Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

KRITIS - Nachweis über angemessene IT-Sicherheit

KRITIS - Nachweis über angemessene IT-Sicherheit

Risiken für die Informationssicherheit minimieren nach §8a BSIG

Betreiber kritischer Infrastrukturen (KRITIS) müssen gemäß §8a BSIG nachweisen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Dass Strom aus der Steckdose, Wasser aus dem Hahn und der Nahverkehr nach Plan kommt, ist hierzulande zwar eine Selbstverständlichkeit. Doch diese und viele weitere Systeme, auf die wir uns im Alltag verlassen, laufen zunehmend digital oder zumindest digital unterstützt ab. Das macht Infrastrukturen schneller, präziser, intelligenter – aber auch verwundbarer. Deshalb nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Betreiber in die Pflicht, diese kritischen Infrastrukturen bestmöglich abzusichern. Die BSI-Kritis-Verordnung (BSI-KritisV) beschreibt, welche Anlagen in den jeweiligen Sektoren als kritisch gelten und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik.

  • Nachweis-Sicherheit: Sie bekommen einen Prüfbericht, der dem BSI Ihre IT-Sicherheit eindeutig belegt
  • Kompetent und genügend Ressourcen: Zügige Umsetzung Ihres Zertifizierungs-Projektes
  • Umfangreiches Branchenknow-how: Profitieren Sie von unserer jahrelangen Erfahrung im Bereich kritischer Infrastrukturen 
 

Betrifft die BSI-Kritis V auch Sie?

Als kritisch im Sinne der BSI-KritisV gelten Versorgungs-Dienstleistungen für die Allgemeinheit, deren Ausfall oder Störung erhebliche Engpässe hervorrufen oder die öffentliche Sicherheit gefährden würde. Unternehmen gelten in der Regel als kritische Infrastrukturen, wenn sie mehr als 500.000 Personen versorgen, in manchen Fällen wurde allerdings eine andere Bemessungsgröße gewählt. Die Verordnung richtet sich an folgende Branchen:

  • Energie (Strom- und Gasversorgung)
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen

Kleine und mittelständische Unternehmen (KMUs) fallen durch das Raster des IT-Sicherheitsgesetzes. Allerdings: Wenn Sie KRITIS-Unternehmen beliefern, lohnt es sich trotzdem über eine Cyber-Security-Zertifizierung nachzudenken. Denn große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern – und müssen dies auch, um ihrerseits entsprechende Nachweise erbringen zu können. Die bekannteste Informationssicherheitsnorm ist die ISO/IEC 27001 für Informationssicherheits-Managementsysteme. Mit TÜV SÜD profitieren Sie hierbei von einer effizienten Abwicklung und dem blauen Oktagon, das weltweit für Qualität und Verlässlichkeit steht.

Welche Fristen gibt die KRITIS-Verordnung vor?

IT-Sicherheit bei KRITIS-BetreibernEnergienetzbetreiber müssen bereits seit dem 31. Januar 2018 nach dem IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG zertifiziert sein.

Als Stichtag für den Nachweis nach §8a BSIG galt für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation der 3. Mai 2018. Der nächste Nachweis für diese Branchen ist 2020 fällig.

Betreiber in Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen mussten den Nachweis nach §8a BSIG spätestens bis Juni 2019 erbringen, der nächste Nachweis muss 2021 vorliegen.

Grafik ©TÜV SÜD

Wie der Nachweis nach dem BSIG auszusehen hat

Bei Unternehmen, die unter die Kritis-Verordnung fallen, geht es in puncto IT-Sicherheit nicht allein um die Unternehmensziele. Da Störungen Tausende Endnutzer betreffen, sind die Anforderungen des BSIG strenger als die bekannten Normen. Betreiber kritischer Anlagen müssen einen speziellen Prüfbericht anfertigen lassen, der dem BSI bestätigt, dass die IT-Sicherheit dem „Stand der Technik“ entspricht. Klarheit, wie der Nachweis konkret auszusehen hat, schaffen zum Beispiel vom BSI anerkannte branchenspezifische Sicherheitsstandards (B3S), die Unternehmen oder Verbände in den einzelnen Sektoren gemeinsam erarbeiten können.

