich tun?

Das IT-Sicherheitsgesetz verpflichtet Unternehmen, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Diese Anforderung zielt ebenso wie die Vorgabe der Bundesnetzagentur auf den Betrieb eines Informationssicherheits-Managementsystems (ISMS) konform zu ISO 27001 ab. Für die Einführung der Maßnahmen gelten Übergangsfristen. Weiterhin werden die Unternehmen verpflichtet, die Umsetzung der Maßnahmen mindestens alle zwei Jahre durch geeignete Maßnahmen wie Audits oder Zertifizierungen nachzuweisen.

   

Welche Umsetzungsmöglichkeiten eines Informationssicherheits-Managementsystems (ISMS) existieren?

Beispielsweise können Sie ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder IT-Grundschutz aufbauen.

   

Warum sollten Sie uns für diese Aufgabe auswählen?

Unsere IT-Experten sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Auditoren für ISO 27001 auf der Basis von IT-Grundschutz anerkannt und bei der datenschutz cert GmbH als ISO 27001-Auditor lizensiert. Dies stellt sicher, dass wir uns beim Aufbau eines ISMS an den gängigen Standards orientieren. Des Weiteren verfügen wir über jahrelange Erfahrungen in diesem Bereich und haben die zusätzliche Prüfverfahrens-Kompetenz nach § 8a BSI-Gesetz.