Eine wichtige Informationsquelle in diesem Kontext ist UP Kritis. Hierbei handelt es sich um eine öffentlich-private Kooperation für Cybersicherheit zwischen KRITIS-Betreibern, ihren Verbänden und den zuständigen Bundesämtern. Die Initiative dient unter anderem der Risikobewertung und dem Krisenmanagement in der IT-Sicherheit. Sie bietet mit der Internetplattform zum Schutz Kritischer Infrastrukturen auch ein Online-Forum zum Austausch.

Mehr dazu, warum eine Zertifizierung nach ISO- oder IEC-Standards für KRITIS nach dem IT-Sicherheitsgesetz allein nicht ausreicht, erfahren Sie unter "Kritische Infrastruktur – Wer? Was? Wann?".

Im Gegensatz zu anderen Zertifizierungen mit 3-Jahres-Turnus verlangt das BSIG von kritischen Unternehmen alle 2 Jahre einen Prüfbericht. Umso wichtiger ist es, den Aufwand bei den häufigen Auditierungen gering zu halten. Entscheiden Sie sich deshalb für eine kompetente, renommierte Prüfstelle. Dank des personenstarken Teams von TÜV SÜD steht jederzeit genug geschultes Personal zur Verfügung, um Ihr Projekt professionell und zügig abzuwickeln.


Warum TÜV SÜD?

  • Ganz gleich, in welcher Branche Ihre Organisation tätig ist, können sie sich auf die Fachkenntnis der Auditoren von TÜV SÜD verlassen. Sie sind hochqualifiziert und erfahren in der Bewertung von IT-Service- und anderen Managementsystemen für die verschiedensten Industriezweige.
  • Dank unseres globalen Expertennetzwerks, können Sie Niederlassungen weltweit durch ein und dieselbe Prüfstelle zertifizieren lassen.
  • Um verschiedensten internationalen Standards gerecht zu werden, bietet Ihnen TÜV SÜD ganzheitlichen Service. So steht Ihnen ein breites Portfolio an IT-Tests und Cyber-Security-Zertifizierungen zur Verfügung.
  • Mit einem Prüfsiegel von TÜV SÜD setzen Sie ein Zeichen für Qualität und Integrität. Denn TÜV SÜD steht weltweit für Zuverlässigkeit, Unabhängigkeit und Neutralität.
  • Durch das weltweit renommierte Prüfzeichen kommunizieren Sie Ihre Qualitätsstandards und heben sich von der Konkurrenz ab.

Jetzt ein unverbindliches Angebot erhalten

Ein individuelles Angebot für den Nachweis nach §8a BSIG verschafft Ihnen einen Überblick über Vorgehen und Kosten. Unsere Experten informieren Sie gern. Geben Sie einfach Ihre Kontakt- und einige Eckdaten zum Unternehmen an und Sie erhalten weitere Informationen rund um den Nachweis über den „Stand der Technik“.

Unverbindliches Angebot anfragen

Wissenswert

Coronavirus - Infobild TÜV SÜD Management Service GmbH

Informationen Corona-Virus

Aufgrund der aktuellen Corona-Virus-Notlage sind bei den meisten Akkreditierern und Standardgebern Sonderregelungen möglich.

Erfahren Sie mehr

UP KRITIS
Flyer

Der Flyer zum UP KRITIS

Was ist UP KRITIS und welche Vorteile hat dadurch Ihr Unternehmen?

Download

IT-Sicherheitskatalog
White Paper

IT-Sicherheitskatalog

Laden Sie sich den IT-Sicherheitskatalog der Bundesnetzagentur herunter.

Download

Factsheet ISO 27001
Flyer

Factsheet ISO 27001

Erfahren Sie, wieso die Norm ISO 27001 wichtig für Ihr Unternehmen ist.

Download

Wie können wir Ihnen helfen?

WORLDWIDE

Global

Americas

Asia

Europe

Middle East and Africa